מערכת הקבצים במכשירים מובנים, שולחניים וסדרות חדרים מוצפנת באמצעות Linux Unified Key Setup (LUKS), התקן להצפנת דיסק קשיח של Linux. מפתח ההצפנה של מערכת הקבצים נשמר ב- NVRAM או ב- NOR-flash. במהלך איפוס להגדרות היצרן, המפתח מוחלף ולא ניתן לשחזר אותו, מה שהופך שום דבר בדיסק לבלתי קריא. זה הופך את איפוס היצרן לשיטה מאובטחת למחיקה וניקוי נתונים בהתאם למשרד ההגנה האמריקאי 5220.22M ו- NIST 800-88r1.

במהלך איפוס להגדרות היצרן:

  • יומני שיחות נמחקים

  • ביטויי סיסמה מתאפסים לברירת המחדל

  • כל פרמטרי ההתקן מאופסים לערכי ברירת המחדל

  • כל הקבצים שהועלו למכשיר נמחקים

  • תמונת התוכנה הקודמת (לא פעילה) נמחקת

  • מקשי האפשרויות אינם מושפעים

לא ניתן לבטל איפוס להגדרות יצרן. ודא שיש צורך לעשות זאת, לפני שתתחיל.

מומלץ להשתמש בממשק האינטרנט או בממשק המשתמש כדי לאפס את ההתקן להגדרות היצרן. עליך לגבות את קבצי היומן, התצורות והרכיבים המותאמים אישית של ההתקן לפני ביצוע איפוס להגדרות היצרן; אחרת נתונים אלה יאבדו. עיין במדריך הניהול לקבלת מידע על הדרכים השונות לגבות ולאפס את המכשיר.

NIST 800-88R1

תקן NIST 800-88r1 מציין שלוש רמות חיטוי:

  • ניקוי: הגנה מפני טכניקות התאוששות לא פולשניות

  • טיהור: הפיכת שחזור נתונים לבלתי אפשרי

  • להרוס: להפוך את שחזור הנתונים לבלתי אפשרי ולמנוע שימוש עתידי

סעיף 2.6 של התקן מדבר על השימוש במחיקה קריפטוגרפית (CE) וכיצד ניתן ליישם אותה כדי לעמוד ברמת הטיהור.

סעיף 2.6.1 ו- 2.6.2 מפרט את התנאים מתי (לא) לשקול CE:

  • אל תשתמש ב-CE לטיהור מדיה אם ההצפנה הופעלה לאחר שנתונים רגישים אוחסנו במכשיר מבלי שעברו חיטוי תחילה.

  • אין להשתמש ב-CE אם לא ידוע אם נתונים רגישים אוחסנו במכשיר מבלי לעבור חיטוי לפני ההצפנה.

  • שקול להשתמש ב- CE כאשר כל הנתונים המיועדים ל- CE מוצפנים לפני אחסון במדיה (כולל הנתונים, כמו גם עותקים וירטואליים).

  • שקול להשתמש ב- CE כאשר אנו יודעים את המיקומים במדיה שבהם מאוחסן מפתח ההצפנה (בין אם זה מפתח ההצפנה של נתוני היעד או מפתח העטיפה המשויך) ויכולים לחטא אזורים אלה באמצעות טכניקת החיטוי המתאימה הספציפית למדיה, כדי להבטיח שהמיקום האמיתי במדיה שבה מאוחסן המפתח מטופל.

  • שקול להשתמש ב- CE כאשר אנו יכולים לדעת שכל העותקים של מפתחות ההצפנה המשמשים להצפנת נתוני היעד עוברים חיטוי.

  • שקול להשתמש ב- CE כאשר מפתחות ההצפנה של נתוני היעד מוצפנים בעצמם באמצעות מפתח גלישה אחד או יותר ואנו בטוחים שנוכל לחטא את מפתחות העטיפה המתאימים.

  • שקול להשתמש ב- CE כאשר אנו בטוחים ביכולתו של המשתמש לזהות בבירור ולהשתמש בפקודות המסופקות על ידי המכשיר לביצוע פעולת CE.

ב- RoomOS, מערכות הקבצים המוצפנות המשמשות לנתוני לקוחות מוגדרות ומוצפנות בשלב מוקדם של האתחול הראשוני, לפני יצירת נתונים רגישים כלשהם. המפתח מאוחסן כמתואר לעיל ב- eeprom (תוכנה ישנה יותר) או באמצעות מנגנוני אזור האמון של SoC, וניתן לחטא אותו בצורה מאובטחת.

