{
  "keyId": "scanner-signing-2025",
  "algorithm": "ECDSA-P256",
  "comment": "Scanner signing key for PoE DSSE envelopes (2025)",
  "privateKeyPem": "-----BEGIN PRIVATE KEY-----\nMIGHAgEAMBMGByqGSM49AgEGCCqGSM49AwEHBG0wawIBAQQgXXXXXXXXXXXXXXXX\nXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXahRANCArYYYYYYYYYYYYYYYYYYYYYYYYYY\nYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY\nYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY\nYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY\n-----END PRIVATE KEY-----",
  "validFrom": "2025-01-01T00:00:00Z",
  "validUntil": "2025-12-31T23:59:59Z",
  "usage": ["sign"],
  "notes": [
    "DO NOT USE THIS KEY IN PRODUCTION - EXAMPLE ONLY",
    "Generate your own key with: openssl ecparam -name prime256v1 -genkey -noout -out key.pem",
    "Convert to JSON format with base64 encoding",
    "Store in secure location (KMS, HSM, or encrypted filesystem)",
    "Rotate keys every 90 days for production use"
  ]
}