Sistem datoteka na uređajima Board, Desk i Room Series je šifrovan pomoću Linux Unified Key Setup (LUKS), standarda za Linux šifrovanje hard diska. Ključ za šifrovanje sistema datoteka se čuva u NVRAM ili NOR-flash. Tokom fabričkog resetovanja, ključ se prepisuje i ne može se povratiti, čineći ništa na disku nečitljivim. Ovo čini fabrička podešavanja siguran način brisanja i čišćenja podataka u skladu sa SAD DOD 5220.22M i NIST 800-88r1.

Tokom fabričkog resetovanja:

• Evidencija poziva se briše

• Lozinke se vraćaju na podrazumevane vrednosti

• Svi parametri uređaja se vraćaju na podrazumevane vrednosti

• Sve datoteke koje su otpremljene na uređaj se brišu

• Prethodna (neaktivna) slika softvera je izbrisana

• Tasteri sa opcijama nisu pogođeni

Ne možete poništiti fabrička podešavanja. Uverite se da je to neophodno da to uradite, pre nego što počnete.

NIST 800-88R1

NIST standard 800-88r1 određuje tri nivoa sanacije:

• Clean: Čuvajte se od neinvazivnih tehnika oporavka

• Čišćenje: Make spašavanje podataka neizvodljivo

• uništiti: Napravite oporavak podataka neizvodljivo i sprečiti buduću upotrebu

Odeljak 2.6 standarda govori o upotrebi kriptografskog brisanja (CE) i kako se može primeniti da zadovolji nivo čišćenja.

Odeljak 2.6.1 i 2.6.2 navodi uslove za kada se (ne) razmatra CE:

• Nemojte koristiti CE za čišćenje medija ako je šifrovanje omogućeno nakon što su osetljivi podaci sačuvani na uređaju, a da prethodno nisu dezinficirani.

• Nemojte koristiti CE ako nije poznato da li su osetljivi podaci sačuvani na uređaju bez dezinfekcije pre šifrovanja.

• Razmislite o korišćenju CE kada su svi podaci namenjeni CE šifrovani pre skladištenja na medijima (uključujući podatke, kao i virtualizovane kopije).

• Razmislite o korišćenju CE-a kada znamo lokacije na medijima na kojima se čuva ključ za šifrovanje (bilo da se radi o ključu za šifrovanje ciljnih podataka ili povezanom ključu za pakovanje) i možete dezinfikovati ta područja koristeći odgovarajuću tehniku dezinfekcije specifičnu za medije, osiguravajući stvarnu lokaciju na medijima na kojima se ključ čuva.

• Razmislite o korišćenju CE kada možemo znati da su sve kopije ključeva za šifrovanje koji se koriste za šifrovanje ciljnih podataka sanirane.

• Razmislite o korišćenju CE kada su ključevi za šifrovanje ciljnih podataka sami šifrovani sa jednim ili više ključeva za pakovanje i uvereni smo da možemo dezinfikovati odgovarajuće ključeve za pakovanje.

• Razmislite o korišćenju CE kada smo sigurni u sposobnost korisnika da jasno identifikuje i koristi komande koje obezbeđuje uređaj za obavljanje CE operacije.

U RoomOS-u, šifrovani sistemi datoteka koji se koriste za podatke o klijentima su postavljeni i šifrovani rano u početnom pokretanju, pre stvaranja bilo kakvih osetljivih podataka. Ključ se čuva kao što je gore opisano ili u eeprom-u (stariji softver) ili pomoću mehanizama zone poverenja SoC-a, i može se bezbedno dezinfikovati.

Ključ nikada nije rezervisan i ne postoji ključni escrov mehanizam.

Imajući sve ovo na umu, Cisco tvrdi da je mehanizam fabričkog resetovanja u RoomOS-u usklađen sa nivoom čišćenja u NIST 800-88r1.

Enkripcija podataka o klijentima

Šifrovanje diska

Uređaji koriste flash uređaj za masovno skladištenje, gde je nemoguće garantovati sigurno brisanje. Svi podaci o klijentima na uređajima se stoga čuvaju na šifrovanim sistemima datoteka, a kada se izvrši vraćanje na fabrička podešavanja, briše se samo ključ za šifrovanje, čineći podatke o klijentima nedostupnim.

Da bismo to olakšali, kreiramo odgovarajuće veliku datoteku na glavnom flash-u i koristimo standardni Linux alat cryptsetup da kreiramo uređaj za povratnu petlju. Na ovom uređaju kreiramo standardni ekt4 sistem datoteka. Detalji o tome gde čuvamo ključ za šifrovanje nalaze se u sledećem odeljku.

Uređaj petlje je kreiran pomoću LUKS1 sa ključem veličine 512 bita i aes-ksts-plain64 šifre:

 $ criptsetup status /dev/mapper/config /dev/mapper/config je aktivan i u upotrebi. tip: LUKS1 šifra: AES-KSTS-plain64 keisize: 512 bita ključ lokacija: dm-kripta uređaj: / dev / loop5 petlja: / mnt / base / image1 / rvfs / config.img veličina sektora: 512 ofset: 4096 sektori veličina: 61440 sektori režim: read / vrite

Tokom redovnog rada uređaja, criptsetup se koristi za dešifrovanje datotečnih sistema pre nego što se montiraju. Kada se ključ za šifrovanje izbriše, više nije moguće podesiti uređaj petlje i montirati sisteme datoteka.

Ključ za šifrovanje koji koristimo je čitanje 20 bajtova iz /dev/urandom koji se pokreće kroz sha1sum da bi se dobila ASCII reprezentacija. Ključ se generiše na prvom pokretanju nakon fabričkog resetovanja i ne menja se dok se ne izvrši novo fabričko resetovanje.

Zaštita ključa za šifrovanje podataka

Na našim uređajima koristimo dva različita ključa za šifrovanje. Jedan za /data particiju unutar Android kontejnera (za Microsoft MTR i Zoom) i jedan za druge sisteme datoteka (koristi se za konfiguraciju korisnika, zidne papire, dnevnik poziva, istorijske dnevnike, i tako dalje).

Za particiju /data u Android, privatni ključ je uvek bio bezbedno uskladišten unutar granice Nvidia TrustZone ili, na Room Navigator, šifrovan pomoću ugrađenog mehanizma za šifrovanje SoC-a.

Do i uključujući ce-11.25.k, drugi ključ se čuva u EEPROM-u. Dok EEPROM je nedostupan korisnicima koji dolaze preko bilo kog normalnog kanala, može se prisilno ukloniti sa uređaja (zajedno sa fleš diskom) da zapravo dešifruje sadržaj.

Počevši od ce-11.26.k premeštamo redovni ključ za šifrovanje sistema datoteka u Nvidia pouzdano izvršno okruženje (TEE) zasnovano na ARM TrustZone[0], tako da ključ neće biti moguće izvući iz Nvidia SoC-a. Pošto je jedini (poznati) način da se zaobiđe proces sigurnog pokretanja da se zameni ceo Nvidia SoC, koji bi zatim uklonio ključ, ekstrakcija ključa bi bila ograničena na pronalaženje ranjivosti u CE kodu da bi se dobila korenska ljuska sa dovoljnim dozvolama za dobijanje ključa.

Za Room Navigator migracija će biti u kasnijoj verziji.