UKey riistvaralise rahakoti turvaarhitektuur põhineb rangetel füüsilise isolatsiooni põhimõtetel. Selle põhistrateegiaks on sisseehitatud turvakiip (Secure Element, SE), Eraldage täielikult kasutaja krüptograafiliste põhivarade mandaadid (privaatvõtmed) mis tahes väliskeskkonnast (termiline keskkond), millel on võrguühenduse omadused.
Järgmine on UKey riistvaraseadmete standardne töövoog ja selle aluseks oleva turbemehhanismi kirjeldus.
1. Tehingu allkirja interaktsiooni standardprotsess
Ahelas suheldes on UKey riistvaraseadmetel ja tarkvaraklientidel selge tööjaotus. Riistvara vastutab ainult allkirjade eest ja tarkvara võrgusuhtluse eest. Täielik protsess on järgmine:
Ehitage ja esitage taotlusi: kui kasutaja algatab ahelasisese tehingu UKey tarkvarakliendi (nt mobiilirakenduse või brauserilaienduse) kaudu, Klient vastutab algse tehinguandmete paketi (sh žetoonide arv, sihtaadress, nutika lepingu parameetrid jne) konstrueerimise ja allkirjapäringuna ühendatud riistvaraseadmesse saatmise eest.
Kohalik analüüs ja füüsiline kinnitus: UKey riistvaraseade võtab tarkvara poolelt vastu binaarse toorsõnumi ja viib seadme sees iseseisva sõelumise lõpule. Sõelutud võtme tehinguteave kuvatakse riistvaraekraanil. Kasutajad peavad füüsiliste nuppude või riistvaraliste puuteekraanide kaudu käsitsi kinnitama.
Kiibi tasemel võrguühenduseta allkiri: Kui ja ainult pärast kasutaja füüsilise loa saamist, kutsub UKey sisseehitatud turvakiip (SE) välja vastava privaatvõtme, mis on tuletatud mnemofraasist oma täielikult suletud mikroisolatsioonialal, et anda tehingule krüpteeritud digitaalallkiri.
Allkirjaandmete tagastamine: pärast allkirja arvutamise lõpetamist väljastab turvakiip ainult allkirjastatud tehingustringi ja riistvaraseade saadab selle tagasi välisele tarkvarakliendile.
Tehingu ülekanne ketis: Tarkvaraklient võtab vastu ja koostab täieliku allkirjastatud tehinguteate ning edastab selle seejärel sihtplokiahela võrku, oodates võrgusõlmede kontrollimist ja kaevandajate pakkimist.
2. Põhiliste turvaelementide kirjeldus
Privaatvõtme piiri isoleerimine: UKey riistvaraarhitektuur tagab, et privaatvõti on kogu elutsükli jooksul (genereerimine, salvestamine ja helistamine) rangelt turvakiibi sees kapseldatud ning ei välju ühelgi etapil turvapiirist.
Käsutaseme loa kaitselüliti: UKey seadmete süsteemi püsivara eemaldab aluseks oleva koodi tasemel igasuguse käsuliidese privaatvõtmete lugemiseks või eksportimiseks. See arhitektuurne disain välistab põhimõtteliselt privaatvõtme pahatahtliku ekstraheerimise loogilise võimaluse.
Piiratud ühesuunaline suhtlus: UKey riistvaraseadme ja ühendatud kolmanda osapoole tarkvara (sealhulgas hosti operatsioonisüsteemi) vahel on ainult piiratud ühesuunaline andmevoo interaktsioon (allkirjastatavate andmete vastuvõtmine ja allkirjastatud andmete väljastamine). Välised programmid ei pääse ilma loata juurde riistvaratuuma krüptitud salvestusalale ega pääse sellesse, tagades seega digitaalsete varade täieliku võrguühenduseta turvalisuse.