يتم تشفير نظام الملفات على أجهزة اللوحة والمكتب وسلسلة الغرف باستخدام إعداد المفتاح الموحد لنظام Linux (LUKS)، وهو المعيار لتشفير القرص الثابت لنظام التشغيل Linux. يتم حفظ مفتاح تشفير نظام الملفات إما في NVRAM أو NOR-flash. أثناء إعادة ضبط المصنع، تتم الكتابة فوق المفتاح ولا يمكن استرداده، مما يجعل أي شيء على القرص غير قابل للقراءة. وهذا يجعل إعادة ضبط المصنع طريقة آمنة لحذف البيانات وإزالتها وفقا لوزارة الدفاع الأمريكية 5220.22M وNIST 800-88r1.

أثناء إعادة ضبط المصنع:

  • يتم حذف سجلات المكالمات

  • تتم إعادة تعيين عبارات المرور إلى الوضع الافتراضي

  • تتم إعادة تعيين جميع معلمات الجهاز إلى القيم الافتراضية

  • يتم حذف جميع الملفات التي تم تحميلها على الجهاز

  • يتم حذف صورة البرنامج السابقة (غير النشطة)

  • لا تتأثر مفاتيح الخيارات

لا يمكنك التراجع عن إعادة ضبط المصنع. تأكد من أنه من الضروري القيام بذلك ، قبل البدء.

نوصي باستخدام واجهة الويب أو واجهة المستخدم لإعادة ضبط الجهاز على الإعدادات الأصلية. يجب عمل نسخة احتياطية من ملفات السجل والتكوينات والعناصر المخصصة للجهاز قبل إجراء إعادة ضبط المصنع ؛ وإلا ستفقد هذه البيانات. ارجع إلى دليل الإدارة للحصول على معلومات حول الطرق المختلفة لعمل نسخة احتياطية من جهازك وإعادة ضبطه.

NIST 800-88r1

يحدد معيار NIST 800-88r1 ثلاثة مستويات من التعقيم:

  • التنظيف: الحماية من تقنيات التعافي غير الباضعة

  • التطهير: جعل استعادة البيانات غير مجدية

  • تدمير: جعل استعادة البيانات غير مجدية ومنع استخدامها في المستقبل

يتحدث القسم 2.6 من المعيار عن استخدام محو التشفير (CE) وكيف يمكن تطبيقه لتلبية مستوى التطهير.

يسرد القسم 2.6.1 و 2.6.2 شروط متى (لا) تعتبر CE:

  • لا تستخدم CE لتطهير الوسائط إذا تم تمكين التشفير بعد تخزين البيانات الحساسة على الجهاز دون تعقيمها أولا.

  • لا تستخدم CE إذا كان من غير المعروف ما إذا كان قد تم تخزين البيانات الحساسة على الجهاز دون تطهيرها قبل التشفير.

  • ضع في اعتبارك استخدام CE عندما يتم تشفير جميع البيانات المخصصة ل CE قبل تخزينها على الوسائط (بما في ذلك البيانات ، وكذلك النسخ الافتراضية).

  • ضع في اعتبارك استخدام CE عندما نعرف المواقع على الوسائط حيث يتم تخزين مفتاح التشفير (سواء كان مفتاح تشفير البيانات المستهدفة أو مفتاح التفاف مرتبط) ويمكننا تعقيم تلك المناطق باستخدام تقنية التعقيم المناسبة الخاصة بالوسائط ، مما يضمن معالجة الموقع الفعلي على الوسائط حيث يتم تخزين المفتاح.

  • ضع في اعتبارك استخدام CE عندما يمكننا معرفة أن جميع نسخ مفاتيح التشفير المستخدمة لتشفير البيانات المستهدفة يتم تطهيرها.

  • ضع في اعتبارك استخدام CE عندما تكون مفاتيح تشفير البيانات المستهدفة مشفرة بحد ذاتها باستخدام مفتاح تغليف واحد أو أكثر ونحن واثقون من أنه يمكننا تعقيم مفاتيح التغليف المقابلة.

  • ضع في اعتبارك استخدام CE عندما نكون واثقين من قدرة المستخدم على تحديد الأوامر التي يوفرها الجهاز واستخدامها بوضوح لإجراء عملية CE.

في RoomOS ، يتم إعداد أنظمة الملفات المشفرة المستخدمة لبيانات العملاء وتشفيرها في وقت مبكر من التمهيد الأولي ، قبل إنشاء أي بيانات حساسة. يتم تخزين المفتاح كما هو موضح أعلاه إما في eeprom (البرامج القديمة) أو باستخدام آليات منطقة الثقة الخاصة ب SoC ، ويمكن تعقيمه بشكل آمن.

