Az alaplapi, asztali és Room sorozatú eszközök fájlrendszere a Linux merevlemez-titkosítás szabványa, a Linux Unified Key Setup (LUKS) használatával történik. A fájlrendszer titkosítási kulcsa NVRAM vagy NOR-flash formátumban kerül mentésre. A gyári beállítások visszaállításakor a kulcs felülíródik, és nem állítható helyre, így a lemezen lévő dolgok olvashatatlanná válnak. Ez a gyári alaphelyzetbe állítást biztonságos módszerré teszi az adatok törlésére és törlésére az US DOD 5220.22M és NIST 800-88r1 szabványoknak megfelelően.

A gyári beállítások visszaállítása közben:

  • A hívásnaplók törlődnek

  • A jelszavak visszaállnak az alapértelmezett értékekre

  • Minden eszközparaméter visszaáll az alapértelmezett értékekre

  • Az eszközre feltöltött összes fájl törlődik

  • Az előző (inaktív) szoftverkép törlődik

  • A beállításbillentyűket ez nem érinti

A gyári beállítások visszaállítása nem vonható vissza. Mielőtt elkezdené, győződjön meg róla, hogy ezt meg kell tennie.

Javasoljuk, hogy használja a webes felületet vagy a felhasználói felületet az eszköz gyári beállításainak visszaállításához. A gyári beállítások visszaállítása előtt készítsen biztonsági másolatot az eszköz naplófájljairól, konfigurációiról és egyéni elemeiről; Ellenkező esetben ezek az adatok elvesznek. Az eszköz biztonsági mentésének és alaphelyzetbe állításának különböző módjairól az Adminisztrációs útmutatóban talál információt.

NIST 800-88R1

A NIST 800-88r1 szabvány a fertőtlenítés három szintjét határozza meg:

  • Tisztítás: Védelem a nem invazív helyreállítási technikák ellen

  • Tisztítás: Az adatok helyreállításának megvalósíthatatlanná tétele

  • Megsemmisítés: Az adatok helyreállításának megvalósíthatatlansága és a jövőbeli felhasználás megakadályozása

A szabvány 2.6. szakasza a kriptográfiai törlés (CE) használatáról szól, és arról, hogyan alkalmazható a tisztítási szint eléréséhez.

A 2.6.1. és 2.6.2. pont felsorolja azokat a feltételeket, amelyek alapján (nem) figyelembe kell venni a CE-t:

  • Ne használja a CE-t adathordozó tisztítására, ha a titkosítást engedélyezték, miután bizalmas adatokat tároltak az eszközön anélkül, hogy először megtisztították volna.

  • Ne használja a CE-t, ha nem ismert, hogy az érzékeny adatokat tárolták-e az eszközön anélkül, hogy a titkosítás előtt megtisztították volna.

  • Akkor érdemes a CE szolgáltatást használni, ha a CE-nek szánt összes adat titkosítva van az adathordozón való tárolás előtt (beleértve az adatokat és a virtualizált másolatokat is).

  • Fontolja meg a CE használatát, ha ismerjük a titkosítási kulcs tárolási helyét az adathordozón (legyen az a céladat titkosítási kulcsa vagy egy kapcsolódó burkolókulcs), és a megfelelő médiaspecifikus tisztítási technikával megtisztíthatjuk ezeket a területeket, biztosítva, hogy a kulcs tárolásának tényleges helye az adathordozón meg legyen címezve.

  • Fontolja meg a CE használatát, ha tudjuk, hogy a céladatok titkosításához használt titkosítási kulcsok minden példánya meg van tisztítva.

  • Fontolja meg a CE használatát, ha a céladatok titkosítási kulcsai maguk is titkosítva vannak egy vagy több burkolókulccsal, és biztosak vagyunk abban, hogy meg tudjuk tisztítani a megfelelő burkolókulcsokat.

  • Fontolja meg a CE használatát, ha biztosak vagyunk abban, hogy a felhasználó képes egyértelműen azonosítani és használni az eszköz által biztosított parancsokat a CE-művelet végrehajtásához.

