White paper

Axis Edge Vault

abril, 2024

Resumo

O Axis Edge Vault fornece uma plataforma de segurança cibernética baseada em hardware que protege o dispositivo Axis. Ele depende de uma base sólida de módulos de computação criptográfica (elemento seguro e TPM) e segurança SoC (TEE e inicialização segura), combinada com a experiência em segurança de dispositivos de borda. O Axis Edge Vault tem seu ponto de ancoragem na raiz robusta de confiança, estabelecida pela inicialização segura junto com o SO assinado (“SO“ é sistema operacional). Esses recursos permitem uma cadeia ininterrupta de software criptograficamente validado para a cadeia de confiança da qual dependem todas as operações seguras.

Os dispositivos Axis com o Edge Vault minimizam a exposição de clientes a riscos de segurança cibernética, evitando escutas e extração mal-intencionada de informações confidenciais. O Axis Edge Vault também permite que o dispositivo Axis seja uma unidade confiável na rede do cliente.

Plataforma de segurança cibernética Axis Edge Vault
Módulos de computação criptográficaRecursosCasos de uso

  • Componente de segurança

  • TPM 2.0

  • Segurança SoC (TEE)

  • Inicialização segura

  • SO assinado

  • ID de dispositivo Axis

  • Armazenamento seguro de chaves

  • — Vídeo assinado

  • Sistema de arquivos criptografados

  • Proteção da cadeia de fornecimento

  • Identidade de confiança de dispositivos

  • Armazenamento de chave seguro

  • Detecção de violação de vídeo

  • Proteção da cadeia de fornecimento: O Axis Edge Vault requer uma base segura que atue como a raiz da confiança. Sem a ajuda da inicialização segura e do SO assinado, a raiz da cadeia de confiança não pode ser estabelecida. A inicialização segura, junto com o SO assinado, fornecem uma cadeia ininterrupta de software criptograficamente validado, começando na memória imutável (ROM de inicialização). A inicialização segura garante que um dispositivo possa inicializar apenas com o SO assinado, o que evita a violação da cadeia física de fornecimento. Com o SO assinado, o dispositivo também é capaz de validar o novo software do dispositivo antes de aceitar instalá-lo. Se o dispositivo detectar que a integridade está comprometida ou o software do dispositivo não é assinado pela Axis, a atualização será rejeitada. Isso protege os dispositivos contra violações de software.

  • Identidade de confiança de dispositivos: É crucial conseguir verificar a origem do dispositivo para estabelecer confiança na identidade do dispositivo. Durante a produção, os dispositivos com o Axis Edge Vault recebem um certificado de ID de dispositivo Axis exclusivo, fornecido de fábrica e compatível com IEEE 802.1AR. Isso funciona como um passaporte para comprovar a origem do dispositivo. A ID do dispositivo é armazenada de forma segura e permanente no armazenamento seguro de chaves como um certificado assinado pelo certificado raiz do Axis. A ID do dispositivo pode ser aproveitada pela infraestrutura de TI do cliente para integração segura automatizada e identificação segura do dispositivo.

  • Armazenamento seguro de chaves: O armazenamento seguro de chaves fornece armazenamento de informações criptográficas com base em hardware e protegido contra violação. O armazenamento seguro de chaves protege a ID do dispositivo Axis, bem como as informações criptográficas carregadas pelo cliente, e impede o acesso não autorizado e a extração maliciosa no caso de uma violação de segurança.

  • Detecção de violações de vídeo: O vídeo assinado garante que a evidência em vídeo possa ser confirmada como não manipulada sem provar a cadeia de custódia do arquivo de vídeo. Cada câmera usa sua própria chave de assinatura de vídeo exclusiva, que é guardada de forma segura no armazenamento seguro de chaves para adicionar uma assinatura ao stream de vídeo. Quando o vídeo é reproduzido, o reprodutor de arquivos da Axis mostra se o vídeo está intacto. O vídeo assinado torna possível rastrear o vídeo de volta à câmera de origem e verificar se o vídeo não foi violado depois que foi retirado da câmera.

Introdução

A Axis segue as melhores práticas do setor na implementação de segurança em nossos produtos. Isso é feito para minimizar a exposição do cliente a riscos de segurança cibernética e para tornar o dispositivo Axis uma unidade confiável na rede do cliente.

O Axis Edge Vault fornece uma plataforma de segurança cibernética baseada em hardware que protege o dispositivo Axis. Ele se baseia em uma base sólida de módulos de computação criptográfica (elemento seguro e TPM) e segurança SoC (TEE e inicialização segura), combinada com a experiência em segurança de dispositivos de borda.

Este white paper descreve a abordagem multicamadas da segurança de dispositivos de borda da Axis, apresenta os riscos comuns e como eles podem ser evitados. O Axis Edge Vault requer uma base segura que atue como a raiz da confiança. Portanto, também examinaremos os aspectos de segurança da cadeia de fornecimento dos dispositivos Axis e aprenderemos como o SO assinado (sistema operacional assinado) e a inicialização segura são medidas fundamentais que combatem a violação de software e a violação da cadeia física de fornecimento.

