Requisitos conflictivos en FIPS 140-2 con respecto a la entrada de clave manual

2

Requisito 1

  

Todos los datos de salida que salen del módulo criptográfico a través de la "salida de datos"   La interfaz solo pasará a través de la ruta de datos de salida. La ruta de datos de salida se desconectará lógicamente   desde los circuitos y procesos mientras se realiza la introducción manual de claves.

Requisito 2

  

Durante la entrada clave, los valores ingresados manualmente pueden mostrarse temporalmente para permitir la verificación visual   y para mejorar la exactitud.

Para mostrar los valores para la verificación visual, los datos deben pasarse a través de la ruta de datos de salida, lo que contradecirá el requisito 1. ¿Qué me falta aquí?

    
pregunta aviator 13.11.2017 - 13:58
fuente

2 respuestas

2

No, la entrada manual que se menciona aquí se realiza mediante un dispositivo externo (es decir, un pinpad ) que está conectado al dispositivo criptográfico. módulo. Cuando ingresa la clave, ingresa el módulo criptográfico para que la ruta de datos de salida se pueda desconectar. Además, el dispositivo externo puede tener una pantalla de visualización donde el titular de la clave verá lo que escribe.

El significado del requisito 2 es que la entrada manual de la tecla en la pantalla del dispositivo no tiene que estar oculta (a diferencia de la contraseña oculta con estrellas cuando inicia sesión en la mayoría de los sistemas ). Por lo tanto, la clave que ingresa es clave para verificar lo que ingresa.

    
respondido por el Whysmerhill 13.11.2017 - 19:22
fuente
1

La consecuencia lógica de estos dos requisitos es que la visualización temporal permitida por (2) no puede salir del módulo. Debe ser una visualización de datos que aún no hayan ingresado al módulo.

El límite de un módulo criptográfico no tiene que estar completamente definido en términos físicos: necesita definir un perímetro físico, pero puede excluir los subsistemas definidos en términos lógicos (siempre que estos subsistemas no tengan impacto en la operación criptográfica). Una definición típica de un módulo criptográfico que permita la entrada de claves con eco excluiría la parte del sistema que proporciona el eco local. Al certificar un dispositivo completo, esto se puede hacer definiendo el límite físico como el dispositivo, pero definiendo el límite lógico de una manera que excluye la interfaz de usuario.

En los niveles 3 y superiores, se requiere un puerto físicamente separado o ruta de confianza para la entrada clave. Esto puede ser, por ejemplo, un dispositivo de teclado, que puede tener su propia pantalla local; esa pantalla puede hacer eco de las teclas que el usuario está escribiendo, pero si lo hace, no debe usarse para mostrar la salida de datos. Una ruta de confianza podría ser, por ejemplo, una ventana que está protegida de la indagación y que refleja lo que el usuario está escribiendo, pero no muestra la salida del procesador criptográfico en ningún momento.

    
respondido por el Gilles 13.11.2017 - 20:06
fuente

Lea otras preguntas en las etiquetas