Khi các thành viên rời khỏi nhóm Multicast an toàn, GCKS cần thay khóa nhóm để đảm bảo chuyển tiếp điều khiển truy nhập. GCKS cần thay đổi chỉ các khóa mà một bộ phận thành viên hiểu nó, tức là các khóa thuộc các nút trong thành phần theo đường dẫn tới gốc.
GCKS có một lựa chọn sửa đổi trong cây khóa. Nó có thể giao kèo (chẳng hạn: xoá nút rỗng và các link tương ứng) trong cây, hoặc di chuyển bộ phận các thành viên và giải phóng các vị trí trống không cần đến sự trợ giúp của điều khiển truy nhập forward hoặc backward.
Để ngăn cản bộ phận các thành viên từ việc triết xuất bất kỳ của các khóa từ cây khóa, GCKS thay đổi tất cả các khóa mà các thành viên hiểu được khóa và gửi khóa mới được mã hoá với các khóa này các thành viên không thể truy nhập được.
Trong hình 3.7, E là bộ phận thành viên. GCKS loại trừ vị trí của E trong cây khóa. Giữa các khóa mà E có thể hiểu được, Ke và Kde là không cần kéo dài hơn cho việc bảo trì khóa nhóm. GCKS thay thế các khóa khác mà E hiểu nó, đó là Ka.e và Kc.e ,với Ka.d và Kcd là các khóa mong đợi. Bây giờ nó cần gửi khóa mới tới các thành viên an toàn, và chính E không thể giải mã được. Như vậy nó gửi:
Ka.d được mã hoá với Kab và Kcd; Kcd được mã hoá với Kc và Kd.
Hình 3.7: Giải phóng thay khóa trong LKH.
Độ phức tạp thay khóa khi có thành viên rời khỏi nhóm
Khi một thành viên rời khỏi nhóm, GCKS thay đổi tất cả các khóa mà các thành viên hiểu được nó. Như vậy GCKS thay khóa rất nhiều các khóa theo độ dài từ thành viên bộ phận tới gốc. Trong cây nhị phân cân bằng đầy đủ, chiều dài đường dẫn là log2n. Trong tương lai, mỗi khóa mới Ki được bảo mật 2 lần; một trên mỗi con của nút trong thứ i. Như vậy, thay khóa khi có thành viên rời khỏi nhóm yêu cầu 2log2n mã hoá và truyền khóa.