Pagrindinė „UKey“ aparatinės piniginės saugumo strategija yra fiziškai atskirti privatųjį raktą nuo tinklo aplinkos (terminės aplinkos) per saugų elementą.
1. Sandorio sąveikos procesas
Parašo užklausos inicijavimas Kai vartotojas inicijuoja grandininę operaciją naudodamas programinės įrangos klientą (pvz., programą mobiliesiems arba naršyklės papildinį), klientas sukurs operacijos duomenis, įskaitant žetonų skaičių, mokėjimo adresą, sutarties informaciją ir kt., ir išsiųs parašo užklausą į prijungtą „UKey“ aparatūros įrenginį.
Duomenų analizė ir rodymas Aparatinės įrangos įrenginys priima ir analizuoja dvejetainius neapdorotus pranešimus iš programinės įrangos pusės.
Saugos parašas neprisijungus: naudotojui patvirtinus operaciją fiziniais mygtukais arba palietus aparatūros įrenginį, įtaisytasis saugos lustas iškviečia privatųjį raktą (sugeneruotą pagal mnemoninę frazę), saugomą karantino zonoje, kad pasirašytų skaitmeninį formatą.
Parašo rezultato perdavimas atgal Užbaigus parašą, aparatinės įrangos įrenginys programinės įrangos klientui perduoda tik pasirašytą šifruotą operacijų informaciją.
Operacijų transliavimas į grandinę: kai programinės įrangos klientas gauna pasirašytus operacijos duomenis, jis perduoda juos blokų grandinės tinklui ir supakuoja bei įkelia į grandinę mazgų kasėjų.
2. Pagrindinės saugos funkcijos
Nulis privačių raktų nutekėjimo: architektūrinis „UKey“ aparatinės įrangos piniginės dizainas užtikrina, kad privatus raktas jokiu būdu nepaliktų saugos lusto.
Funkcijomis apribotas dizainas: įrenginio programinėje įrangoje nėra komandų sąsajos privačiam raktui eksportuoti, o tai pašalina galimybę išgauti privatųjį raktą iš pagrindinės logikos.
Vienpusis saugos izoliavimas: bet kokia prie jos prijungta trečiųjų šalių programinė įranga gali sąveikauti tik su duomenimis ir negali pasiekti arba įsiskverbti į užšifruotą pagrindinę aparatūros įrenginio sritį, taip užtikrinant visišką išteklių saugumą neprisijungus.