Board-, Desk- ja Room Series -laitteiden tiedostojärjestelmä on salattu Käyttämällä Chromen Unified Key Setup (LUKS) -standardia, joka on Desktopin kovalevyn salauksen standardi. Tiedostojärjestelmän salausavain tallennetaan joko NVRAM- tai NOR-flash-avaimeen. Tehdasasetusten palautuksen aikana avain korvataan eikä sitä voi palauttaa, joten levyä ei voi lukea. Tämä tekee tehdasasetuksiin turvallisen menetelmän tietojen poistamiseksi ja puhdistamiseksi Yhdysvaltain dod 5220.22M ja NIST 800-88r1 mukaisesti.

Tehdasasetusten palauttamisen aikana:

• Puhelulokit poistetaan

• Tunnuslausetukset palautetaan oletusasetuksiin

• Kaikki laiteparametrit palautetaan oletusarvoihin

• Kaikki laitteeseen ladatut tiedostot poistetaan

• Edellinen (passiivinen) ohjelmistokuva poistetaan

• Tämä ei vaikuta valintanäppäimiin

Tehdasasetusta ei voi kumota. Varmista, että se on tarpeen, ennen kuin aloitat.

NIST 800-88r1

NIST-vakio 800-88r1 määrittää kolme puhdistustasoa:

• Clean: Suojaa ei-invasiivisia palautusmenetelmiä vastaan

• Tyhjennys: Tee tietojen palautumisesta mahdotonta

• Tuhoa: Tee tietojen palautumisesta mahdotonta ja estä tuleva käyttö

Vakiopuheiden 2.6 kohdassa puhutaan salauspyyhinnän (CE) käytöstä ja siitä, miten sitä voidaan käyttää tyhjennystason täyttämiseksi.

Kohdassa 2.6.1 ja 2.6.2 luetellaan ehdot, jotka koskevat SITÄ, milloin (ei) otetaan huomioon CE:

• Älä käytä CE:ä median puhdistamiseen, jos salaus on otettu käyttöön sen jälkeen, kun laitteeseen on tallennettu arkaluonteisia tietoja ilman, että sitä ei ole ensin puhdistu.

• Älä käytä CE:ä, jos ei ole tiedossa, onko laitteeseen tallennettu arkaluonteisia tietoja ilman, että niitä on puhdistettu ennen salausta.

• Harkitse CE:n käyttöä, kun kaikki CE:lle tarkoitetut tiedot salataan ennen tallennusta mediaan (mukaan lukien tiedot ja virtualoidut kopiot).

• Harkitse CE:n käyttöä, kun tiedämme ne sijainnit mediassa, joissa salausavain on tallennettu (oli se sitten kohdetietojen salausavain tai siihen liittyvä kääreavain) ja voimme puhdistaa nämä alueet asianmukaisen mediakohtaisen puhdistusmenetelmän avulla varmistaen, että todellinen sijainti mediassa, johon avain on tallennettu, käsitellään.

• Harkitse CE:n käyttöä, kun tiedämme, että kaikki kohdetietojen salaukseen käytettävät salausavainten kopiot on puhdistettu.

• Harkitse CE:n käyttöä, kun kohdetietojen salausavaimet ovat itse salattuja yhdellä tai useammalla käärenäppäimellä, ja luotamme siihen, että voimme puhdistaa vastaavat käärenäppäimet.

• Harkitse CE:n käyttöä, kun luotamme käyttäjän kykyyn tunnistaa selvästi laitteen CE-toiminnon suorittamiseen tarjoamat komennot ja käyttää niitä.

RoomOS:ssa asiakastiedoissa käytettävät salatut tiedostojärjestelmät määritetään ja salataan ensimmäisen käynnistyksen alussa, ennen arkaluonteisten tietojen luomista. Avain tallennetaan yllä kuvatulla tavalla joko eepromiin (vanhempaan ohjelmistoon) tai SoC:n luottamusvyöhykkeen salauksen avulla, ja se voidaan puhdistaa turvallisesti.