Em https://www.axis.com/support/cybersecurity/resources você pode encontrar mais informações sobre segurança do produto, vulnerabilidades descobertas e as medidas que você pode tomar para reduzir os riscos de ameaças.

O último capítulo deste white paper contém um glossário.

Proteção da cadeia de fornecimento

O Axis Edge Vault requer uma base segura que atue como a raiz da confiança. O estabelecimento da raiz de confiança começa no processo de inicialização do dispositivo. Nos dispositivos Axis, o mecanismo inicialização segura, baseado em hardware, verifica o sistema operacional (AXIS OS) a partir do qual o dispositivo está inicializando. O AXIS OS, por sua vez, é assinado criptograficamente usando sistema operacional assinado, durante o processo de compilação.

A inicialização segura e o sistema operacional assinado se conectam. Eles verificam se o sistema operacional ou software do dispositivo não foi violado (por qualquer pessoa com acesso físico ao dispositivo) antes do dispositivo ser implantado e, após a implantação, asseguram que o dispositivo não instale atualizações comprometidas ou de software não assinado por código. Juntos, a inicialização segura e o SO assinado criam uma cadeia ininterrupta de software criptograficamente validado para a cadeia de confiança da qual dependem todas as operações seguras.

Inicialização segura

O mecanismo de inicialização segura é um processo de inicialização que consiste em uma cadeia inquebrável de software validada criptograficamente e que começa em uma memória imutável (ROM de inicialização). A inicialização segura garante que um dispositivo possa ser inicializado apenas com sistema operacional autorizado.

O processo de inicialização é iniciado pela ROM de inicialização que valida o bootloader. A inicialização segura então verifica, em tempo real, as assinaturas incorporadas para cada componente de software que é carregado da memória flash. A ROM de inicialização serve como raiz de confiança, e o processo de inicialização continua somente se cada assinatura é verificada. Cada parte da cadeia autentica a parte seguinte. No final, o resultado é um kernel Linux e um sistema de arquivos raiz verificados.

No processo de inicialização segura, cada parte da cadeia autentica a próxima. Em última análise, isso resulta em um sistema de arquivos raiz verificado.
  1. ROM de inicialização (raiz de confiança) no SoC
  2. Bootloader
  3. Kernel do Linux
  4. Sistema de arquivos raiz

Em muitos dispositivos, é importante que a funcionalidade de baixo nível seja impossível de mudar. Quando outros mecanismos de segurança estão integrados ao software de nível inferior, a inicialização segura funciona como uma camada de base segura que impede que esses mecanismos sejam burlados. Para um dispositivo com inicialização segura, o sistema operacional instalado na memória flash fica protegido contra alterações, enquanto a configuração permanece desprotegida. A inicialização segura garante o estado correto do dispositivo, mesmo após um padrão de fábrica. Mas, para que a inicialização segura funcione, ela deve garantir que a inicialização verifique se o sistema operacional está assinado pela Axis.

SO assinado

O SO assinado pela Axis envolve a assinatura da imagem do software do dispositivo com assinatura por código da Axis com uma chave privada que é mantida em segredo. Na inicialização do dispositivo, a inicialização segura de um dispositivo Axis verificará se o software do dispositivo está assinado. Se o dispositivo detectar que a integridade do software do dispositivo está comprometida, o dispositivo não funcionará. Ao atualizar o software do dispositivo, o AXIS SO assinado do dispositivo verificará automaticamente se o novo SO AXIS também está assinado. Se não estiver, a atualização será rejeitada.

O processo de autenticação do SO assinado por código é iniciado por meio da computação de um valor de hash criptográfico. O valor, em seguida, é assinado com a chave privada de um par de chave pública/privada antes que a assinatura seja associada à imagem do AXIS SO.

O processo de SO assinado por código.
  1. Um valor de hash criptográfico para o AXIS OS é criado.
  2. A assinatura é criada pela combinação do hash e da chave privada.
  3. A assinatura é adicionada à versão e ao binário do AXIS SO.

Antes de uma atualização, a autenticidade da nova atualização de software deve ser verificada. Para garantir isso, a chave pública (incluída com o produto Axis) é usada para confirmar se o valor de hash foi realmente assinado com a chave privada correspondente. Ao também calcular o valor de hash e compará-lo a esse valor de hash validado a partir da assinatura, a integridade pode ser verificada. O processo de inicialização dos dispositivos Axis será abortado se a assinatura do for inválida ou a imagem do AXIS SO fosse violada.

O processo de verificação do SO assinado.
  1. Calculando o valor hash do AXIS OS
  2. Usando a chave pública para confirmar o valor do hash da assinatura
  3. A assinatura será verificada com êxito, somente se os resultados corresponderem.

O SO assinado Axis baseia-se no método de criptografia de chave pública RSA amplamente aceito pelo setor. A chave privada é armazenada em um local altamente protegido na Axis, enquanto a chave pública é incorporada aos dispositivos Axis. A integridade de toda a imagem do software é garantida por uma assinatura. A assinatura primária verifica várias assinaturas secundárias durante a descompactação da imagem.

