Súborový systém na palubných, stolových a izbových zariadeniach je šifrovaný pomocou Linux Unified Key Setup (LUKS), štandardu pre šifrovanie pevného disku Linux. Šifrovací kľúč súborového systému je uložený v pamäti NVRAM alebo NOR-flash. Počas obnovenia továrenských nastavení sa kľúč prepíše a nedá sa obnoviť, čím sa čokoľvek na disku stane nečitateľným. Vďaka tomu je obnovenie továrenských nastavení bezpečnou metódou mazania a mazania údajov v súlade s US DOD 5220.22M a NIST 800-88r1.

Počas obnovenia továrenských nastavení:

• Protokoly hovorov sa odstránia

• Prístupové frázy sa obnovia na predvolené hodnoty

• Všetky parametre zariadenia sa obnovia na predvolené hodnoty

• Všetky súbory, ktoré boli nahrané do zariadenia, sa odstránia

• Predchádzajúci (neaktívny) obraz softvéru sa odstráni

• Klávesy možností nie sú ovplyvnené

Obnovenie výrobných nastavení nie je možné vrátiť späť. Skôr ako začnete, uistite sa, že je to potrebné.

NIST 800-88R1

Norma NIST 800-88r1 špecifikuje tri úrovne dezinfekcie:

• Čistenie: Chráňte sa pred neinvazívnymi technikami obnovy

• Vymazať: znemožniť obnovu dát

• Zničiť: Znemožniť obnovu dát a zabrániť budúcemu použitiu

Časť 2.6 normy hovorí o používaní kryptografického vymazania (CE) a o tom, ako ho možno použiť na splnenie úrovne čistenia.

V oddieloch 2.6.1 a 2.6.2 sa uvádzajú podmienky, kedy (ne)zvážiť CE:

• Nepoužívajte CE na čistenie médií, ak bolo šifrovanie povolené po uložení citlivých údajov do zariadenia bez predchádzajúcej dezinfekcie.

• Nepoužívajte CE, ak nie je známe, či boli citlivé údaje uložené v zariadení bez dezinfekcie pred šifrovaním.

• Zvážte použitie CE, keď sú všetky údaje určené pre CE šifrované pred uložením na médium (vrátane údajov, ako aj virtualizovaných kópií).

• Zvážte použitie CE, keď poznáme miesta na médiu, kde je uložený šifrovací kľúč (či už je to šifrovací kľúč cieľových údajov alebo súvisiaci baliaci kľúč) a môžeme tieto oblasti dezinfikovať pomocou vhodnej techniky dezinfekcie špecifickej pre médiá a zabezpečiť, aby sa adresovalo skutočné umiestnenie na médiu, kde je kľúč uložený.

• Zvážte použitie CE, keď môžeme vedieť, že všetky kópie šifrovacích kľúčov, ktoré sa používajú na šifrovanie cieľových údajov, sú dezinfikované.

• Zvážte použitie CE, keď sú šifrovacie kľúče cieľových údajov šifrované jedným alebo viacerými baliacimi kľúčmi a sme presvedčení, že môžeme dezinfikovať zodpovedajúce baliace kľúče.

• Zvážte použitie CE, keď sme si istí schopnosťou používateľa jasne identifikovať a používať príkazy, ktoré zariadenie poskytuje na vykonanie operácie CE.

V RoomOS sú šifrované súborové systémy, ktoré sa používajú pre údaje o zákazníkoch, nastavené a šifrované na začiatku počiatočného spustenia, pred vytvorením akýchkoľvek citlivých údajov. Kľúč je uložený, ako je opísané vyššie, buď v eeprom (starší softvér) alebo pomocou mechanizmov zóny dôvery SoC a môže byť bezpečne dezinfikovaný.

Kľúč nie je nikdy zálohovaný a neexistuje žiadny mechanizmus úschovy kľúčov.

