Inhoudsopgave
Advertenties
32
nl | Algemene installatieprocedures en instructies
sleuteluitwisselingsmethode om ervoor te zorgen dat twee partijen die niet eerder met elkaar
hebben gecommuniceerd, samen een gedeelde geheime sleutel kunnen samenstellen via een
onveilig kanaal. Met deze sleutel kunnen ze vervolgens verdere berichten versleutelen. Er is
een korte periode waarin deze oplossing kwetsbaar is, namelijk op het moment dat de af
fabriek ingestelde sleutel wordt gewijzigd in een systeemspecifieke sleutel. Op dat moment
kunnen aanvallers de systeemsleutel achterhalen door de Diffie‑Hellman-sleuteluitwisseling af
te luisteren tijdens het instellen van de verbinding met gebruikmaking van de af fabriek
ingestelde sleutel. Dit gedeelte van de installatie dient bij voorkeur op een gesloten netwerk
plaats te vinden. De PSK wordt permanent opgeslagen in het apparaat. Om de PSK later te
kunnen wijzigen, moet de sleutel bekend zijn. Wanneer de sleutel is verloren en/of apparaten
worden overgebracht van één systeem naar een ander, kunnen apparaten worden teruggezet
op de fabrieksinstelling met een handmatige reset-schakelaar. Hiervoor is fysieke toegang tot
het apparaat vereist.
De versleutelingsreeks die door OMNEO wordt gebruikt, is
TLS_DHE_PSK_WITH_AES_128_CBC_SHA. Dit betekent:
–
–
Voor de audiobeveiliging wordt gebruik gemaakt van een bedrijfseigen implementatie van een
op standaarden gebaseerd algoritme voor encryptie en verificatie. De belangrijkste reden
hiervoor is de vereiste lage vertraging. Het algoritme voegt slechts een samplevertraging van
0,1 ms toe voor codering en decodering. Het gebruikt 128 AES-encryptie in cipher-
feedbackmodus (CFB) voor zelfsynchronisatie, zelfs wanneer de audiostream veel later wordt
ontvangen dan deze is gestart, of wanneer samples verloren gaan tijdens de ontvangst. Er zijn
slechts zes audiosamples (125 us @ 48 kHz sampling-frequentie) nodig om opnieuw te
synchroniseren.
Voor de verificatie gebruikt het algoritme cipher-gebaseerde verplichte toegangscontrole
(CMAC). Deze voegt acht bits toe aan elke 24-bits audiosample, resulterend in 32‑bits
samples.
Het algoritme voor audiobeveiliging gebruikt een vooraf gedeelde sleutel die identiek moet zijn
bij de verzender en de ontvanger. Omdat de sleutel vluchtig wordt opgeslagen op het apparaat
en na aan en uit zetten is verdwenen, moet de sleutel opnieuw worden gedistribueerd via een
veilige besturingsverbinding. Telkens wanneer een audioverbinding tot stand wordt gebracht,
wordt een willekeurige sleutel gedefinieerd. Hierdoor heeft elke audioverbinding een andere
sleutel.
Andere beveiligingsmaatregelen in PRAESENSA zijn:
–
–
4.6.5
Netwerksnelheid en bandbreedtegebruik
PRAESENSA gebruikt het OMNEO protocol voor audio en besturing, waarbij alle audiostreams
gebaseerd zijn op een samplingfrequentie van 48 kHz en een 24-bits sample-grootte. Vanwege
de encryptie voor beveiliging worden 32 bits per sample gebruikt. De vertraging bij de
ontvanger is standaard ingesteld op 10 ms, als compromis tussen vertraging en
netwerkefficiëntie. Deze combinatie van parameters resulteert in een bandbreedtegebruik van
2022-10 | V1.50 |
Encryptie 128 AES.
Verificatie en gegevensintegriteit HMAC‑SHA‑1.
Op de systeemcontroller worden wachtwoorden opgeslagen en deze worden uitgewisseld
met de Open Interface / API-clients met gebruikmaking van SHA‑2 (Secure Hash
Algorithm, versie SHA‑256).
Voor configuratie en back-up van berichten kan gebruik worden gemaakt van een
geverifieerde veilige verbinding (HTTPS) op basis van Transport Layer Security (TLS 1.2).
Installatiehandleiding
PRAESENSA
Bosch Security Systems B.V.
Advertenties
Inhoudsopgave
