O Groove utiliza dois pares de chaves simétricas e dois de chaves assimétricas. Isso ocorre porque o sistema de segurança pode ser totalmente parametrizado e pode trabalhar com praticamente todo algoritmo de chave pública. Por alguns algoritmos só poderem assinar digitalmente enquanto outros só podem criptografar, é necessário distinguir entre as duas finalidades. Além disso, algoritmos diferem no comprimento requerido e das suas propriedades de suas próprias chaves. Outra razão é que o algoritmo busca importar o par de chaves de fontes que tenham Infraestrutura de Chaves Públicas (PKI). Às vezes esses pares vêm com política de limitações - por exemplo, assinatura pode ser admitida, mas nenhuma criptografia ou acordo por chaves. A fim de satisfazer tais políticas, o algoritmo deve manter para estas chaves usos distintos.

No modo mutualmente confiante, a metade confidencial de cada um destes pares chaves é armazenada no cliente. A metade pública é armazenada no espaço compartilhado, acessível a todos os membros, e também (opcionalmente) em contatos de cada Groove de usário (um livro de endereço), para proteger e autenticar mensagens. Estas mensagens imediatas são trocados entre identidades, mas fora do contexto de um espaço compartilhado. Assim são cifradas com chaves simétricas que são trocadas através das chaves identidade. Pelo contraste, as mensagens de controle que carregam os dados do usuário e os dados administrativos são trocados dentro de um espaço compartilhado, assim são cifrados usando uma chave simétrica que é armazenada no espaço compartilhado e estão assim disponíveis ao grupo.

Quando os membros entram ou deixam um espaço compartilhado, o par de chaves assinatura/verificação de identidade está usado para autenticar as mensagens de convite (ou exclusão) de membros. O par de chaves de encriptação/decriptação usado para encriptar/decriptar a chave simétrica, que por sua vez é usada a encriptar/decriptar as mensagens de convite.

Quando um usuário datilografa uma linha do texto em sua janela do bate-papo, o fluxo de dados ocorre em dois sentidos - para o disco, onde é escrito de forma cifrada, e pelo fio, na forma cifrado, a outro membro.. Se possuir um outro dispositivo Groove, os dados são lá replicados. A integridade da mensagem que carrega o bate-papo é protegida por um código do autenticação da mensagem (MAC).

A encriptaçãode cada arquivo em disco é feita por um chave simétrica única por membro, por espaço compartilhado. Esta chave por sua vez é protegida por uma chave simétrica mestra, armazenada no cliente, criado quando instalou primeiramente o software. A encriptação das mensagens delta (controle) emitidas sobre o fio é feita por uma chave simétrica - que é chamada de chave do grupo – que é armazenada no espaço compartilhado e acessível a todos os membros. No fato, há duas de tais chaves - um chave MAC, chamado Lg, para a integridade de dados e a de autenticação (análoga da chave simétrica de assinatura e verificação), e a uma chave de cifragem, chamada Kg, para o encriptação e decriptação. Aqui, G denota o conjunto de membros do grupo (espaço compartilhado).

O algoritmo padrão usado para o MAC é HMAC-SHA1. SHA1 (PLF 180-1) é usado produzir uma mistura do cabeçalho e do corpo da mensagem. HMAC (RFC 2104) fornece a proteção do autenticacão e da integridade da mistura resultante.

No modo mutualmente suspeito, isso ocorre de maneira semelhante, mas cada usuário utiliza, ao invés de um par de chaves públicas assimétricas (MAC) para comunicação com o grupo, usa um par delas para comunicação com cada outro usuário, causando um crescimento linear do tamanho do overhead com relação ao número de usuários. Assim, temos a seguinte diferença de overhead nas mensagens: