Board、Desk、Room シリーズ デバイスのファイル システムは、Linux ハードディスク暗号化の標準である Linux Unified Key Setup (LUKS) を使用して暗号化されます。 ファイルシステムの暗号キーは、NVRAM または NOR フラッシュのどちらかに保存されます。 工場出荷時の状態にリセットすると、キーは上書きされ、回復できません。ディスク上の何かを読み取り不能にします。 これにより、工場出荷時設定へのリセットは、US DOD 5220.22M および NIST 800-88r1 に準拠してデータを削除および消去する安全な方法になります。

工場出荷時の状態にリセットした場合：

• 通話履歴が削除されます。

• パスフレーズがデフォルト設定にリセットされます。

• すべてのデバイスパラメータがデフォルト値にリセットされます。

• デバイスにアップロード済みのファイルがすべて削除されます。

• 以前の（非アクティブな）ソフトウェアイメージが削除されます。

• オプションキーは影響を受けません。

工場出荷時の初期設定へのリセット操作を元に戻すことはできません。 開始する前に、これを行う必要がある事を確認してください。

NIST 800-88r1

NIST 標準 800-88r1 では、3 つのレベルのサニタイズが指定されています。

• 駆除: 非侵入的な回復手法を排除する

• 消去: データ復元を不可能にします

• 破棄: データ復元を実行不可能にし、以降使用できないようにします。

標準のセクション 2.6 では、暗号的消去 (CE) の使用と、それを適用して消去レベルを満たす方法について説明しています。

セクション 2.6.1 および 2.6.2 は、いつ CE を考慮する (考慮しない) かについての条件を一覧表示します。

• 最初にサニタイズせずに機密データがデバイスに保存された後で暗号化が有効になっている場合、CE を使用してメディアを消去しないでください。

• 暗号化の前にサニタイズせずに機密データがデバイスに保存されたかどうかが不明な場合は、CE を使用しないでください。

• CE 宛てのすべてのデータがメディアに保存する前に暗号化される場合 (データおよび仮想化コピーを含む)、CE の使用を検討してください。

• 暗号化キーが保存されているメディア上の場所 (ターゲット データの暗号化キーまたは関連するラッピング キー) が分かっていて、適切なメディア固有のサニタイズ技術を使用してこれらの領域をサニタイズできる場合、CE の使用を検討してください。キーが保存されているメディアがアドレス指定されます。

• ターゲット データの暗号化に使用される暗号化キーのすべてのコピーがサニタイズされたことがわかったら、CE の使用を検討してください。

• ターゲット データの暗号化キーが 1 つ以上のラッピング キーで暗号化され、対応するラッピング キーをサニタイズできると確信している場合、CE の使用を検討します。

• CE 操作を実行するためにデバイスが提供するコマンドをユーザが明確に識別して使用できる自信がある場合は、CE の使用を検討してください。

RoomOS では、顧客データに使用される暗号化ファイル システムはセットアップされ、機密データが作成される前の初回起動の早い段階で暗号化されます。 キーは、eeprom (古いソフトウェア) で、または SOC のトラスト ゾーン メカニズムを使用して、上記で説明されているように保存され、安全にサニタイズできます。

キーがバックアップされることはなく、キーエスクローメカニズムもありません。

これらすべてを考慮して、Cisco は RoomOS の工場出荷時設定へのリセットメカニズムが NIST 800-88r1 のパージレベルに準拠していると断言します。

顧客データの暗号化

ディスク暗号化

デバイスは、安全な削除を保証することが不可能な大容量記憶装置にフラッシュ デバイスを使用します。 そのため、デバイス上のすべての顧客データは暗号化されたファイルシステムに保存され、工場出荷時設定へのリセットが実行されると、暗号化キーのみが削除され、顧客データにアクセスできなくなります。

これを容易にするために、メイン フラッシュ上に適切なサイズのファイルを作成し、標準 Linux ツール cryptsetup を使用してループバック デバイスを作成します。 このデバイスで、標準の ext4 ファイルシステムを作成します。 暗号化キーを保存する場所の詳細は次のセクションで説明します。

ループ デバイスは、キーサイズ 512 ビットの LUKS1 と aes-xts-plain64 暗号を使用して作成されます。

 $ cryptsetupstatus /dev/mapper/config /dev/mapper/config はアクティブで、使用中です。タイプ: LUKS1 暗号: aes-xts-plain64 キーサイズ: 512 ビット キーの場所: dm-crypt デバイス: /dev/flow5 ループ: /mnt/base/image1/rwfs/config.img セクター サイズ: 512 オフセット: 4096 セクター サイズ: 61440 セクター モード: 読み取り/書き込み

デバイスの通常の操作中、cryptsetup はマウントされる前にファイルシステムを解読するために使用されます。 暗号化キーが削除されると、ループデバイスをセットアップしてファイルシステムをマウントすることができなくなります。

使用する暗号化キーは、/dev/urandom から 20 バイトを読み取り、これを sha1sum で実行して ASCII 表現を取得します。 キーは工場出荷時設定へのリセット後の最初の起動時に生成され、新しい工場出荷時設定へのリセットが実行されるまで変更されません。

データ暗号化キー保護

デバイスで 2 つの異なる暗号化キーを使用します。 1 つは Android コンテナー内の /data パーティション (Microsoft MTR および ズーム用) 用で、もう 1 つは他のファイルシステム用 (顧客の構成、壁紙、通話ログ、履歴ログなどに使用) です。

Android の /data パーティションの場合、秘密鍵は常に Nvidia TrustZone 境界内に安全に保存されるか、Room Navigator では SOC の組み込み暗号化メカニズムを使用して暗号化されます。

ce-11.25.x までは、もう一方の鍵は EEPROM に保存されます。 ユーザは通常のチャネルからアクセスできませんが、(フラッシュ ディスクと共に) デバイスから強制的に削除して、実際にコンテンツを解読することができます。

ce-11.26.x から、通常のファイル システム暗号化キーを ARM TrustZone[0] に基づく Nvidia Trusted execute Environment (TEE) に移動しているため、Nvidia SOC からキーを抽出することができなくなります。 セキュア ブート プロセスを回避する唯一の (既知の) 方法は、Nvidia SOC 全体を交換してキーを削除することであるため、キーの抽出は CE コードの脆弱性を見つけ、キーを選択します。

Room Navigator では、以降のバージョンで移行されます。