Para compilações personalizadas e de teste, a Axis implementou um mecanismo que aprova dispositivos individuais para aceitar imagens de não produção. Esta imagem é assinada por código por meio de uma chave dedicada para esse fim, com aprovação do proprietário e da Axis, e resulta numa assinatura personalizada. Quando instalado nos dispositivos aprovados, o certificado permite o uso de um imagem personalizado que pode ser executado apenas no dispositivos aprovados, com base no número de série exclusivo e ID de chip. Os certificados de imagem personalizados podem ser criados apenas pela Axis, uma vez que a Axis possui a chave para assiná-los.

Identidade de confiança de dispositivos

Em redes modernas de segurança zero-trust (“nunca confie, sempre verifique”), é essencial a capacidade de verificar a origem do dispositivo, sua autenticidade e suas conexões. Um dispositivo em rede pode verificar sua integridade e autenticidade de uma forma equivalente a você mostrar seu passaporte às autoridades para verificação da identidade.

Identificação segura do dispositivo com ID do dispositivo Axis

O padrão internacional IEEE 802.1 AR define o método para automatizar e proteger a identificação de um dispositivo em uma rede. Se a comunicação for encaminhada para um módulo de computação criptográfica incorporado, o dispositivo poderá retornar uma resposta de identificação confiável de acordo com o padrão. Essa resposta confiável pode ser usada pela infraestrutura em rede para permitir a integração automatizada e segura do dispositivo em uma rede provisional para configuração inicial do dispositivo e atualizações de software.

Para estar em conformidade com o IEEE 802.1AR, fabricamos a maioria de nossos dispositivos com certificado de ID de dispositivo Axis exclusivo e fornecido de fábrica (identificador inicial de dispositivo IEEE 802.1AR, IDevID). A ID do dispositivo Axis é armazenada com segurança no armazenamento seguro de chaves, protegido contra violação, fornecido por meio de um módulo de computação criptográfica no próprio dispositivo. Essa identidade é exclusiva para cada dispositivo Axis, e foi desenvolvida para comprovar a origem do dispositivo.

Durante o processo de fabricação de um dispositivo, a ID exclusiva do dispositivo Axis (2) é armazenada no armazenamento seguro de chaves do dispositivo (3).
  1. Infraestrutura da chave da ID de dispositivo Axis (PKI)
  2. ID de dispositivo Axis
  3. ID do dispositivo Axis armazenada com segurança no armazenamento seguro de chaves, protegido contra violação, fornecido por meio de um módulo de computação criptográfica no dispositivo Axis.

O IEEE 802.1AR é baseado no padrão IEEE 802.1X para controle de acesso à rede, que é habilitado por padrão em dispositivos Axis com a ID de dispositivo Axis pré-selecionada. Isso permite a identificação e a autenticação seguras do dispositivo Axis por meio de uma infraestrutura de TI compatível com 802.1X, mesmo no estado padrão de fábrica.

O certificado da ID do dispositivo Axis vem em várias configurações criptográficas (2048 bits RSA, 4096 bits RSA, ECC-P256). Elas são ativadas por padrão para permitir conexões seguras de dispositivos e identificação por meio do controle de acesso à rede IEEE 802.1X, bem como HTTPS.

A Axis gerencia sua própria infraestrutura de chave pública (PKI) IEEE 802.1AR dedicada para fornecer de fábrica, a ID do dispositivo Axis durante o processo de manufatura. A ID do dispositivo Axis é assinada pelo certificado intermediário que, por sua vez, é assinado pelo certificado raiz do Axis. Tanto a CA raiz quanto a CA intermediária são armazenadas com segurança em módulos de computação criptográfica, separados geograficamente. Isso evita a extração maliciosa em caso de violação de segurança nas instalações de produção da Axis. Mais informações sobre a infraestrutura Axis PKI podem ser encontradas em www.axis.com/support/public-key-infrastructure-repository

Infraestrutura de chave pública (PKI) IEEE 802.1AR da Axis, para provisionamento de fábrica da ID do dispositivo Axis durante o processo de manufatura. A ID de dispositivo Axis (1), que é um certificado que incorpora o número de série do produto, é assinado por uma ID do dispositivo Axis intermediária CA (2), que foi assinado pela raiz CA da ID do dispositivo Axis (3). Módulos de segurança de hardware (HSM) dedicados são usados para provisionamento seguro de fábrica.
  1. Referência
  2. Assinar

Exemplo de uma ID de dispositivo Axis.

Integração segura em rede

Ao comprar um dispositivo Axis, você pode fazer um exame manual antes de começar a usá-lo. Ao inspecionar visualmente o dispositivo e usar conhecimento prévio sobre a aparência dos produtos Axis, você pode comporvar que o dispositivo um original da Axis. No entanto, você só consegue fazer esse tipo de inspeção se tiver acesso físico ao dispositivo. Portanto, quando você se comunica com um dispositivo em uma rede, como pode ter certeza de que está se comunicando com o dispositivo correto e pode verificar a identidade? Nem o equipamento de rede nem o software nos servidores podem realizar uma inspeção física. Como medida de segurança, a prática comum é interagir primeiro com um novo dispositivo por meio de uma rede fechada, em que ele pode ser provisionado de forma segura.