S ohľadom na toto všetko spoločnosť Cisco tvrdí, že mechanizmus obnovenia továrenských nastavení v systéme RoomOS je v súlade s úrovňou čistenia v norme NIST 800-88r1.

Šifrovanie údajov o zákazníkoch

Šifrovanie disku

Zariadenia používajú flash zariadenie na veľkokapacitné ukladanie, kde nie je možné zaručiť bezpečné vymazanie. Všetky údaje o zákazníkoch v zariadeniach sú preto uložené v šifrovaných súborových systémoch a pri obnovení továrenských nastavení sa vymaže iba šifrovací kľúč, čím sa údaje o zákazníkoch stanú neprístupnými.

Aby sme to uľahčili, vytvoríme vhodne veľký súbor na hlavnom flashi a použijeme štandardnú kryptografickú úpravu nástroja Linux na vytvorenie zariadenia spätnej slučky. Na tomto zariadení vytvoríme štandardný súborový systém ext4. Podrobnosti o tom, kde ukladáme šifrovací kľúč, nájdete v nasledujúcej časti.

Slučkové zariadenie je vytvorené pomocou LUKS1 s veľkosťou kľúča 512 bitov a šifrou aes-xts-plain64:

 $ Stav šifrovania /dev/mapper/config /dev/mapper/config je aktívny a používa sa. typ: LUKS1 šifra: AES-XTS-Plain64 Veľkosť kľúča: 512 bitov Umiestnenie kľúča: DM-Crypt Zariadenie: /dev/loop5 Slučka: /mnt/base/image1/rwfs/config.img Veľkosť sektora: 512 Posun: 4096 Veľkosť sektorov: 61440 Režim sektorov: čítanie/zápis

Počas bežnej prevádzky zariadenia sa kryptonastavenie používa na dešifrovanie súborových systémov pred ich pripojením. Po odstránení šifrovacieho kľúča už nie je možné nastaviť zariadenie slučky a pripojiť súborové systémy.

Šifrovací kľúč, ktorý používame, je čítanie 20 bajtov z /dev/urandom, čo je priebeh sha1sum na získanie ascii reprezentácie. Kľúč sa vygeneruje pri prvom spustení po obnovení továrenských nastavení a nezmení sa, kým sa nevykoná nové obnovenie továrenských nastavení.

Ochrana šifrovacieho kľúča údajov

Na našich zariadeniach používame dva rôzne šifrovacie kľúče. Jeden pre oblasť /data vo vnútri kontajnera Android (pre Microsoft MTR a Zoom) a jeden pre iné súborové systémy (používané pre konfiguráciu zákazníka, tapety, protokol hovorov, historické protokoly atď.).

Pre oblasť /data v systéme Android bol súkromný kľúč vždy bezpečne uložený vo vnútri hranice Nvidia TrustZone alebo v navigátore miestnosti šifrovaný pomocou vstavaného šifrovacieho mechanizmu SoC.

Až do ce-11.25.x vrátane, druhý kľúč je uložený v EEPROM. Zatiaľ čo EEPROM je neprístupný pre používateľov prichádzajúcich cez akýkoľvek normálny kanál, môže byť násilne odstránený zo zariadenia (spolu s flash diskom), aby sa skutočne dešifroval obsah.

Počnúc ce-11.26.x presúvame bežný šifrovací kľúč súborového systému do prostredia dôveryhodného vykonávania Nvidia (TEE) založeného na ARM TrustZone[0], takže kľúč nebude možné extrahovať z Nvidia SoC. Keďže jediným (známym) spôsobom, ako obísť proces zabezpečeného spustenia, je nahradiť celý SoC Nvidia, ktorý by potom odstránil kľúč, extrakcia kľúča by bola obmedzená na nájdenie zraniteľností v kóde CE, aby ste získali koreňový shell s dostatočnými povoleniami na získanie kľúča.

V prípade aplikácie Room Navigator bude migrácia v novšej verzii.