<div dir="ltr"><div><font size="2"><span style="font-family:arial,sans-serif">All,</span></font></div><div><font size="2"><span style="font-family:arial,sans-serif"><br></span></font></div><div><font size="2"><span style="font-family:arial,sans-serif">Both <a href="https://csrc.nist.gov/glossary/term/air_gap">https://csrc.nist.gov/glossary/term/air_gap</a> and 

















<span style="line-height:107%"><a href="https://www.rfc-editor.org/rfc/rfc4949" style="color:rgb(5,99,193);text-decoration:underline">https://www.rfc-editor.org/rfc/rfc4949</a> <span>define "air gap" as "</span></span>An interface between two systems at which (a) they are not<span> </span>connected
physically and (b) any logical connection is not<span> </span>automated (i.e.,
data is transferred through the interface only<span></span><span style="line-height:107%"><span>
</span>manually, under human control).</span>"  <br></span></font></div><div><font size="2"><span style="font-family:arial,sans-serif"><br></span></font></div><div><font size="2"><span style="font-family:arial,sans-serif">But this definition seems antiquated and not entirely clear. For instance, it doesn't address wireless connections, only physical connections. Also, I believe that use of the word "interface" and other language in that definition have the potential to cause confusion. <br></span></font></div><div><font size="2"><span style="font-family:arial,sans-serif"><br></span></font></div><div><font size="2"><span style="font-family:arial,sans-serif">RFC 4949 does clarify the definition with a parenthetical and an example:</span></font></div><div><font size="2"><span style="font-family:arial,sans-serif"><br></span></font></div><div style="margin-left:40px"><font size="2"><span style="font-family:arial,sans-serif">(See: sneaker net. Compare:<span> </span>gateway.) <br></span></font></div><div style="margin-left:40px"><font size="2"><span style="font-family:arial,sans-serif"><br></span></font></div><div style="margin-left:40px"><font size="2"><span style="font-family:arial,sans-serif">Example:
Computer A and computer B are on opposite sides of a<span> </span>room. To move
data from A to B, a person carries a disk across the<span> </span>room. If A and B
operate in different security domains, then<span> </span>moving data
across the air gap may involve an upgrade or downgrade<span> </span>operation.<span></span></span></font><br></div><div style="margin-left:40px"><font size="2"><span style="font-family:arial,sans-serif"></span></font></div><div><br><div><font size="2"><span style="font-family:arial,sans-serif"></span></font></div><div><font size="2"><span style="font-family:arial,sans-serif">One<font size="2"><span style="font-family:arial,sans-serif"> potential definition of "air-gapped"</span></font>

(Alternative A) could be "<span style="line-height:107%">separation between two devices or networks because they lack an electrical
or wireless connection, which prevents them from communicating except by some
external, manual, human interaction (e.g. computer A and computer B are on
opposite sides of a room, and to move data from A to B, a person must carry a transfer
device across the room)."</span></span></font></div><div><font size="2"><span style="font-size:11pt;line-height:107%;font-family:"Calibri",sans-serif"><br></span></font></div><div><font size="2"><span style="font-size:11pt;line-height:107%;font-family:"Calibri",sans-serif">Alternative B could be:</span></font><span style="font-size:10pt;line-height:107%;font-family:"Arial",sans-serif">  "the absence of connections (electrical, wireless, or any other
networking) that prevents a system from communicating with another system and
requires human intervention and a transfer device for data to move between
the two systems."</span></div><div><span style="font-size:10pt;line-height:107%;font-family:"Arial",sans-serif"><br></span></div><div><span style="font-size:10pt;line-height:107%;font-family:"Arial",sans-serif">Alternative C would be to define "Air Gap", as above in <span style="font-size:10pt;line-height:107%;font-family:"Arial",sans-serif">the CSRC/RFC definition,</span> and add the words "or wirelessly", so that it would read "<font size="2"><span style="font-family:arial,sans-serif">An interface between two systems at which (a) they are not<span> </span>connected
physically <u>or wirelessly</u> and (b) any logical connection is not<span> </span>automated (i.e.,
data is transferred through the interface only<span></span><span style="line-height:107%"><span>
</span>manually, under human control).</span>"  <br></span></font></span></div><div><span style="font-size:10pt;line-height:107%;font-family:"Arial",sans-serif"><font size="2"><span style="font-family:arial,sans-serif"><br></span></font></span></div><div><div><font size="2"><span style="font-family:arial,sans-serif">Also,
 I'll raise it here, for completeness, but I'm thinking we do not want 
to enlarge the scope of "air-gapped" to allow cryptographic, tunneled 
connections. I'm inclined to keep our definition simple (and hence hopefully more secure), but if anyone has other suggestions, please feel free to chime in.</span></font></div><div><font size="2"><span style="font-family:arial,sans-serif"><br></span></font></div><div><font size="2"><span style="font-family:arial,sans-serif">Please provide Alternatives D to Z.<br></span></font></div><div><font size="2"><span style="font-family:arial,sans-serif"><br></span></font></div><div><font size="2"><span style="font-family:arial,sans-serif">Finally, while I'm thinking about it, in the NCSSRs, do we want to consider "powered off and locked in a safe" separately from "air gapped" - it seems there might be a different risk profile?<br></span></font></div><div><font size="2"><span style="font-family:arial,sans-serif"><br></span></font></div><div><font size="2"><span style="font-family:arial,sans-serif">Thanks in advance,</span></font></div><div><font size="2"><span style="font-family:arial,sans-serif"><br></span></font></div><div><font size="2"><span style="font-family:arial,sans-serif">Ben<br></span></font></div>

<font size="2">



</font></div><div><font size="2"><br></font></div><div><font size="2"><br></font></div><div><font size="2"><br></font></div>



</div></div>