La conseguenza logica di questi due requisiti è che il display temporaneo consentito da (2) potrebbe non essere emesso dal modulo. Deve essere una visualizzazione dei dati che non è ancora stata inserita nel modulo.
Il limite di un modulo crittografico non deve essere completamente definito in termini fisici: deve definire un perimetro fisico, ma può escludere sottosistemi definiti in termini logici (a condizione che questi sottosistemi non abbiano alcun impatto sull'operazione di crittografia). Una tipica definizione di un modulo crittografico che consente l'immissione della chiave con echo escluderebbe la parte del sistema che fornisce l'eco locale. Quando si certifica un intero dispositivo, questo può essere fatto definendo il limite fisico come dispositivo, ma definendo il limite logico in un modo che esclude l'interfaccia utente.
Ai livelli 3 e superiori, per l'immissione della chiave è richiesta una porta fisicamente separata o percorso fidato . Questo può essere, per esempio, un dispositivo di tastiera, che può avere il proprio display locale; a quel display è permesso di echo le chiavi che l'utente sta digitando, ma se lo fa, allora non deve essere usato per visualizzare l'output dei dati. Un percorso attendibile potrebbe essere, ad esempio, una finestra protetta dallo snooping, che rispecchia ciò che l'utente sta digitando, ma non visualizza l'output dal processore crittografico in qualsiasi momento.