6.5. RFS – configuring auto push . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê44
6.6. Security World replacement options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê44
6.7. Host platform and client applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê44
6.8. Preload utility. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê45
6.9. Discarding keys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê46
6.10. Erasing a module from a Security World . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê46
6.11. Replacing an OCS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê46
6.12. Replacing the ACS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê46
6.13. Firmware upgrade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê47
6.14. Enabling and disabling remote upgrade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê47
6.15. Migrating keys to a v3 Security World. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê47
7. Key Management. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê49
7.1. Key management schema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê49
7.2. Security World security strengths . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê49
7.3. Application keys algorithms and key sizes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê51
7.4. Cryptoperiods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê51
7.5. Generating random numbers and keys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê52
7.6. Key backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê52
7.7. Key import . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê53
7.8. Key separation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê53
7.9. nShield JCA/JCE CSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê53
7.10. nShield PKCSÊ#11 library . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê54
8. Physical Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê56
8.1. nShield Edge physical security controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê56
8.2. nShield Solo+ physical security controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê56
8.3. nShield Solo XC physical security controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê57
8.4. nShield Connect physical security controls. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê58
8.5. nShield card readers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê63
8.6. Tamper inspection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê63
9. Audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê64
9.1. HSM and card reader location. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê64
9.2. ACS and OCS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê64
9.3. Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê64
9.4. Audit logging. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê65
9.5. Audit Logging time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê66
10. Support and Maintenance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê67
10.1. Security Advisories. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê67
10.2. Application and Operating System patching. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê67
10.3. Connect fan tray module and PSU maintenance. . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê67
10.4. Solo XC fan and battery maintenance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ê68
nShield® Security Manual 3 of 90
