WDC10 Livre blanc sur la sécurité - InstaShowTM

La page est créée Aurélien Etienne
 
CONTINUER À LIRE
WDC10 Livre blanc sur la sécurité - InstaShowTM
WDC10
InstaShowTM
Livre blanc sur la sécurité
WDC10 Livre blanc sur la sécurité - InstaShowTM
Table des matières
Introduction ........................................................................................................................... 3

Le système InstaShowTM ......................................................................................................... 3
      La configuration d'InstaShowTM ................................................................................................................. 3
      Introduction à l'interface physique du système et au micrologiciel .......................................................... 4

InstaShowTM est un système de sécurité forte ........................................................................ 5
      Système de module de consommation d'énergie ..................................................................................... 5
      Système de modules vidéo et audio .......................................................................................................... 5
      Système de codage et décodage vidéo et audio........................................................................................ 6
      Système de module de transmission sans fil ............................................................................................. 6
      Système de module réseau étendu/réseau local ...................................................................................... 6
      Système de module de gestion de l'interface utilisateur Web .................................................................. 7
      Système de module lumineux.................................................................................................................... 7
      Système de module EMI/ESD..................................................................................................................... 7
      Système de module PCB ............................................................................................................................ 7
      Auto-déclaration ecoFACTS de BenQ ......................................................................................................... 7

Protection du flux de diffusion ............................................................................................... 8
      Architecture du système InstaShowTM ....................................................................................................... 8
      Architecture du réseau InstaShowTM ......................................................................................................... 9

Conclusion ........................................................................................................................... 12

                                                                           2
                                                                                                                                       Mars 2018
WDC10 Livre blanc sur la sécurité - InstaShowTM
Introduction
InstaShowTM est une solution d'affichage commercial de nouvelle génération, dont le code est WDC10. Ce
produit est principalement caractérisé par une haute définition, plug-and-play, aucun logiciel pilote et une
sécurité configurable.
Pour une solution d'affichage commercial de nouvelle génération, une méthode de connexion sans fil est
utilisée pour remplacer une connexion filaire traditionnelle, et un mécanisme de sécurité est ajouté à ce
chemin de diffusion sans fil pour fournir une méthode de transmission sans fil sécurisée. Étant donné que
l'interface d'imagerie InstaShowTM est une interface multimédia haute définition (HDMI), si un périphérique
sur un client prend en charge la sortie HDMI, il n'est pas nécessaire de s'inquiéter de la nécessité d'exécuter
un logiciel supplémentaire. De cette manière, il empêche les attaques de logiciels malveillants ou les menaces,
et peut garantir que les clients et les utilisateurs d'InstaShowTM sont protégés. C'est pourquoi nous sommes
préoccupés par la sécurité, et la protection de la diffusion des données est l'un de nos principaux critères de
conception.
Ce livre blanc se concentre sur la sécurité, y compris les détails de l'architecture et le contrôle technique
pour InstaShowTM.

Le système InstaShowTM
BenQ a sorti fin 2014 le WDP01, le produit de transmission audio et vidéo sans fil de première génération,
suivi de la sortie d'InstaShowTM (WDC10), le système d'affichage de transmission d'image sans fil commercial
de première génération, fin 2015. La sortie d'InstaShowTM offre un nouveau concept de transmission d'image
sans fil sur le marché.

La configuration d'InstaShowTM
Deux capacités principales sont implémentées pour le produit InstaShowTM. Pour la première capacité, tout
le monde est autorisé à partager le contenu en cliquant simplement sur le bouton sur InstaShow Button
pour présenter un contenu sur l'écran d'accueil. Pour la deuxième capacité, le contenu de l'écran d'accueil
est basculé vers un contenu d'un autre partageur rapidement et facilement sans attendre l'installation du
système.
Le produit InstaShowTM comprend :
Host : C'est le cœur de tout le système et également l'équipement de réception, qui peut établir des
connexions sans fil avec 16 Button simultanément, et est principalement responsable de recevoir les
données de diffusion fournies par Button ainsi que d'assurer que la vidéo et l'audio sont affichés sur l'appareil
d'affichage correctement.
Le personnel informatique d'une entreprise peut ajouter Host à un domaine d'entreprise via un port réseau.

