Когда вы инициализируете HSM, он создаёт свои собственные ключи, которые хранит в себе и не отдаёт наружу. Не помню сколько их точно, 1 или 2. LMK они, вроде называются (уже подзабыл терминологию). В любом случае, он эти ключи и их варианты использует для подписи других ключей, которые генерирует по просьбе приложений и людей.