Ce înseamnă acest lucru deconectat de la procesele care efectuează generarea de chei sau zeroizarea în modul de criptare

În FIPS 140-2 Partea 2: Interfețe și porturi în politica de securitate a produsului a spus: 1- „calea datelor de ieșire este furnizată de interfețele de date și este deconectată logic din procesele care efectuează generarea sau zeroizarea cheilor. Nicio informație cheie nu va fi transmisă prin interfața de ieșire a datelor atunci când modulul pune la zero cheile." Ce înseamnă acest lucru? 2- Și acest „Calea datelor de ieșire va fi deconectată logic de la circuite și procese în timp ce se efectuează generarea cheii, introducerea manuală a cheii sau zeroizarea cheii."

Este un joc de marketing criptografic pentru a convinge utilizatorii finali să plătească dublu.

Este vorba despre hardware. Tot ceea ce înseamnă este că cheile criptografice, generate de obicei printr-un proces adevărat aleatoriu, nu sunt/nu sunt niciodată trimise în afara dispozitivului fizic. Cel mai bun mod de a ilustra acest lucru este prin exemplu: https://www.maximintegrated.com/en/design/partners-and-technology/design-technology/chipdna-puf-technology.html. Ei spun:-

Cel mai important, cheia de securitate ChipDNA nu se află niciodată static în registre sau memorie și nici nu părăsește granița electrică a CI.

Exemplul meu de mai sus este o funcție fizică neclonabilă (PUF) conceput pentru autentificare sigură. Este posibil să aveți unul într-un cartuş de imprimantă elegant sau într-un microcontroler încorporat.

dacă un utilizator generează o cheie, un alt utilizator preia managementul și controlul. cum fac dispozitivele asta?

Acesta ar fi cazul pentru a generator de chei/ generator de numere aleatoare adevărate sau nod de distribuție a cheilor cuantice. Dar nu pentru autentificare. Nu este nevoie să dați o cheie privată în cazurile de utilizare a autentificării. Dispozitivul se etanșează de lumea exterioară fie pentru a semna în siguranță cheile imprevizibile, fie pentru a le distruge complet, fără posibilitatea de a le reaminti. În acest fel, procesele de semnătură/distrugere nu pot fi interferate.

Aceasta înseamnă pur și simplu cheile noi (TRNG în scheme) sunt obscucate de o funcție unidirecțională; SHA-3 în acest caz. Și împreună cu a "SHA3 SECRET", probabil o cheie generală de dispozitiv deținută de Maxim (și partea PUF). Asta creează un ersatz funcția hash cu taste. Cheile SHA3 SECRET sunt/nu sunt direct accesibile prin niciun circuit de intrare/ieșire.

Este puțin probabil ca utilizatorii să cunoască vreodată detaliile adevărate, deoarece aceasta este proprietate intelectuală proprietară și nu poate fi ușor auditat. FIPS 140-2 este doar standardul aplicabil la care sunt fabricate astfel de dispozitive.

Zeroizarea asa suna. Aceasta și înfundarea cheii sunt pentru a preveni extragerea cheii discutate în acest întrebare.

Citesc asta ca: Interfețele și porturile nu ar trebui să scurgă informații care ar putea fi legate de cheile care sunt generate, introduse manual sau zero (șterse). Altfel spus: păstrați secretele de la observatorii care au prins aceste căi de comunicare.