                                                       3
                                                                                                   Mars 2018
WDC10 Livre blanc sur la sécurité - InstaShowTM
Lorsque Host devient l'un des équipements du domaine de l'entreprise, l'interface Web fournie par Host
peut permettre au personnel informatique de surveiller l'état d'InstaShowTM à distance.
Même si Host devient l'un des équipements de domaine dans un réseau local, le personnel de surveillance ne
peut toujours pas obtenir le contenu des données en continu par intrusion ou menace.
Button : C'est l'appareil de transmission de tout le système. Le câble USB est principalement responsable de
l'alimentation du système, et le câble HDMI est destiné à la réception de données vidéo et audio au format
HDMI, comme ordinateurs portables, PS4, lecteurs Blu-ray/DVD, etc.
En cliquant sur le bouton sur InstaShow Button, cela compressera les signaux de diffusion HDMI en tant que
codes vidéo et audio, qui sont immédiatement envoyés au périphérique d'affichage connecté au côté Host
via Wi-Fi.

                                                                LAN

Introduction à l'interface physique du système et au micrologiciel
Le système d'exploitation pour InstaShowTM Host et Button est un système d'exploitation Linux embarqué.
Le système d'exploitation Linux agit comme
     . Accès au chargeur de démarrage
     . Accès CLI Linux
Les E/S physiques de Host incluent :
     .DÉL
             Contrôle GPIO
     .Bouton(s)
             Recherche GPIO
     .Ethernet :
             Interface utilisateur Web
             API REST
             Communication avec le client
                                                     4
                                                                                              Mars 2018
WDC10 Livre blanc sur la sécurité - InstaShowTM
.Wi-Fi :
            Interface utilisateur Web
            Communication avec le client
     .Micro USB
            Alimentation
     .HDMI
            Sortie vidéo / audio

Les E/S physiques de Button incluent :
     .DÉL
            Contrôle GPIO
     .Bouton(s)
            Recherche GPIO
     .Wi-Fi :
            Communication avec Host
     .USB :
            Alimentation
     .HDMI
            Entrée vidéo / audio

