Datotečni sustav na uređajima board, desk i room series šifriran je pomoću Linux Unified Key Setup (LUKS), standarda za Linux šifriranje tvrdog diska. Ključ za šifriranje datotečnog sustava sprema se u NVRAM ili NOR-flash. Tijekom vraćanja na tvorničke postavke ključ se prebrisuje i ne može se oporaviti, što sve na disku čini nečitljivim. To čini tvorničko resetiranje sigurnom metodom brisanja i čišćenja podataka u skladu s američkim DOD 5220.22M i NIST 800-88r1.

Tijekom vraćanja na tvorničke postavke:

• Zapisnici poziva se brišu

• Pristupni izrazi vraćaju se na zadane

• Svi parametri uređaja vraćaju se na zadane vrijednosti

• Brišu se sve datoteke koje su prenesene na uređaj

• Prethodna (neaktivna) softverska slika se briše

• To ne utječe na tipke mogućnosti

Ne možete poništiti vraćanje na tvorničke postavke. Pobrinite se da to učinite prije nego što počnete.

NIST 800-88r1

Standard NIST 800-88r1 određuje tri razine sanacije:

• Clean: Guard od neinvazivnih tehnika oporavka

• Pročišćavanje: učinite oporavak podataka neizvedivim

• Uništi: Učinite oporavak podataka neizvedivim i spriječite buduću upotrebu

Odjeljak 2.6 standarda govori o korištenju kriptografskog brisanja (CE) i kako se može primijeniti kako bi se zadovoljila razina čišćenja.

U odjeljku 2.6.1. i 2.6.2. navode se uvjeti za to kada (ne) razmotriti CE:

• Nemojte koristiti CE za čišćenje medija ako je šifriranje omogućeno nakon što su osjetljivi podaci pohranjeni na uređaju, a da prethodno nisu dezinficirani.

• Nemojte koristiti CE ako nije poznato jesu li osjetljivi podaci pohranjeni na uređaju bez dezinfekcije prije šifriranja.

• Razmislite o korištenju CE kada su svi podaci namijenjeni CE šifrirani prije pohrane na mediju (uključujući podatke, kao i virtualizirane kopije).

• Razmislite o korištenju CE-a kada znamo lokacije na mediju na kojima je pohranjen ključ za šifriranje (bilo da se radi o ključu za šifriranje ciljnih podataka ili pridruženom ključu za omatanje) i možemo dezinficirati ta područja koristeći odgovarajuću tehniku saniranja specifičnu za medije, osiguravajući da se adresira stvarna lokacija na mediju na kojoj je ključ pohranjen.

• Razmislite o korištenju CE kada možemo znati da su sve kopije ključeva za šifriranje koji se koriste za šifriranje ciljnih podataka dezinficirane.

• Razmislite o korištenju CE-a kada su ključevi za šifriranje ciljnih podataka sami po sebi šifrirani jednim ili više ključeva za omatanje i uvjereni smo da možemo dezinficirati odgovarajuće ključeve za omatanje.

• Razmislite o korištenju CE kada smo sigurni u sposobnost korisnika da jasno identificira i koristi naredbe koje pruža uređaj za izvođenje CE operacije.

U RoomOS-u, šifrirani datotečni sustavi koji se koriste za korisničke podatke postavljaju se i šifriraju rano u početnom pokretanju, prije stvaranja osjetljivih podataka. Ključ se pohranjuje kako je gore opisano ili u eeprom-u (stariji softver) ili pomoću SoC-ovih mehanizama zone povjerenja i može se sigurno dezinficirati.

Ključ nikada nije sigurnosno kopiran i ne postoji ključni mehanizam zaloga.

Imajući sve to na umu, Cisco tvrdi da je mehanizam za resetiranje tvornice u RoomOS-u u skladu s razinom pročišćavanja u NIST 800-88r1.

Šifriranje korisničkih podataka

Šifriranje diska

Uređaji koriste flash uređaj za masovnu pohranu, gdje je sigurno brisanje nemoguće jamčiti. Stoga se svi korisnički podaci na uređajima pohranjuju u šifrirane datotečne sustave, a kada se izvrši vraćanje na tvorničke postavke, briše se samo ključ za šifriranje, čime se podaci o kupcima čine nedostupnima.

Da bismo to olakšali, stvaramo prikladno veliku datoteku na glavnoj bljeskalici i koristimo standardni Linux alat cryptsetup za stvaranje loopback uređaja. Na ovom uređaju stvaramo standardni ext4 datotečni sustav. Pojedinosti o tome gdje pohranjujemo ključ za šifriranje nalaze se u sljedećem odjeljku.

Uređaj petlje stvara se pomoću LUKS1 s veličinom ključa od 512 bita i šifrom aes-xts-plain64:

 $ CryptSetup status /dev/mapper/config /dev/mapper/config je aktivan i koristi se. tip: LUKS1 šifra: aes-xts-plain64 keysize: 512 bits ključno mjesto: dm-crypt uređaj: /dev/loop5 petlja: /mnt/base/image1/rwfs/config.img veličina sektora: 512 pomak: 4096 sektora veličina: 61440 sektori način rada: čitanje / pisanje

Tijekom redovitog rada uređaja, cryptsetup se koristi za dešifriranje datotečnih sustava prije nego što se montiraju. Kada se ključ za šifriranje izbriše, više nije moguće postaviti uređaj s petljom i montirati datotečne sustave.

Ključ za šifriranje koji koristimo je čitanje od 20 bajtova iz /dev/urandom koji se izvodi kroz sha1sum kako bi dobio ascii reprezentaciju. Ključ se generira na prvom pokretanju nakon vraćanja na tvorničke postavke i ne mijenja se dok se ne izvrši novo vraćanje na tvorničke postavke.

Zaštita ključa za šifriranje podataka

Na našim uređajima koristimo dva različita ključa za šifriranje. Jedan za particiju /data unutar Android spremnika (za Microsoft MTR i Zoom) i jedan za druge datotečne sustave (koristi se za konfiguraciju korisnika, zidne papire, zapisnik poziva, povijesne zapisnike itd.).

Za /data partition u Androidu, privatni ključ je uvijek bio sigurno pohranjen unutar granice Nvidia TrustZone ili, na Room Navigatoru, šifriran pomoću ugrađenog mehanizma šifriranja SoC-a.

Do i uključujući ce-11.25.x, drugi ključ pohranjuje se u EEPROM. Iako je EEPROM nedostupan korisnicima koji dolaze putem bilo kojeg normalnog kanala, može se prisilno ukloniti s uređaja (zajedno s flash diskom) kako bi se sadržaj zapravo dešifrirao.

Počevši od ce-11.26.x, premještamo uobičajeni ključ za šifriranje datotečnog sustava u Nvidia trusted execution environment (TEE) na temelju ARM TrustZone[0], tako da ključ neće biti moguće izdvojiti iz Nvidia SoC-a. Budući da je jedini (poznati) način zaobilaženja sigurnog procesa pokretanja zamjena cijelog Nvidia SoC-a, koji bi zatim uklonio ključ, vađenje ključa bilo bi ograničeno na pronalaženje ranjivosti u CE kodu kako bi se dobila korijenska ljuska s dovoljnim dozvolama za dobivanje ključa.

Za Room Navigator migracija će biti u novijoj verziji.