A ID do dispositivo Axis fornece à sua rede uma prova criptograficamente verificável de que um dispositivo específico foi produzido pela Axis e de que a conexão da rede com ele é fornecida por esse dispositivo. A ID do dispositivo Axis pode ser usada durante o processo de autenticação de rede IEEE 802.1X para obter acesso a uma rede de provisionamento em que atualizações de software e configuração adicionais do dispositivo Axis serão executadas antes que o dispositivo Axis seja movido para a rede de produção.

Ao usar a ID do dispositivo Axis, a segurança geral pode ser aumentada e o tempo para implantação de dispositivos reduzido, pois controles mais automatizados e econômicos podem ser usados para a instalação e configuração de dispositivos.

Integração segura em rede. Você pode instruir seu servidor de autenticação (9) para aceitar automaticamente os dispositivos Axis (3) em rede (8) e VMS (7). Isso é possível usando os números de série do dispositivo e a ID do dispositivo Axis (4) como uma impressão digital ou autenticação.
  1. Dispositivo não autorizado (deve ser integrado manualmente)
  2. Dispositivos de terceiros
  3. Dispositivo Axis
  4. ID do dispositivo Axis, armazenado com segurança no armazenamento seguro de chaves e protegido contra violação
  5. Autenticação de rede 802.1X EAP-TLS do dispositivo Axis por meio do certificado da ID do dispositivo Axis
  6. Switch gerenciável (autenticador)
  7. VMS (verificação do dispositivo)
  8. LAN protegida por 802.1X
  9. RADIUS (servidor de autenticação em rede)
Descrição mais detalhada do processo de integração. O IEEE 802.1AR para identidade segura de dispositivo define um método para identificar um dispositivo (1) por meio de solicitações IEEE 802.1X EAP (EAP-TLS) usando um servidor RADIUS (3) para conceder acesso do dispositivo à rede.
  1. Dispositivo Axis
  2. Switch gerenciável (autenticador)
  3. Servidor RADIUS (servidor de autenticação em rede)
  4. Nova conexão
  5. Identidade de solicitação EAP
  6. Identidade de resposta EAP, incluindo certificado da ID do dispositivo Axis IEEE 802.1AR IDevID
  7. Solicitação de acesso RADIUS
  8. Desafio de acesso RADIUS
  9. EAP bem-sucedido

Além de fornecer uma fonte adicional e integrada de confiança, aID de dispositivo Axis também fornece um meio de rastrear dispositivos e permite a verificação e a autenticação periódicas de acordo com os princípios de rede zero-trust.

Após a integração segura de um dispositivo, os aplicativos de software (5) em outras partes do sistema podem usar a ID do dispositivo Axis (1) e as operações criptográficas para fazer a verificação e a autenticação do dispositivo em várias comunicações baseadas em TLS (2). A ID do dispositivo Axis pode ser verificada pelo certificado CA raiz da ID do dispositivo Axis disponível publicamente (4).
  1. ID do dispositivo Axis armazenada com segurança no armazenamento seguro de chaves e protegido contra violação
  2. Comunicação com base em TLS (HTTPS, WebRTC, SRTP)
  3. Switch gerenciável
  4. Certificado CA raiz da ID do dispositivo Axis (baixe em www.axis.com/support/public-key-infrastructure-repository
  5. VMS ou outro software (verificação do dispositivo)

Armazenamento de chave seguro

Normalmente, as informações criptográficas X.509 confidenciais (chaves privadas) são armazenadas no sistema de arquivos de um dispositivo. Ele é protegido apenas pela política de acesso à conta do usuário, que fornece proteção básica, porque a conta do usuário não é facilmente violada. No entanto, no caso de uma violação de segurança, essas informações criptográficas ficariam desprotegidas e acessíveis a um inimigo.

De um aspecto de segurança, o armazenamento seguro de chaves é essencial no armazenamento e proteção das informações criptográficas. Não apenas as informações criptográficas confidenciais (incluídas no ID do dispositivo Axis e no vídeo assinado) são armazenadas no armazenamento seguro de chaves, como também as informações carregadas pelo cliente podem ser protegidas da mesma maneira.

Armazenamento seguro de chaves

As informações criptográficas confidenciais (chaves privadas) são armazenadas no armazenamento seguro de chaves, protegidas contra violação baseada em hardware do dispositivo. Isso evita a extração maliciosa, mesmo em casos de violação de segurança. Além disso, as chaves privadas permanecem protegidas no armazenamento seguro de chaves, mesmo quando estão sendo usadas. Um possível invasor não terá acesso ao armazenamento seguro de chaves e não poderá espionar o tráfego de rede, obter acesso à rede por meio de chaves IEEE 802.1X ou extrair outras chaves privadas.

O armazenamento seguro de chaves é disponibilizado por meio de um módulo de computação criptográfica baseado em hardware. Dependendo dos requisitos de segurança, um dispositivo Axis pode ter um ou vários módulos, como um TPM 2.0 (Trusted Platform Module) ou um elemento seguro, e/ou um ambiente de execução confiável (TEE).

