Requisiti conflittuali in FIPS 140-2 relativi all'immissione manuale della chiave

2

Requisito 1

All output data exiting the cryptographic module via the "data output" interface shall only pass through the output data path. The output data path shall be logically disconnected from the circuitry and processes while performing manual key entry.

Requisito 2

During key entry, the manually entered values may be temporarily displayed to allow visual verification and to improve accuracy.

Per visualizzare i valori per la verifica visiva, i dati devono essere passati tramite il percorso dei dati di output che sarà in contraddizione con il requisito 1. Cosa mi manca qui?

    
posta aviator 13.11.2017 - 13:58
fonte

2 risposte

2

No, l'inserimento manuale qui riferito è fatto da un dispositivo esterno (cioè un pinpad ) che è collegato alla crittografia modulo. Quando si inserisce la chiave, si fornisce un input al modulo crittografico in modo che il percorso dei dati di output possa essere disconnesso. Inoltre il dispositivo esterno può avere uno schermo in cui il portachiavi vedrà cosa digita.

Il significato del requisito 2 è che l'inserimento manuale della chiave sul display del dispositivo non deve essere nascosto (in contrasto con la password nascosta con le stelle quando si accede alla maggior parte dei sistemi ). Quindi il portachiavi che entra è la chiave in grado di verificare ciò che entra.

    
risposta data 13.11.2017 - 19:22
fonte
1

La conseguenza logica di questi due requisiti è che il display temporaneo consentito da (2) potrebbe non essere emesso dal modulo. Deve essere una visualizzazione dei dati che non è ancora stata inserita nel modulo.

Il limite di un modulo crittografico non deve essere completamente definito in termini fisici: deve definire un perimetro fisico, ma può escludere sottosistemi definiti in termini logici (a condizione che questi sottosistemi non abbiano alcun impatto sull'operazione di crittografia). Una tipica definizione di un modulo crittografico che consente l'immissione della chiave con echo escluderebbe la parte del sistema che fornisce l'eco locale. Quando si certifica un intero dispositivo, questo può essere fatto definendo il limite fisico come dispositivo, ma definendo il limite logico in un modo che esclude l'interfaccia utente.

Ai livelli 3 e superiori, per l'immissione della chiave è richiesta una porta fisicamente separata o percorso fidato . Questo può essere, per esempio, un dispositivo di tastiera, che può avere il proprio display locale; a quel display è permesso di echo le chiavi che l'utente sta digitando, ma se lo fa, allora non deve essere usato per visualizzare l'output dei dati. Un percorso attendibile potrebbe essere, ad esempio, una finestra protetta dallo snooping, che rispecchia ciò che l'utente sta digitando, ma non visualizza l'output dal processore crittografico in qualsiasi momento.

    
risposta data 13.11.2017 - 20:06
fonte

Leggi altre domande sui tag