InstaShowTM est un système de sécurité forte
Pour le produit InstaShowTM, les concepteurs de systèmes et les ingénieurs R&D ont fourni un certain
nombre de solutions pour la menace et la sécurité de la transmission sans fil, des modules qui éliminent les
menaces de sécurité par modularisation du système, ainsi que plusieurs améliorations de modules pour
aboutir à l'architecture InstaShowTM.
Système de module de consommation d'énergie
Le système d'alimentation pour Button et Host d'InstaShowTM utilise une conversion 5 V cc à 3,3 V cc
comme tension d'alimentation principale du système. Selon la loi de conservation d'énergie, le courant
d'alimentation est augmenté en réduisant la tension, de sorte qu'une faible puissance est suffisante pour
prendre en charge le fonctionnement de l'ensemble du système. Le système de module de consommation
d'énergie passe 20.000 heures de vérification de l'alimentation MTBF à long terme et Host est conforme au
règlement (CE) n° 107/2009.
Système de modules vidéo et audio
L'interface source de InstaShowTM vidéo et audio est HDMI. HDMI est une interface de transmission d'image
et de son entièrement numérique, pouvant transmettre des signaux audio et vidéo non compressés. HDMI
peut transmettre des signaux audio et vidéo simultanément et est protégée par la réglementation HDCP. La
                                                      5
                                                                                                Mars 2018
WDC10 Livre blanc sur la sécurité - InstaShowTM
source d'entrée ou de sortie HDMI pour le système InstaShowTM est conforme aux réglementations pour
les certifications HDMI 1.4b et HDCP 1.4b. Les périphériques de Source et Puits prennent en charge HDMI
1.4b / HDCP 1.4b, tous deux compatibles avec InstaShowTM.
Le numéro de certification obtenu pour InstaShowTM est ATCTW-16031 (Host), ATCTW-16032 (Button).
Système de codage et décodage vidéo et audio
L'interface HDMI est pour les signaux audio et vidéo non compressés. La quantité de données pour les
signaux audio et vidéo non compressés 1080p à 60 Hz est énorme. Si la transmission sans fil est utilisée pour
cette grande quantité de données en continu sans compression, une bande passante considérable sera
inévitablement occupée. Afin de résoudre un tel dilemme, InstaShowTM importe des méthodes de codage et
de décodage vidéo et audio pour compresser la bande passante requise pour la vidéo et l'audio à 40 Mb/s.
En outre, les ingénieurs R&D se consacrent à l'équilibre entre qualité audio et vidéo et utilisation de la bande
passante de transmission, et importent des techniques de codage dynamique pour ajuster dynamiquement le
taux de compression en fonction de la qualité de la bande passante sans fil.
Système de module de transmission sans fil
Le protocole de transmission Wi-Fi pour InstaShowTM est 802.11ac avec le mode de chiffrement WPA2 AES
128 bits, et WPA2 est la meilleure technologie de chiffrement pour la connexion Wi-Fi à ce stade.
Cependant, l'existence de vulnérabilités pour WPA2 est signalée récemment : "Un attaquant dans la gamme
sans fil du réseau Wi-Fi peut exploiter ces vulnérabilités grâce à des Attaques de réinstallation de clé
(KRACK). Selon le rapport de recherche sur les KRACK fourni par Mathy Vanhoef, l'attaque est ciblée sur le
mécanisme de prise de contact à 4 voies de WPA2 pour l'équipement client (par exemple, ordinateurs
portables, Smartphones ou tablettes, etc.), au lieu d'utiliser la station de base." Pour plus d'informations sur
les KRACK, cliquez sur ce lien : https://www.krackattacks.com
Host d'InstaShowTM est une station de base et Button est un équipement client. Bien que Button soit affilié à
l'équipement client, le système Button est un système fermé, de sorte que les menaces externes ne peuvent
pas résider et attaquer le système via une interface HDMI ou une interface USB purement destinée à
l'alimentation.
Le système de module de transmission sans fil passe également les certifications des règlements de sécurité
RF de divers pays, tels que CE (EN 301 893), FCC (47 CFR FCC partie 15.407), NCC (NCC LP0002), TELEC
(ARIB STD-T71) et ainsi de suite.
Système de module réseau étendu/réseau local
InstaShowTM est un schéma d'affichage commercial sans fil local fermé, et Host ne peut pas accéder au réseau
étendu. Lorsque le port réseau étendu de Host est connecté à un routeur d'entreprise, le routeur
d'entreprise fournit à Host un accès à Internet. Cependant, tout équipement sans fil, tel qu'un Smartphone
ou un ordinateur portable, qui se connecte au SSID de Host, ne peut accéder aux informations d'Internet via
Host, de sorte que les pirates externes ne peuvent pas s'introduire dans l'équipement sans fil sur un client
par Host.
Le module réseau étendu/réseau local d'InstaShowTM est fourni principalement aux utilisateurs pour
configurer le système. L'interface de configuration est l'interface utilisateur Web.
                                                        6
                                                                                                   Mars 2018
Système de module de gestion de l'interface utilisateur Web
InstaShowTM peut gérer l'interface utilisateur Web. L'interface utilisateur Web peut interroger l'état du
système, les paramètres Wi-Fi, les mises à jour du système, etc. Un appareil d'un utilisateur peut se
connecter au SSID de Host via Wi-Fi ou se connecter à Host via le réseau local. L'utilisateur doit fournir un
compte et un mot de passe pour se connecter à la page d'accueil de l'interface utilisateur Web.
Système de module lumineux
InstaShowTM fournit un système d'indication convivial. Un indicateur lumineux est l'approche rapide la plus
directe pour InstaShowTM. L'anneau lumineux sur un bouton affiche l'état actuel du système intuitivement.
Les concepteurs du système et les ingénieurs R&D utilisent des moyens spéciaux pour adoucir les sources
de lumière ponctuelles, qui ne stimulent pas la vision, de sorte que l'utilisateur se sente à l'aise pour lire
l'état.
Système de module EMI/ESD
InstaShowTM peut empêcher les attaques de piratage réseau. En outre, les ingénieurs respectent les
réglementations de sécurité pour les produits. InstaShowTM est conforme aux réglementations EN55032 et
EN55024.
Système de module PCB
InstaShowTM est également dédié à la prévention des substances dangereuses et de la pollution de
l'environnement, de sorte que le PCB réponde au processus sans plomb, sans halogène et respectueux de
l'environnement pour les circuits imprimés. Il y a un mécanisme de contrôle globalement planifié, allant du
contrôle des matières premières, du processus de préparation des matériaux à l'inspection après vente et à
la vérification des stocks.