Os armazenamentos seguros de chaves (1) fornecem proteção de chaves privadas (2) e execução segura de operações criptográficas.
  1. Armazenamentos seguros de chaves, que podem ser um elemento seguro, um TPM ou um TEE (no SoC)
  2. Chaves privadas, como ID do dispositivo Axis, chave de assinatura de vídeo, chaves de controle de acesso, chaves do sistema de arquivos e chaves carregadas pelo cliente (como IEEE 802.1X e HTTPS)

Dispositivos com Axis Edge Vault têm módulos de computação criptográfica de hardware (elemento seguro (6) e TPM (7)) que são montados em PCB ao lado do processador principal do SoC (4). O TEE (5) é uma área segura do próprio processador principal do SoC. A ROM de inicialização incorporada ao SoC (3) é responsável pela execução de procedimentos de inicialização seguros e por garantir que apenas imagens de software do sistema operacional assinadas da memória flash (1) sejam usadas para inicializar o dispositivo.
  1. Memória flash (para sistema operacional assinado, sistema de arquivo de leitura e gravação)
  2. SoC
  3. ROM de inicialização (para inicialização segura)
  4. CPU
  5. TEE (para armazenamento de chaves seguro)
  6. Elemento seguro (para armazenamento de chave seguro)
  7. TPM (para armazenamento de chaves seguro)

O TPM, o elemento seguro e o TEE fornecem proteção de chaves privadas e execução segura de operações criptográficas. No caso de uma violação de segurança, o acesso não autorizado e a extração maliciosa são evitados.

Critérios comuns e FIPS 140

Os módulos de computação criptográfica podem ser certificados usando os níveis de avaliação de critérios comuns (CC EAL), bem como os níveis de conformidade FIPS 140 (1-4). Essas certificações são usadas para determinar a exatidão e a integridade das operações criptográficas, e para verificar várias contramedidas de violação, como autoverificação, resistência à violação e outras medidas de resistência. Você pode encontrar informações sobre a certificação na folha de dados de um dispositivo Axis ou no seletor de produtos Axis. A Axis exige que seus módulos incorporados de computação criptográfica de hardware sejam certificados no mínimo de acordo com os Critérios comuns EAL4 e/ou FIPS 140-2/3 Nível 2/3.

Critérios comuns

Os Critérios comuns (CC) (também conhecido como Critérios Comuns para Avaliação de Segurança de Tecnologia da Informação) é um padrão internacional (ISO/IEC 15408) para certificação de segurança de produtos de TI. Os Critérios comuns fornecem uma estrutura para fabricantes e implementadores especificarem os requisitos funcionais e de garantia de segurança como alvos de segurança, que podem ser agrupados em perfis de proteção.

Esses objetivos de segurança reivindicados são então avaliados por laboratórios de testes independentes e certificados antes de serem listados como produtos certificados no banco de dados dos Critérios comuns. Os requisitos e o rigor da avaliação pelo laboratório de testes são informados por meio de um EAL (Nível de garantia de avaliação) atribuído, variando de EAL 1 — testado funcionalmente a EAL 7 — projeto formalmente verificado e testado. Isso significa que os Critérios comuns podem abranger desde sistemas operacionais e firewalls até TPMs e passaportes.

Para obter mais detalhes sobre os requisitos de certificação dos Critérios comuns, acesse o site dos Critérios comuns: www.commoncriteriaportal.org/

FIPS 140

FIPS (Normas Federais de Processamento de Informações) 140-2 e 140-3 são normas de segurança da informação para módulos de computação criptográfica e uso de algoritmos criptográficos, emitidos pelo NIST (National Institute of Standards and Technology) e adotado como requisito pelos governos federais dos EUA e do Canadá. FIPS 140-3 substitui FIPS 140-2 em 2019 como sua versão atualizada. A validação por um laboratório de testes certificado pelo NIST garante que o sistema de módulos e a criptografia do módulo sejam implementados corretamente. Em resumo, o certificado requer descrição, especificação e verificação do módulo de computação criptográfica, dos algoritmos aprovados, dos modos de operação aprovados e dos testes de energia.

Os clientes podem ter certeza de que seus produtos podem ser operados de acordo com as especificações do governo. Isso proporciona aos clientes tranquilidade quando autoridades do governo realizam auditorias. As organizações que não são regulamentadas pela FIPS 140 têm a garantia de que seus produtos aderem aos padrões definidos pelo governo. Mais detalhes sobre os requisitos de certificação do FIPS 140-2 e do FIPS 140-3 podem ser encontrados no site do NIST, www.nist.gov

Para que um sistema completo seja compatível com a FIPS 140, cada componente do sistema precisa estar em conformidade com a FIPS 140. Por exemplo, o sistema de gerenciamento de vídeo, o servidor de gravação e os dispositivos conectados, como câmeras, precisariam estar em conformidade. Um dispositivo é compatível com a FIPS 140 quando pelo menos um módulo certificado por software ou hardware é usado.

Dispositivos Axis com AXIS OS versão 12 ou posterior têm módulo criptográfico Axis (OpenSSL) baseado em software com certificado FIPS 140. A maioria dos dispositivos Axis incorporam o módulo criptográfico de hardware e o módulo criptográfico baseado em software com certificado FIPS 140. Isso permite a solução ideal de uso do módulo certificado por software para atender aplicativos baseados em software, como HTTPS e IEEE 802.1X no nível do sistema operacional, juntamente com o módulo certificado por hardware para armazenamento seguro de chaves.