Näppäintä ei koskaan varmuuskopioita eikä avaimen sulkumekanismia ole.

Kaikki tämä mielessään Cisco väittää, että RoomOS: n tehdasasetusmekanismi on yhteensopiva NIST 800-88r1: n tyhjennystason kanssa.

Asiakastietojen salaus

Levyn salaus

Laitteet käyttävät massamuistiin flash-laitetta, jonka turvallista poistamista on mahdotonta taata. Kaikki laitteiden asiakastiedot tallennetaan siis salattuihin tiedostojärjestelmiin, ja kun tehdasoletusasetukset palautetaan, vain salausavain poistetaan, minkä vuoksi asiakastiedot eivät ole käytettävissä.

Tätä varten luomme sopivan suuren tiedoston pääaamulle ja luomme vakio-Chrome-työkalun salauslaitteen avulla loopback-laitteen. Tällä laitteella luomme vakiomuotoisen ext4-tiedostojärjestelmän. Tiedot siitä, mihin tallennamme salausavaimen, ovat seuraavassa osiossa.

Silmukkalaite luodaan LUKS1-näppäimellä, jonka avaimen koko on 512 bittiä, ja aes-xts-plain64-salakirjoituslla:

 $ salauksen tila /dev/mapper/config /dev/mapper/config on aktiivinen ja käytössä. tyyppi: LUKS1-salakirjoitus: aes-xts-plain64-näppäimen koko: 512 bittiä avaimen sijainti: dm-salauslaite: /dev/loop5-silmukka: /mnt/base/image1/rwfs/config.img-sektorikoko: 512 siirtymä: 4096 sektorikoko: 61440 sektoritilaa: luku/kirjoitus

Laitteen säännöllisen toiminnan aikana salausta käytetään tiedostojärjestelmien salauksen purkamiseen ennen niiden asentamista. Kun salausavain poistetaan, silmukkalaitetta ei enää voi määrittää ja tiedostojärjestelmiä voi asentaa.

Käytettävä salausavain on 20 tavua /dev/urandomista, joka on läpikäyty sha1sum saadaksesi ascii-esityksen. Avain luodaan, kun ensimmäinen käynnistys on tehty tehdasasettamisen jälkeen, eikä sitä muuteta, ennen kuin uusi tehdasasetus on palautettu.

Tietojen salausavaimen suojaus

Käytämme laitteissamme kahta eri salausavainta. Yksi Android-säilössä /data-osiolle (Microsoft MTR ja Kolmasosa) ja toinen muille tiedostojärjestelmille (käytetään asiakasmäärityksiin, seinäpapereihin, puhelulokiin, historialokeihin ja niin edelleen).

Androidin /data-osiolle yksityinen avain on aina tallennettu turvallisesti Nvidia TrustZone -tietokantaan, tai Room Navigatorissa salattu SoC: n sisäänrakennetulla salausmekanismilla.

Ce-11.25.x asti toinen avain tallennetaan EEPROM:iin asti. Vaikka tavallisen kanavan kautta tulevat käyttäjät eivät pysty käyttämään EEPROM:ää, se voidaan poistaa väkisin laitteesta (yhdessä flash-levyn kanssa) sisällön salauksen purkamiseksi.

Käynnistämällä ce-11.26.x siirrämme tavallisen tiedostojärjestelmän salausavaimen Nvidian luotettuun suoritusympäristöön (TEE) ARM TrustZonen[0] perusteella, joten avainta ei voida purkaa Nvidia SoC: stä. Koska ainoa (tunnettu) tapa estää turvallinen käynnistysprosessi on korvata koko Nvidia SoC, joka sitten poistaisi näppäimen, avaimen louhinta rajoittuisi CE-koodin haavoittuvuuksien löytämiseen, jotta saisit juurikuoren, jolla on tarvittavat käyttöoikeudet avaimen saamiseksi.

Room Navigatorissa siirto on myöhemmässä versiossa.