A RoomOS rendszerben az ügyféladatokhoz használt titkosított fájlrendszerek beállítása és titkosítása a rendszerindítás korai szakaszában, a bizalmas adatok létrehozása előtt történik. A kulcsot a fent leírtak szerint az eeprom (régebbi szoftver) vagy az SoC megbízhatósági zóna mechanizmusainak használatával tárolják, és biztonságosan megtisztítható.

A kulcsról soha nem készül biztonsági másolat, és nincs kulcsletéti mechanizmus.

Mindezeket szem előtt tartva a Cisco azt állítja, hogy a RoomOS gyári alaphelyzetbe állítási mechanizmusa megfelel a NIST 800-88r1 tisztítási szintjének.

Ügyféladatok titkosítása

Lemeztitkosítás

Az eszközök flash eszközt használnak a háttértároláshoz, ahol a biztonságos törlés nem garantálható. Az eszközökön lévő összes ügyféladatot ezért titkosított fájlrendszerek tárolják, és a gyári alapértékek visszaállításakor csak a titkosítási kulcs törlődik, így az ügyféladatok elérhetetlenné válnak.

Ennek megkönnyítése érdekében létrehozunk egy megfelelően nagy fájlt a fő flash-en, és a szabványos Linux eszközt, a cryptsetup-ot használjuk egy visszacsatolási eszköz létrehozásához. Ezen az eszközön létrehozunk egy szabványos ext4 fájlrendszert. A titkosítási kulcs tárolási helyének részletei a következő szakaszban találhatók.

A hurokeszköz a LUKS1 használatával jön létre, 512 bites kulccsal és az aes-xts-plain64 titkosítással:

 $ cryptsetup állapot /dev/mapper/config /dev/mapper/config aktív és használatban van. típus: LUKS1 rejtjel: AES-XTS-PLAIN64 Kulcsméret: 512 bit Kulcs helye: DM-Crypt eszköz: /dev/loop5 hurok: /mnt/base/image1/rwfs/config.img szektor mérete: 512 eltolás: 4096 szektor méret: 61440 szektor mód: olvasás/írás

Az eszköz rendszeres működése során a cryptsetup a fájlrendszerek visszafejtésére szolgál azok csatlakoztatása előtt. A titkosítási kulcs törlésekor már nem lehet beállítani a hurokeszközt és csatlakoztatni a fájlrendszereket.

Az általunk használt titkosítási kulcs 20 bájt olvasása a /dev/urandom könyvtárból, amely az sha1sum átfutásával ascii ábrázolást kap. A kulcs a gyári beállítások visszaállítása után az első rendszerindításkor jön létre, és nem változik, amíg új gyári visszaállítást nem hajt végre.

Adattitkosítási kulcs védelme

Eszközeinken két különböző titkosítási kulcsot használunk. Egy az Android tárolón belüli /data partícióhoz (Microsoft MTR és Zoom) és egy más fájlrendszerekhez (ügyfélkonfigurációhoz, faliújságokhoz, hívásnaplóhoz, előzménynaplókhoz stb.).

Az Android /data partíciója esetében a privát kulcsot mindig biztonságosan tárolták az Nvidia TrustZone határain belül, vagy a Room Navigatoron az SoC beépített titkosítási mechanizmusával titkosították.

A ce-11.25.x-szel bezárólag a másik kulcsot az EEPROM tárolja. Míg az EEPROM nem érhető el a normál csatornán keresztül érkező felhasználók számára, erőszakkal eltávolítható az eszközről (a flash lemezzel együtt), hogy ténylegesen visszafejtse a tartalmat.

A ce-11.26.x-től kezdődően a normál fájlrendszer titkosítási kulcsát áthelyeztük az Nvidia megbízható végrehajtási környezetbe (TEE) az ARM TrustZone[0] alapján, így a kulcsot nem lehet kinyerni az Nvidia SoC-ből. Mivel a biztonságos rendszerindítási folyamat megkerülésének egyetlen (ismert) módja a teljes Nvidia SoC cseréje, amely ezután eltávolítaná a kulcsot, a kulcskinyerés a CE-kód sebezhetőségeinek megtalálására korlátozódna, hogy megfelelő engedélyekkel rendelkező gyökérhéjat kapjon a kulcs megszerzéséhez.

A Room Navigator esetében az áttelepítés egy újabb verzióban történik.