Uso de software criptográfico e módulos de hardware compatíveis com a FIPS 140 em um dispositivo Axis. Aplicativos (1) são operados pelo módulo criptográfico Axis, incorporado no AXIS OS (2) do dispositivo Axis. O módulo criptográfico Axis executa operações criptográficas, tanto simétricas quanto assimétricas, utilizando o SoC (3) e/ou os módulos de computação criptográfica baseados em hardware incorporados (4) para armazenamento seguro de chave.
  1. Aplicativos que exigem criptografia ou são baseados em TLS (como HTTPS, webRTC e 802.1X)
  2. AXIS SO com módulo criptográfico baseado em software incorporado (Certificado NIST: https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4621
  3. SoC
  4. Módulos de computação criptográfica baseados em hardware incorporados

Proteção de chaves privadas

Para um invasor, a extração da chave privada permitiria espionar o tráfego em rede criptografado por HTTPS ou fingir ser o dispositivo verdadeiro e obter acesso a uma rede protegida por 802.1X.

Os dispositivos Axis são compatíveis com vários protocolos baseados em TLS (Segurança da Camada de Transporte) para comunicação segura. A ID do dispositivo Axis (IEEE 802.1AR), HTTPS (criptografia de rede) e 802.1X (controle de acesso à rede) se baseiam na proteção de informação criptográfica X.509.

Os certificados digitais X.509 de TLS usam um certificado e um par de chaves públicas e privadas correspondentes para que dois hosts em rede se comuniquem. A chave privada é armazenada no armazenamento seguro de chaves e nunca sai dele, mesmo quando é usada para descriptografar dados. O certificado verdadeiro e a chave pública são conhecidos, podem ser compartilhados pelo dispositivo Axis e são usados para criptografar dados.

Proteção de chaves de controle de acesso

A proteção das informações criptográficas usadas nas soluções de controle de acesso da Axis, como o Canal seguro Open Supervised Device Protocol (OSDP), é outro exemplo da importância do armazenamento de chaves protegidas por hardware.

O Canal seguro OSDP é um esquema de criptografia e autenticação baseado em AES-128, amplamente usado para proteger a comunicação entre controladores de porta e dispositivos periféricos, como leitores.

A chave simétrica AES, Chave Base do Canal Seguro (SCBK), compartilhada pelo controlador de porta e leitor, é usada para iniciar a autenticação mútua e, posteriormente, para gerar um conjunto de chaves de sessão para criptografar os dados de comunicação entre controladores de porta e leitores.

Para alcançar a verdadeira segurança de ponta a ponta, a chave mestra (MK) e o SCBK precisam ser armazenados com segurança no armazenamento seguro de chaves do controlador de porta de rede da Axis. A Chave Mestra deriva uma chave SCBK exclusiva por leitor Axis conectado. Além disso, o SCBK individual, que é distribuído com segurança durante a fase de instalação para um leitor Axis, precisa ser armazenado com segurança no armazenamento seguro de chaves do leitor. O leitor é mais crítico, considerando que normalmente é instalado no lado inseguro da porta.

Dessa forma, as chaves do Canal Seguro OSDP são protegidas em ambas as extremidades em um ambiente protegido por hardware. Isso evita a extração maliciosa, mesmo em casos de violação de segurança.

Obtenção da segurança de ponta a ponta com armazenamento seguro de chaves no controle de acesso. A chave mestra e a chave base do canal seguro individual (SCBK) são armazenadas em chaves seguras, em dispositivos em cada lado da porta.
  1. Controlador de porta Axis instalado no lado seguro da porta
  2. Leitor Axis instalado no lado inseguro da porta
  3. Comunicação do OSDP Secure Channel

Proteção das chaves do sistema de arquivos

Um dispositivo Axis em operação carrega informações e configurações específicas do cliente. O mesmo se aplica quando o dispositivo Axis está em trânsito para o cliente de um distribuidor ou integrador de sistemas que forneceu serviços de pré-configuração. Quando um invasor mal-intencionado consegue acessar fisicamente o dispositivo Axis, ele pode tentar extrair informações do sistema de arquivos desmontando a memória flash e acessando-a por meio de um dispositivo leitor de flash. Portanto, proteger o sistema de arquivos de leitura e gravação contra extração de informações confidenciais ou violações de configuração é uma proteção importante para quando o dispositivo Axis for roubado ou ocorrer uma invasão.

O armazenamento seguro de chaves impede a extração maliciosa de informações e impede a violação da configuração ao impor uma criptografia robusta no sistema de arquivos. Quando o dispositivo Axis é desligado, as informações no sistema de arquivos são criptografadas. Durante o processo de inicialização, o sistema de arquivos de leitura/gravação é descriptografado com uma chave AES-XTS-Plain64 256 bits para que o sistema de arquivos possa ser montado e usado pelo dispositivo Axis. A chave de criptografia do sistema de arquivos é gerada exclusivamente por dispositivo no padrão de fábrica e regenerada a cada atualização de software seguinte, o que significa que a chave nunca é a mesma durante todo o ciclo de vida do dispositivo.

