Datotečni sistem na napravah Board, Desk in Room Series je šifriran z Linux Unified Key Setup (LUKS), standardom za šifriranje trdega diska Linux. Šifrirni ključ datotečnega sistema je shranjen v NVRAM ali NOR-flash. Med ponastavitvijo na tovarniške nastavitve je ključ prepisan in ga ni mogoče obnoviti, zaradi česar je karkoli na disku neberljivo. Zaradi tega je tovarniška ponastavitev varna metoda brisanja in čiščenja podatkov v skladu z US DOD 5220.22M in NIST 800-88r1.

Med ponastavitvijo na tovarniške nastavitve:

• Dnevniki klicev so izbrisani

• Gesla so ponastavljena na privzete

• Vsi parametri naprave so ponastavljeni na privzete vrednosti

• Vse datoteke, ki so bile naložene v napravo, se izbrišejo

• Prejšnja (neaktivna) slika programske opreme se izbriše

• To ne vpliva na tipke z možnostmi

Ponastavitve na tovarniške nastavitve ni mogoče razveljaviti. Preden začnete, se prepričajte, da je to potrebno.

NIST 800-88r1

Standard NIST 800-88r1 določa tri stopnje sanitacije:

• Clean: Zaščita pred neinvazivnimi tehnikami okrevanja

• Počisti: onemogočite obnovitev podatkov

• Uniči: onemogočite obnovitev podatkov in preprečite prihodnjo uporabo

Oddelek 2.6 standarda govori o uporabi kriptografskega brisanja (CE) in kako ga je mogoče uporabiti za doseganje ravni čiščenja.

V oddelkih 2.6.1 in 2.6.2 so navedeni pogoji, kdaj (ne) upoštevati CE:

• Ne uporabljajte CE za čiščenje medija, če je bilo šifriranje omogočeno, potem ko so bili občutljivi podatki shranjeni v napravi, ne da bi bili prej sanirani.

• Ne uporabljajte CE, če ni znano, ali so bili občutljivi podatki shranjeni v napravi, ne da bi bili pred šifriranjem sanirani.

• Razmislite o uporabi CE, kadar so vsi podatki, namenjeni CE, šifrirani pred shranjevanjem na mediju (vključno s podatki in virtualiziranimi kopijami).

• Razmislite o uporabi CE, ko poznamo lokacije na mediju, kjer je shranjen šifrirni ključ (naj bo to šifrirni ključ ciljnih podatkov ali povezan ključ za zavijanje) in lahko ta območja saniramo z ustrezno tehniko sanitacije, specifično za medije, s čimer zagotovimo, da je dejanska lokacija na mediju, kjer je ključ shranjen, naslovljena.

• Razmislite o uporabi CE, ko lahko vemo, da so vse kopije šifrirnih ključev, ki se uporabljajo za šifriranje ciljnih podatkov, sanirane.

• Razmislite o uporabi CE, kadar so šifrirni ključi ciljnih podatkov sami šifrirani z enim ali več ključi za zavijanje in prepričani smo, da lahko očistimo ustrezne ključe za zavijanje.

• Razmislite o uporabi CE, ko smo prepričani v sposobnost uporabnika, da jasno prepozna in uporabi ukaze, ki jih naprava zagotavlja za izvedbo operacije CE.

V RoomOS-u so šifrirani datotečni sistemi, ki se uporabljajo za podatke strank, nastavljeni in šifrirani zgodaj v začetnem zagonu, preden se ustvarijo občutljivi podatki. Ključ je shranjen, kot je opisano zgoraj, bodisi v eepromu (starejša programska oprema) bodisi z uporabo mehanizmov območja zaupanja SoC in ga je mogoče varno sanirati.

Ključ ni nikoli podprt in ni ključnega mehanizma zalaganja.

Ob upoštevanju vsega tega Cisco trdi, da je mehanizem za ponastavitev na tovarniške nastavitve v sistemu RoomOS skladen s stopnjo čiščenja v NIST 800-88r1.

Šifriranje podatkov strank

Šifriranje diska

Naprave uporabljajo bliskovno napravo za množično shranjevanje, kjer varnega brisanja ni mogoče zagotoviti. Vsi podatki o strankah na napravah so zato shranjeni v šifriranih datotečnih sistemih in ko se izvede ponastavitev na tovarniške privzete vrednosti, se izbriše samo šifrirni ključ, zaradi česar so podatki strank nedostopni.

Da bi to olajšali, ustvarimo primerno veliko datoteko na glavni bliskavici in uporabimo standardno kriptonastavitev orodja Linux, da ustvarimo napravo z zanko. Na tej napravi ustvarimo standardni datotečni sistem ext4. Podrobnosti o tem, kam shranjujemo šifrirni ključ, so v naslednjem razdelku.

Naprava zanke je ustvarjena z uporabo LUKS1 z velikostjo ključa 512 bitov in šifro aes-xts-plain64:

 $ cryptsetup status /dev/mapper/config /dev/mapper/config je aktiven in je v uporabi. vrsta: LUKS1 šifra: aes-xts-plain64 velikost ključa: 512 bitov Ključna lokacija: DM-Crypt Naprava: /dev/loop5 Zanka: /MNT/base/image1/rwfs/config.img Velikost sektorja: 512 Odmik: 4096 Sektorji Velikost: 61440 Sektorji Način: branje/pisanje

Med rednim delovanjem naprave se šifriranje uporablja za dešifriranje datotečnih sistemov, preden so nameščeni. Ko izbrišete šifrirni ključ, ni več mogoče nastaviti zančne naprave in namestiti datotečnih sistemov.

Šifrirni ključ, ki ga uporabljamo, je branje 20 bajtov iz /dev/urandom, ki se prebija skozi sha1sum, da dobi predstavitev ascii. Ključ se generira ob prvem zagonu po ponastavitvi na tovarniške nastavitve in se ne spremeni, dokler ni izvedena nova ponastavitev na tovarniške nastavitve.

Zaščita šifrirnega ključa podatkov

Na naših napravah uporabljamo dva različna šifrirna ključa. Ena za particijo /data znotraj vsebnika Android (za Microsoft MTR in Zoom) in ena za druge datotečne sisteme (uporablja se za konfiguracijo strank, stenske papirje, dnevnik klicev, zgodovinske dnevnike itd.).

Za particijo / data v Androidu je bil zasebni ključ vedno varno shranjen znotraj meje Nvidia TrustZone ali na Room Navigatorju šifriran z vgrajenim mehanizmom šifriranja SoC.

Do vključno ce-11.25.x je drugi ključ shranjen v EEPROM-u. Medtem ko je EEPROM nedostopen uporabnikom, ki prihajajo prek katerega koli običajnega kanala, ga je mogoče prisilno odstraniti iz naprave (skupaj z bliskovnim diskom), da dejansko dešifrira vsebino.

Začenši s ce-11.26.x, premikamo običajni šifrirni ključ datotečnega sistema v zaupanja vredno izvedbeno okolje Nvidia (TEE), ki temelji na ARM TrustZone [0], tako da ključa ne bo mogoče izvleči iz Nvidia SoC. Ker je edini (znani) način za izogibanje postopku varnega zagona zamenjava celotnega Nvidia SoC, ki bi nato odstranil ključ, bi bila ekstrakcija ključa omejena na iskanje ranljivosti v kodi CE, da bi dobili korensko lupino z zadostnimi dovoljenji za pridobitev ključa.

Za Room Navigator bo selitev izvedena v novejši različici.