המפתח לעולם אינו מגובה ואין מנגנון נאמנות מפתח.

עם כל זה בחשבון, סיסקו טוענת כי מנגנון איפוס המפעל ב- RoomOS תואם לרמת הטיהור ב- NIST 800-88r1.

הצפנת נתוני לקוחות

הצפנת דיסק

המכשירים משתמשים במכשיר פלאש לאחסון בנפח גדול, שבו מחיקה מאובטחת היא בלתי אפשרית להבטיח. לפיכך, כל נתוני הלקוחות במכשירים מאוחסנים במערכות קבצים מוצפנות, וכאשר מתבצע איפוס לברירות המחדל של היצרן, רק מפתח ההצפנה נמחק, מה שהופך את נתוני הלקוח לבלתי נגישים.

כדי להקל על כך, אנו יוצרים קובץ גדול כראוי על הפלאש הראשי ומשתמשים בכלי לינוקס סטנדרטי cryptsetup כדי ליצור התקן לולאה חוזרת. במכשיר זה אנו יוצרים מערכת קבצים סטנדרטית ext4. פרטים על המקום שבו אנו מאחסנים את מפתח ההצפנה מופיעים בסעיף הבא.

מכשיר הלולאה נוצר באמצעות LUKS1 עם גודל מפתח של 512 סיביות והצופן aes-xts-plain64:

 $ מצב cryptsetup /dev/mapper/config /dev/mapper/config פעיל ונמצא בשימוש. סוג: LUKS1 צופן: AES-XTS-PLAIN64 גודל מפתח: 512 סיביות מיקום מפתח: DM-Crypt התקן: /dev/loop5 לולאה: /mnt/base/image1/rwfs/config.img גודל סקטור: 512 היסט: 4096 גודל סקטורים: 61440 מצב סקטורים: קריאה/כתיבה

במהלך פעולה רגילה של המכשיר, cryptsetup משמש לפענוח מערכות הקבצים לפני שהם מותקנים. כאשר מפתח ההצפנה נמחק, לא ניתן עוד להגדיר את התקן הלולאה ולטעון את מערכות הקבצים.

מפתח ההצפנה בו אנו משתמשים הוא קריאה של 20 בתים מ- /dev/urandom שהוא פועל דרך sha1sum כדי לקבל ייצוג ASCII. המפתח נוצר באתחול הראשון לאחר איפוס להגדרות היצרן ואינו משתנה עד לביצוע איפוס חדש להגדרות היצרן.

הגנה על מפתח הצפנת נתונים

אנו משתמשים בשני מפתחות הצפנה שונים במכשירים שלנו. אחד עבור מחיצת /data בתוך מיכל Android (עבור Microsoft MTR ו- Zoom) ואחד עבור מערכות קבצים אחרות (המשמש לתצורת לקוח, טפטים, יומן שיחות, יומנים היסטוריים וכן הלאה).

עבור מחיצת /data באנדרואיד, המפתח הפרטי תמיד מאוחסן באופן מאובטח בתוך גבול Nvidia TrustZone או, ב- Room Navigator, מוצפן באמצעות מנגנון ההצפנה המובנה של ה- SoC.

עד וכולל ce-11.25.x, המפתח השני מאוחסן ב-EEPROM. בעוד EEPROM אינו נגיש למשתמשים המגיעים דרך כל ערוץ רגיל, ניתן להסיר אותו בכוח מהמכשיר (יחד עם דיסק ההבזק) כדי לפענח בפועל את התוכן.

החל מ-ce-11.26.x אנו מעבירים את מפתח ההצפנה הרגיל של מערכת הקבצים לסביבת הביצוע המהימנה של Nvidia (TEE) המבוססת על ARM TrustZone[0], כך שלא ניתן יהיה לחלץ את המפתח מה-SoC של Nvidia. מכיוון שהדרך היחידה (הידועה) לעקוף את תהליך האתחול המאובטח היא להחליף את כל ה- SoC של Nvidia, אשר לאחר מכן יסיר את המפתח, חילוץ המפתח יהיה מוגבל למציאת נקודות תורפה בקוד CE כדי לקבל מעטפת שורש עם הרשאות מספיקות להשגת המפתח.

עבור נווט החדרים, ההעברה תהיה בגירסה מאוחרת יותר.