O TEE (1) e a ROM de inicialização (2) estão incorporados no SoC. Durante o processo de inicialização, o sistema de arquivos de leitura/gravação (6) é descriptografado (pelo TEE) para que o sistema de arquivos possa ser montado e usado pelo dispositivo Axis. No processo de inicialização, cada parte da cadeia: bootloader (3), kernel do Linux (4) e sistema de arquivos raiz (5), é verificada e autentica o próximo subsistema na memória flash. Em última análise, isso resulta em um sistema de arquivos raiz verificado.
  1. TEE
  2. ROM de inicialização
  3. Bootloader
  4. Kernel do Linux
  5. Sistema de arquivos raiz
  6. Sistema de arquivos de leitura/gravação
  7. O TEE descriptografa o sistema de arquivos de leitura/gravação.

Proteção de violação de vídeo

Uma premissa básica no setor de segurança é que os vídeos gravados por câmeras de monitoramento são autênticos e confiáveis. Vídeo assinado é um recurso desenvolvido para manter e aumentar a confiança nos vídeos como evidências. Ao verificar a autenticidade do vídeo, o recurso oferece uma forma de garantir que o vídeo não foi editado ou manipulado após sair da câmera.

Verificação de autenticidade de vídeo.
  1. Um vídeo passa por muitas etapas, desde a câmera até a pessoa que assiste à gravação. Um invasor habilidoso pode violar o vídeo em qualquer uma dessas transições.
  2. Com a marca d'água VMS adicionada ao vídeo durante a exportação, algumas etapas são verificadas, mas não há garantia de que o vídeo não tenha sido violado em um estágio anterior.
  3. O vídeo assinado fornece os meios para garantir que o vídeo não foi violado em nenhuma etapa do caminho da câmera para a pessoa que visualiza a gravação exportada. O vídeo pode ser rastreado de volta até o dispositivo que o gravou.

— Vídeo assinado

Com o recurso Vídeo assinado desenvolvido pela Axis, que foi proativamente disponibilizado como código aberto, é possível usar uma assinatura no stream de vídeo para garantir que o vídeo está intacto e verificar sua origem rastreando-o de volta à câmera que o produziu. Isso torna possível provar a autenticidade do vídeo sem ter que provar a cadeia de custódia do arquivo de vídeo.

Após a gravação de um incidente por um sistema de câmeras de segurança, a polícia pode receber o vídeo como arquivo de vídeo exportado em um pendrive e salvá-lo em um EMS (sistema de gerenciamento de evidências). Ao exportar o vídeo da câmera, o policial pode ver se o vídeo está assinado corretamente. Se for usado posteriormente em um processo de acusação, o tribunal pode controlar e verificar que horas e por qual câmera o vídeo foi gravado e se algum quadro do vídeo foi alterado ou removido. Com o reprodutor de arquivos da Axis, qualquer pessoa com uma cópia do vídeo pode visualizar essas informações.

A assinatura já está na câmera, possibilitando a verificação do conteúdo em todas as etapas, desde a origem até o uso final do vídeo.
  1. VMS
  2. Exportação de vídeo para CD/USB/web/email

Cada câmera usa sua própria chave de assinatura de vídeo exclusiva, que é guardada no armazenamento seguro de chaves, para adicionar uma assinatura ao stream de vídeo. Isso é feito ao calcular um hash de cada quadro de vídeo, incluindo os metadados e assinando o hash. A assinatura então é armazenada no stream, em campos de metadados dedicados (o cabeçalho SEI).

Uma representação gráfica de como uma assinatura é adicionada ao stream de vídeo. O conteúdo de cada frame de um grupo de imagens (GOP) é concatenado como hash junto com um hash dos metadados (1). Isso forma o hash de GOP (2), que é assinado no Edge Vault (3) usando a chave de assinatura de vídeo e a chave de atestado exclusivas do dispositivo. A assinatura digital (4) e os metadados (1) são então adicionados a um cabeçalho SEI posterior que é transportado ao longo do stream.
  1. Os metadados exclusivos do dispositivo (ID de hardware, versão do AXIS OS, número de série e relatório de atestado*) e metadados de stream (contador GOP e hashes de quadro)
  2. Hash de GOP
  3. Axis Edge Vault
  4. Assinatura Digital

* O relatório de atestado pode ser usado para verificar a origem do par de chaves usado para assinatura. Com a verificação do atestado da chave, é possível garantir que a chave está armazenada com segurança no hardware de um dispositivo específico. Isso garante a origem do vídeo.

A assinatura verdadeira é feita usando uma chave de assinatura de vídeo exclusiva do dispositivo, que é atestada usando uma chave de certificação exclusiva do dispositivo. O relatório de certificação é anexado ao stream no início e, depois, em intervalos periódicos, geralmente uma vez a cada hora. Como os metadados contêm o hash de cada quadro individual, é possível detectar qual quadro individual está correto. Para completar a assinatura, a estrutura do grupo de imagens (GOP) do vídeo deve ser protegida. Isso é feito incluindo na assinatura o hash do primeiro quadro I do próximo GOP. Isso evita cortes indetectáveis ou a reordenação dos quadros. No caso improvável de perda de quadros durante a transmissão ou danos durante o armazenamento, isso pode ser sinalizado da mesma forma.

