Pano, Masa ve Oda Serisi aygıtlarındaki dosya sistemi, Linux sabit disk şifrelemesi standardı olan Linux Unified Key Setup (LUKS) kullanılarak şifrelenir. Dosya sistemi şifrelemesi anahtarı, NVRAM veya NOR flash'a kaydedilir. Fabrika Sıfırlaması sırasında, anahtarın üzerine yazılır ve kurtarılamaz. Bu durumda disk üzerinde hiçbir şey okunmaz. Bu, fabrika sıfırlamasını, ABD DOD 5220.22M ve NIST 800-88r1'e uygun olarak verileri silmek ve temizlemek için güvenli bir yöntem haline getirir.

Fabrika sıfırlaması sırasında:

• Çağrı günlükleri silinir

• Parolalar varsayılana sıfırlanır

• Tüm cihaz parametreleri varsayılan değerlere sıfırlanır

• Cihaza yüklenmiş olan tüm dosyalar silinir

• Önceki (etkin olmayan) yazılım görüntüsü silinir

• Seçenek tuşları etkilenmez

Fabrika sıfırlaması işlemini geri alamazsanız. Başlamadan önce, sıfırlama işleminin gerekli olduğundan emin olun.

NIST 800-88r1

NIST standart 800-88r1 üç temizleme düzeyi belirtir:

• Temiz: Noninvaziv kurtarma tekniklerine karşı koruma

• Temizleme: Veri kurtarmayı uygun hale getirme

• Destroy: Veri kurtarmayı uygun hale getirin ve ileride kullanımı önleyin

Şifreli Silme (CE) kullanımı ve Temizleme düzeyini karşılamak için bunun nasıl uygulanabileceği ile ilgili standart konuşmaların bölüm 2.6.

Bölüm 2.6.1 ve 2.6.2 CE'yi dikkate alma (dikkate almama) koşullarını listeler:

• Cihazda hassas veriler depolandıktan sonra şifreleme etkinse, önce sterilize edilmeden ortamı temizlemek için CE kullanmayın.

• Şifrelenmeden önce, hassas verilerin sterilize edilmeden cihazda depolanıp depolanmadığı bilinmiyorsa CE kullanmayın.

• CE için amaçlanan tüm veriler medyada saklanmadan önce (veriler ve sanallaştırılmış kopyalar dahil) şifrelendiğinde CE kullanmayı düşünebilirsiniz.

• Şifreleme anahtarının depolandığı ortam üzerindeki konumları bildiğimizde (hedef verinin şifreleme anahtarı veya ilişkili bir sarma anahtarı) CE kullanmayı düşünebilirsiniz ve ilgili ortam için özel sanitizasyon tekniğini kullanarak bu alanları temizleyerek anahtarın depolandığı ortam üzerindeki konumun gerçek konumunun olmasını sağlayabilirsiniz.

• Hedef verileri şifrelemek için kullanılan şifreleme anahtarlarının tüm kopyalarının temizlendiğini bildiğimiz zamanlarda CE kullanmayı düşünebilirsiniz.

• Hedef verilerin şifreleme anahtarları bir veya daha fazla sarma tuşu ile şifrelendiğinde ve ilgili sarma tuşlarını sterilize edebileceğimiz konusunda eminiz.

• Kullanıcının CE işlemini gerçekleştirmek için cihaz tarafından sağlanan komutları açık bir şekilde tanımlama ve kullanma yeteneğinden emin olduğumuzda CE'yi kullanmayı düşünebilirsiniz.

RoomOS'ta, müşteri verileri için kullanılan şifreli dosya sistemleri, hassas veriler oluşturulmadan önce, ilk önyüklemenin erken saatlerinde ayarlanır ve şifrelenir. Anahtar, yukarıda açıklanan şekilde eeprom'da (eski yazılım) veya SoC'nun güven bölgesi mekanizmaları kullanılarak depolanır ve güvenli bir şekilde sterilize edilebilir.

Anahtar asla yedeklenmeyecektir ve anahtar emanet mekanizması yoktur.

