Me gustaría entender la diferencia entre estas dos opciones sobre cómo generar una clave AES.
¿Son estas dos opciones equivalentes en términos de seguridad?
Desde un punto de vista técnico, no realmente. Si desea cumplir con los requisitos de FIPS 140-2 Nivel 3, absolutamente no.
FIPS 140-2 Nivel 3 tiene requisitos muy específicos, incluida la resistencia a la fuga de información cuando un atacante tiene algún nivel restringido de acceso físico al dispositivo. Esto significa que una implementación certificada debe garantizar que la implementación de la generación de claves y el cifrado en sí sea resistente a los ataques de canal lateral, como el análisis de potencia y las emisiones electromagnéticas. Los dispositivos de nivel 3 se someten a rigurosas pruebas de EMC que van más allá de los productos electrónicos normales. Al tomar material clave de un dispositivo FIPS 140-2 Nivel 3 y transformarlo innecesariamente en un dispositivo no compatible (por ejemplo, una computadora de propósito general), se anula la protección EMC que ofrece el dispositivo, y potencialmente se ofrecen otros canales laterales en el dispositivo. proceso.
Lea otras preguntas en las etiquetas key-management key-generation random key fips