Glossário

ID do dispositivo Axis: certificado exclusivo do dispositivo com chaves correspondentes que podem comprovar a autenticidade de um dispositivo Axis. O dispositivo Axis é fornecido de fábrica com uma ID de dispositivo Axis guardada no armazenamento seguro de chaves. A ID do dispositivo Axis é baseada no padrão internacional IEEE 802.1AR (IDevID, identificador inicial do dispositivo), que define um método para identificação automatizada e segura.

Axis Edge Vault: plataforma de segurança cibernética baseada em hardware que protege o dispositivo Axis. Ele se baseia em uma base sólida de módulos de computação criptográfica (elemento seguro e TPM) e segurança SoC (TEE e inicialização segura), combinada com a experiência em segurança de dispositivos de borda.

Certificado: documento assinado que atesta a origem e as propriedades de um par de chaves pública/privada. O certificado é assinado por uma autoridade de certificação (CA) e, se o sistema confiar na autoridade de certificação, ele também confiará nos certificados emitidos por ela.

Autoridade de certificação CA: raiz de confiança para uma cadeia de certificados. Ele é usado para comprovar a autenticidade e a veracidade de certificados subjacentes.

Critérios comuns (CC): padrão internacional para certificação de segurança de produtos de TI. Também referenciado como Critérios Comuns para Avaliação de Segurança de Tecnologia da Informação, ISO/IEC 15408.

FIPS 140: série de padrões de segurança de computadores dos EUA usados para aprovar módulos de computação criptográfica. O FIPS (Padrão Federal de Processamento de Informações) 140 define os requisitos sobre como um módulo criptográfico deve ser projetado e implementado para mitigar os riscos de violação do módulo.

ROM imutável (memória de somente leitura): memória de somente leitura que armazena com segurança as chaves públicas confiáveis e o programa usado para comparar assinaturas para que não possam ser sobrescritas.

Provisionamento: processo de preparar e equipar um dispositivo para a rede. Isso envolve a distribuição de dados de configuração e configurações de políticas para o dispositivo a partir de um ponto central. O dispositivo é fornecido com chaves e certificados.

Criptografia de chave pública: sistema de criptografia assimétrica em que qualquer pessoa pode criptografar uma mensagem usando a chave pública do receptor, mas somente o receptor (usando a chave privada) pode descriptografar a mensagem. Ela pode ser usada para criptografar e assinar mensagens.

Inicialização segura: recurso para impedir o carregamento de software não autorizado durante a inicialização do dispositivo. A inicialização segura usa sistema operacional assinado que garante que apenas o software Axis autorizado seja usado para inicializar o dispositivo.

Elemento seguro: módulo de computação criptográfica que fornece armazenamento de chaves privadas baseado em hardware e protegido contra violação e execução segura de operações criptográficas. Ao contrário do TPM, as interfaces de hardware e software de um elemento seguro não são padronizadas, mas específicas do fabricante.

Armazenamento seguro de chaves: ambiente protegido contra violações para proteção de chaves privadas e execução segura de operações criptográficas. Ele evita acesso não autorizado e extração maliciosa em caso de violação de segurança. Dependendo dos requisitos de segurança, um dispositivo Axis pode ter um ou vários módulos de computação criptográfica baseados em hardware que fornecem um armazenamento seguro de chaves, protegido por hardware.

SO assinado ou sistema operacional assinado: software de dispositivo cuja imagem de arquivo foi assinada digitalmente por uma parte confiável. O sistema operacional assinado é um requisito no processo de inicialização segura para garantir que o dispositivo seja inicializado apenas por uma imagem de software confiável. Em produtos baseados no AXIS OS, o dispositivo verifica a integridade e autenticidade da imagem do software do dispositivo antes de fazer uma atualização.

Vídeo assinado: recurso que mantém e fortalece a confiança no vídeo como prova. O vídeo assinado fornece detecção e autenticidade de violações de vídeo e é usado para garantir que o vídeo esteja intacto e possa ser rastreado de volta até uma câmera Axis específica. As chaves de assinatura para vídeo assinado ficam dentro do armazenamento seguro de chaves do dispositivo Axis.

Segurança da Camada de Transporte (TLS): padrão da Internet, usado para proteger o tráfego em rede. O TLS fornece o S (de segurança) em HTTPS.

Ambiente de Execução Confiável (TEE): fornece armazenamento de chaves privadas baseado em hardware e protegido contra violações, e execução segura de operações criptográficas. Ao contrário do elemento seguro e do TPM, o TEE é uma área isolada de hardware segura do processador principal do sistema em chip (SoC).

Módulo de Plataforma Confiável (TPM): módulo de computação criptográfica que fornece armazenamento de chaves privadas baseado em hardware e protegido contra violação, e execução segura de operações criptográficas. Os TPMs são componentes de computador padronizados internacionalmente (TPM 1.2, TPM 2.0), definidos pelo Grupo de Computação Confiável (TCG).

Segurança zero-trust: abordagem moderna para segurança de TI em que dispositivos conectados e infraestrutura de TI (como redes, computadores, servidores, serviços em nuvem e aplicativos) precisam identificar, validar e autenticar uns aos outros para obter controles de alta segurança.