A Board, Desk és Room sorozatú eszközök fájlrendszerének titkosítása a Linux Unified Key Setup (LUKS) használatával történik, amely a Linux merevlemez-titkosítás szabványa. A fájlrendszer titkosítási kulcsa NVRAM vagy NOR-flash formátumban kerül mentésre. A gyári beállítások visszaállításakor a kulcs felülíródik, és nem állítható helyre, így a lemezen lévő dolgok olvashatatlanná válnak. Ez a gyári alaphelyzetbe állítást biztonságos módszerré teszi az adatok törlésére és törlésére az US DOD 5220.22M és NIST 800-88r1 szabványoknak megfelelően.

A gyári beállítások visszaállítása közben:

  • A hívásnaplók törlődnek

  • A jelszavak visszaállnak az alapértelmezett értékekre

  • Minden eszközparaméter visszaáll az alapértelmezett értékekre

  • Az eszközre feltöltött összes fájl törlődik

  • Az előző (inaktív) szoftverkép törlődik

  • A beállításbillentyűket ez nem érinti

A gyári beállítások visszaállítása nem vonható vissza. Mielőtt elkezdené, győződjön meg róla, hogy ezt meg kell tennie.

Javasoljuk, hogy használja a webes felületet vagy a felhasználói felületet az eszköz gyári beállításainak visszaállításához. A gyári beállítások visszaállítása előtt készítsen biztonsági másolatot az eszköz naplófájljairól, konfigurációiról és egyéni elemeiről; Ellenkező esetben ezek az adatok elvesznek. Az eszköz biztonsági mentésének és alaphelyzetbe állításának különböző módjairól az Adminisztrációs útmutatóban talál információt.

NIST 800-88R1

A NIST 800-88r1 szabvány a fertőtlenítés három szintjét határozza meg:

  • Tisztítás: Védelem a nem invazív helyreállítási technikák ellen

  • Tisztítás: Az adatok helyreállításának megvalósíthatatlanná tétele

  • Megsemmisítés: Az adatok helyreállításának megvalósíthatatlansága és a jövőbeli felhasználás megakadályozása

A szabvány 2.6. szakasza a kriptográfiai törlés (CE) használatáról szól, és arról, hogyan alkalmazható a tisztítási szint eléréséhez.

A 2.6.1. és 2.6.2. pont felsorolja azokat a feltételeket, amelyek alapján (nem) figyelembe kell venni a CE-t:

  • Ne használja a CE-t adathordozó tisztítására, ha a titkosítást engedélyezték, miután bizalmas adatokat tároltak az eszközön anélkül, hogy először megtisztították volna.

  • Ne használja a CE-t, ha nem ismert, hogy az érzékeny adatokat tárolták-e az eszközön anélkül, hogy a titkosítás előtt megtisztították volna.

  • Akkor érdemes a CE szolgáltatást használni, ha a CE-nek szánt összes adat titkosítva van az adathordozón való tárolás előtt (beleértve az adatokat és a virtualizált másolatokat is).

  • Fontolja meg a CE használatát, ha ismerjük a titkosítási kulcs tárolási helyét az adathordozón (legyen az a céladat titkosítási kulcsa vagy egy kapcsolódó burkolókulcs), és a megfelelő médiaspecifikus tisztítási technikával megtisztíthatjuk ezeket a területeket, biztosítva, hogy a kulcs tárolásának tényleges helye az adathordozón meg legyen címezve.

  • Fontolja meg a CE használatát, ha tudjuk, hogy a céladatok titkosításához használt titkosítási kulcsok minden példánya meg van tisztítva.

  • Fontolja meg a CE használatát, ha a céladatok titkosítási kulcsai maguk is titkosítva vannak egy vagy több burkolókulccsal, és biztosak vagyunk abban, hogy meg tudjuk tisztítani a megfelelő burkolókulcsokat.

  • Fontolja meg a CE használatát, ha biztosak vagyunk abban, hogy a felhasználó képes egyértelműen azonosítani és használni az eszköz által biztosított parancsokat a CE-művelet végrehajtásához.

