FIPS140-2 estándar especifica la siguiente prueba condicional que debe realizar el criptográfico módulo si los componentes de software o firmware pueden cargarse externamente en un módulo criptográfico:
- Se aplicará una técnica de autenticación aprobada (por ejemplo, un código de autenticación de mensaje aprobado, un algoritmo de firma digital o HMAC) a todos los componentes de software y firmware validados cuando los componentes se carguen externamente en un módulo criptográfico. La prueba de carga de software / firmware no se requiere para ningún software y componentes de firmware excluidos de los requisitos de seguridad de esta norma (consulte Sección 4.1 ).
- El resultado calculado se comparará con un resultado generado previamente. Si el resultado calculado no es igual al resultado generado anteriormente, la prueba de carga de software / firmware fallará.
Sección 4.1 : los componentes de hardware, software y firmware de un módulo criptográfico se pueden excluir de los requisitos de esta norma si se demuestra que estos componentes no afectan la seguridad del módulo.
Debo argumentar que el código de inicio se puede excluir de acuerdo con la Sección 4.1, por lo tanto, el código de inicio no afecta la seguridad del módulo, ya que existen ataques que involucran el código de inicio como " Evil Maid "?
Nota: este módulo criptográfico se define como un módulo criptográfico de hardware. El oficial criptográfico puede actualizar el código de arranque que reinicia el firmware implementando la funcionalidad criptográfica.
¿Debo agregar una firma digital o HMAC para el nuevo código de inicio cuando deseo realizar una actualización O debo argumentar para excluirlo?