لا يتم نسخ المفتاح احتياطيا مطلقا ولا توجد آلية ضمان رئيسية.

مع وضع كل هذا في الاعتبار ، تؤكد Cisco أن آلية إعادة ضبط المصنع في RoomOS متوافقة مع مستوى Purge في NIST 800-88r1.

تشفير بيانات العملاء

تشفير القرص

تستخدم الأجهزة جهاز فلاش للتخزين كبير السعة ، حيث يستحيل ضمان الحذف الآمن. لذلك يتم تخزين جميع بيانات العملاء الموجودة على الأجهزة على أنظمة ملفات مشفرة ، وعند إجراء إعادة تعيين إلى إعدادات المصنع الافتراضية ، يتم حذف مفتاح التشفير فقط ، مما يجعل بيانات العميل غير قابلة للوصول.

لتسهيل ذلك ، نقوم بإنشاء ملف كبير مناسب على الفلاش الرئيسي ونستخدم تشفير أداة Linux القياسية لإنشاء جهاز استرجاع. على هذا الجهاز نقوم بإنشاء نظام ملفات ext4 قياسي. توجد تفاصيل حول مكان تخزين مفتاح التشفير في القسم التالي.

يتم إنشاء جهاز الحلقة باستخدام LUKS1 بحجم مفتاح 512 بت وتشفير aes-xts-plain64:

 حالة إعداد التشفير $ / dev / mapper / config / dev / mapper / config نشطة وقيد الاستخدام. النوع: LUKS1 الشفرات: AES-XTS-plain64 حجم المفتاح: 512 بت الموقع الرئيسي: DM-Crypt الجهاز: / dev / loop5 حلقة: / mnt / قاعدة / image1 / rwfs / config.img حجم القطاع: 512 الإزاحة: 4096 حجم القطاعات: 61440 وضع القطاعات: قراءة / كتابة

أثناء التشغيل المنتظم للجهاز ، يتم استخدام cryptsetup لفك تشفير أنظمة الملفات قبل تركيبها. عند حذف مفتاح التشفير ، لم يعد من الممكن إعداد جهاز الحلقة وتركيب أنظمة الملفات.

مفتاح التشفير الذي نستخدمه هو قراءة 20 بايت من / dev / urandom والذي يتم تشغيله من خلال sha1sum للحصول على تمثيل ascii. يتم إنشاء المفتاح عند التمهيد الأول بعد إعادة ضبط المصنع ولا يتغير حتى يتم إجراء إعادة ضبط المصنع الجديدة.

حماية مفتاح تشفير البيانات

نستخدم مفتاحي تشفير مختلفين على أجهزتنا. واحد لقسم /data داخل حاوية Android (ل Microsoft MTR و Zoom) وواحد لأنظمة الملفات الأخرى (يستخدم لتكوين العميل وأوراق الحائط وسجل المكالمات والسجلات التاريخية وما إلى ذلك).

بالنسبة لقسم /data في Android ، تم دائما تخزين المفتاح الخاص بشكل آمن داخل حدود Nvidia TrustZone أو ، على Room Navigator ، مشفر باستخدام آلية التشفير المضمنة في SoC.

حتى CE-11.25.x ، يتم تخزين المفتاح الآخر في EEPROM. في حين أن EEPROM لا يمكن الوصول إليه للمستخدمين القادمين من خلال أي قناة عادية ، إلا أنه يمكن إزالته بالقوة من الجهاز (جنبا إلى جنب مع قرص الفلاش) لفك تشفير المحتويات بالفعل.

بدءا من ce-11.26.x ، نقوم بنقل مفتاح تشفير نظام الملفات العادي إلى بيئة التنفيذ الموثوقة من Nvidia (TEE) استنادا إلى ARM TrustZone [0] ، لذلك لن يكون من الممكن استخراج المفتاح من Nvidia SoC. نظرا لأن الطريقة الوحيدة (المعروفة) للتحايل على عملية التمهيد الآمن هي استبدال Nvidia SoC بالكامل ، والذي سيؤدي بعد ذلك إلى إزالة المفتاح ، فإن استخراج المفتاح سيقتصر على العثور على نقاط الضعف في كود CE للحصول على غلاف جذر بأذونات كافية للحصول على المفتاح.

بالنسبة لمتصفح الغرفة، سيكون الترحيل في إصدار أحدث.