Cisco, tüm bunları göz önünde bulundurarak, RoomOS'taki fabrika sıfırlama mekanizmasının NIST 800-88r1'deki Temizleme düzeyiyle uyumlu olduğunu iddia eder.

Müşteri veri şifrelemesi

Disk Şifreleme

Cihazlar, güvenli silmenin garanti etmek imkansız olduğu yerde, kitle depolama için bir flash cihazı kullanır. Bu nedenle, aygıtlardaki tüm müşteri verileri şifreli dosya sistemlerinde depolanır ve fabrika varsayılanlarına sıfırlama yapıldığında, yalnızca şifreleme anahtarı silinir ve müşteri verilerine erişilemez hale getirilir.

Bunu kolaylaştırmak için ana flash üzerinde uygun derecede büyük bir dosya oluşturuyoruz ve standart Linux araç şifrelemesini kullanarak bir geri döngü cihazı oluşturuyoruz. Bu cihazda standart bir ext4 dosya sistemi oluşturuyoruz. Şifreleme anahtarını nerede depoladığımızla ilgili ayrıntılar sonraki bölümde yer almaktadır.

Döngü aygıtı, 512 bit anahtar boyutu ve aes-xts-plain64 şifresi olan LUKS1 kullanılarak oluşturulur:

 $ şifreleme durumu /dev/mapper/config /dev/mapper/config etkin ve kullanımda. tür: LUKS1 şifresi: aes-xts-plain64 keyize: 512 bit anahtar konumu: dm-crypt cihazı: /dev/loop5 döngüsü: /mnt/base/image1/config.img sektör boyutu: 512 farkı: 4096 sektör boyutu: 61440 sektör modu: oku/yaz

Cihazın düzenli çalışması sırasında, dosya sistemlerini monte etmeden önce örtmek için şifreleme kullanılır. Şifreleme anahtarı silindiğinde, döngü aygıtını ayarlamak ve dosya sistemlerini bağlamak artık mümkün değildir.

Kullandığımız şifreleme anahtarı/dev/urandom öğesinden 20 bayt okunuyor ve bu, ascii gösterimi almak için sha1sum üzerinden çalıştırılıyor. Anahtar, fabrika ayarlarına sıfırlandıktan sonra ilk önyüklemede oluşturulur ve yeni fabrika ayarlarına sıfırlama yapılıncaya kadar değişmez.

Veri şifreleme anahtarı koruması

Cihazlarımızda iki farklı şifreleme anahtarı kullanıyoruz. Biri Android kapsayıcısının içindeki /veri bölümü (Microsoft MTR ve Yakınlaştırma için) ve diğeri de diğer dosya sistemleri için (müşteri yapılandırması, duvar kağıtları, arama günlüğü, geçmiş günlükleri vb.)

Android'deki /veri bölümü için özel anahtar her zaman 2010'un 2013'teki TrustZone sınırı içinde güvenli bir şekilde depolanmış veya Oda Gezgini'nde, SoC'nun yerleşik şifreleme mekanizması kullanılarak şifrelenmiştir.

Ce-11.25.x'e kadar olan ve buna dahil olan diğer anahtar EEPROM'da depolanır. EEPROM herhangi bir normal kanaldan gelen kullanıcılara erişilemezken, içeriği gerçekten ortaya çıkarmak için cihazdan (flash diskle birlikte) zorla çıkarılabilir.

ce-11.26.x ile başlayarak, normal dosya sistemi şifreleme anahtarını ARM TrustZone[0]'ı temel alan 10 güvenilir yürütme ortamına (TEE) taşıyacağız, dolayısıyla anahtarın 10 SoC'dan ayıklanması mümkün olmayacaktır. Güvenli önyükleme işlemini atlatmanın tek (bilinen) yolu, daha sonra anahtarı kaldıracak olan tüm Yinele SoC'yi değiştirmek olduğundan, anahtar çıkarma işlemi, anahtarı almak için yeterli izinlere sahip bir kök kabuk almak için CE kodundaki güvenlik açıklarını bulmakla sınırlandırılır.

Oda Gezgini için geçiş işlemi daha sonraki bir sürümde olacaktır.