Где хранятся ключи FIDO U2F?

Я получаю противоречивую информацию о том, как хранятся и используются электронные ключи. Где хранятся открытый и закрытый ключи? Если закрытый ключ хранится на самом Yubikey, сколько он может хранить?

Если оба ключа хранятся в службе, в которой вы выполняете аутентификацию (Gmail), отправляет ли yubikey закрытый ключ для расшифровки, чтобы использовать закрытый ключ для подписи?

Сайт Yubikey:

В процессе регистрации пары ключей генерируются на устройстве (защищенный элемент), но пары ключей не хранятся на YubiKeys . Вместо этого пара ключей (открытый ключ и зашифрованный закрытый ключ) сохраняется каждой проверяющей стороной / службой, инициировавшей регистрацию. Таким образом, такой подход позволяет связать неограниченное количество сервисов с U2F-сертифицированными ключами YubiKeys.

Веб-сайт FIDO:

Устройство и протокол U2F должны гарантировать конфиденциальность и безопасность пользователя. В основе протокола устройство U2F имеет возможность (в идеале, воплощенную в защищенном элементе) создавать пару открытого / закрытого ключей для конкретного источника. Устройство U2F предоставляет открытый ключ и дескриптор ключа исходной онлайн-службе или веб-сайту на этапе регистрации пользователя. Позже, когда пользователь выполняет аутентификацию, исходная онлайн-служба или веб-сайт отправляет идентификатор ключа обратно на устройство U2F через браузер. Устройство U2F использует дескриптор ключа для идентификации личного ключа пользователя и создает подпись, которая отправляется обратно источнику для проверки наличия устройства U2F. Таким образом, Key Handle - это просто идентификатор определенного ключа на устройстве U2F.

https://fastmail.blog/2016/07/23/how-u2f-security-keys-work/

https://developers.yubico.com/U2F/

https://fidoalliance.org/specs/fido-u2f-v1.2-ps-20170411/fido-u2f-overview-v1.2-ps-20170411.html#site-specific-public-private-key-pairs

https://www.yubico.com/authentication-standards/fido-u2f/#toggle-id-4