La consecuencia lógica de estos dos requisitos es que la visualización temporal permitida por (2) no puede salir del módulo. Debe ser una visualización de datos que aún no hayan ingresado al módulo.
El límite de un módulo criptográfico no tiene que estar completamente definido en términos físicos: necesita definir un perímetro físico, pero puede excluir los subsistemas definidos en términos lógicos (siempre que estos subsistemas no tengan impacto en la operación criptográfica). Una definición típica de un módulo criptográfico que permita la entrada de claves con eco excluiría la parte del sistema que proporciona el eco local. Al certificar un dispositivo completo, esto se puede hacer definiendo el límite físico como el dispositivo, pero definiendo el límite lógico de una manera que excluye la interfaz de usuario.
En los niveles 3 y superiores, se requiere un puerto físicamente separado o ruta de confianza para la entrada clave. Esto puede ser, por ejemplo, un dispositivo de teclado, que puede tener su propia pantalla local; esa pantalla puede hacer eco de las teclas que el usuario está escribiendo, pero si lo hace, no debe usarse para mostrar la salida de datos. Una ruta de confianza podría ser, por ejemplo, una ventana que está protegida de la indagación y que refleja lo que el usuario está escribiendo, pero no muestra la salida del procesador criptográfico en ningún momento.