A RoomOS rendszerben az ügyféladatokhoz használt titkosított fájlrendszerek beállítása és titkosítása a rendszerindítás korai szakaszában, a bizalmas adatok létrehozása előtt történik. A kulcsot a fent leírtak szerint az eeprom (régebbi szoftver) vagy az SoC megbízhatósági zóna mechanizmusainak használatával tárolják, és biztonságosan megtisztítható.

A kulcsról soha nem készül biztonsági másolat, és nincs kulcsletéti mechanizmus.

Mindezeket szem előtt tartva a Cisco azt állítja, hogy a RoomOS gyári alaphelyzetbe állítási mechanizmusa megfelel a NIST 800-88r1 tisztítási szintjének.

Ügyféladatok titkosítása

Lemeztitkosítás

Az eszközök flash eszközt használnak a háttértároláshoz, ahol a biztonságos törlés nem garantálható. Az eszközökön lévő összes ügyféladatot ezért titkosított fájlrendszerek tárolják, és a gyári alapértékek visszaállításakor csak a titkosítási kulcs törlődik, így az ügyféladatok elérhetetlenné válnak.

Ennek megkönnyítése érdekében létrehozunk egy megfelelően nagy fájlt a fő vakun, és a szabványos Linux eszközt cryptsetup használjuk egy visszacsatolási eszköz létrehozásához. Ezen az eszközön létrehozunk egy szabványos ext4 fájlrendszert. A titkosítási kulcs tárolási helyének részletei a következő szakaszban találhatók.

A hurokeszköz a LUKS1 használatával jön létre, 512 bites kulccsal és az aes-xts-plain64 titkosítással:

 $ cryptsetup állapot /dev/mapper/config /dev/mapper/config aktív és használatban van. típus: LUKS1 rejtjel: AES-XTS-PLAIN64 Kulcsméret: 512 bit Kulcs helye: DM-Crypt eszköz: /dev/loop5 hurok: /mnt/base/image1/rwfs/config.img szektor mérete: 512 eltolás: 4096 szektor méret: 61440 szektor mód: olvasás/írás

Az eszköz rendszeres működése során a cryptsetup a fájlrendszerek visszafejtésére szolgál azok csatlakoztatása előtt. A titkosítási kulcs törlésekor már nem lehet beállítani a hurokeszközt és csatlakoztatni a fájlrendszereket.

Az általunk használt titkosítási kulcs egy 20 bájtos olvasás a /dev/urandom könyvtárból, amely az sha1sum átfutásával ASCII ábrázolást kap. A kulcs a gyári beállítások visszaállítása után az első rendszerindításkor jön létre, és nem változik, amíg új gyári visszaállítást nem hajt végre.

Adattitkosítási kulcs védelme

Eszközeinken két különböző titkosítási kulcsot használunk. Egy a Android tárolón belüli /data partícióhoz (Microsoft MTR és Zoom) és egy más fájlrendszerekhez (ügyfélkonfigurációhoz, faliújságokhoz, hívásnaplóhoz, előzménynaplókhoz stb.).

A Android-ben szereplő /data partíció esetében a privát kulcs mindig biztonságosan tárolva van az Nvidia TrustZone határain belül, vagy a Room Navigatoron az SoC beépített titkosítási mechanizmusával titkosítva.

A ce-11.25.x-szel bezárólag a másik kulcsot az EEPROM tárolja. Míg az EEPROM nem érhető el a normál csatornán keresztül érkező felhasználók számára, erőszakkal eltávolítható az eszközről (a flash lemezzel együtt), hogy ténylegesen visszafejtse a tartalmat.

A ce-11.26.x-től kezdődően a normál fájlrendszer titkosítási kulcsát áthelyeztük az Nvidia megbízható végrehajtási környezetbe (TEE) az ARM TrustZone[0] alapján, így a kulcsot nem lehet kinyerni az Nvidia SoC-ből. Mivel a biztonságos rendszerindítási folyamat megkerülésének egyetlen (ismert) módja a teljes Nvidia SoC cseréje, amely ezután eltávolítaná a kulcsot, a kulcskinyerés a CE-kód sebezhetőségeinek megtalálására korlátozódna, hogy megfelelő engedélyekkel rendelkező gyökérhéjat kapjon a kulcs megszerzéséhez.

A Room Navigator esetében az áttelepítés egy újabb verzióban történik.