Auto-déclaration ecoFACTS de BenQ
Depuis 2011, les étiquettes vertes ecoFACT ont été ajoutées sur tous les produits de BenQ, qui indiquent
clairement les designs écologiques et les matériaux verts utilisés par les produits BenQ.
Pour développer des produits verts respectueux de l'environnement, BenQ dynamise tous ses produits en
promouvant activement la politique verte, au lieu de rendre les produits conformes aux réglementations
vertes passivement !
InstaShowTM adhère à la réglementation ecoFACTS, indiquant que le meilleur effort a été fait pour le
remplacement des substances dangereuses, la sélection des matériaux, la conception de l'emballage, la
conception d'économie d'énergie et d'autres aspects.

                                                        7
                                                                                                    Mars 2018
Protection du flux de diffusion
Grâce à l'analyse des menaces de la modélisation du système, la sécurité du système peut être divisée en
piratage externe et gestion de la protection interne. Indépendamment de la menace, son but n'est rien
d'autre que la destruction et le vol.
InstaShowTM est un système d'affichage de transmission de réseau sans fil. Le système de réseau
d'InstaShowTM ne peut pas accéder au réseau externe et peut éviter l'invasion de pirates externes. L'interface
de transmission vidéo et audio InstaShowTM est basée sur HDMI, et la prise en charge logicielle n'est pas
requise pour le chemin de diffusion vidéo et audio. La plus grande menace à la sécurité dans une entreprise
est le logiciel. InstaShowTM n'a pas d'exigence logicielle qui pourrait inquiéter une entreprise, et peut
répondre au besoin d'une entreprise qui nécessite un partage d'écran sans fil par plusieurs utilisateurs.
Architecture du système InstaShowTM
Pour le flux de fonctionnement d'InstaShowTM, Button reçoit les signaux de diffusion vidéo et audio de
l'appareil Source HDMI, et transmet le signal vidéo et audio à Host sans fil, puis transmet le signal vidéo et
audio à l'équipement Puits via HDMI.
Selon la procédure du processus, l'architecture du système InstaShowTM est catégorisée en :
     (1) Décodage du signal HDMI
     (2) Compression du signal vidéo et audio
     (3) Flux vidéo et audio avec chiffrement sur Wi-Fi
     (4) Décompression du signal vidéo et audio
     (5) Codage du signal HDMI

                                                        8
                                                                                                   Mars 2018
Support/interface de transmission                                   Remarque
Flux

 Source HDMI         Connexion HDMI        Ordinateur portable, PS4 ou lecteur BD/DVD

         ↓              Câble HDMI         HDCP 1.4b ou non (selon le contenu)

                                                               1.   Décodage HDCP ou non

       Button        Connexion HDMI                            2.   Codage vidéo et audio

                                                               3.   Codage à double chiffrement

         ↓                 Wi-Fi           802.11ac WPA2 PSK AES 128                                       InstaShowTM
                                                                      1.   Décodage à double chiffrement

       Host          Connexion HDMI                                   2.   Décodage vidéo et audio

                                                                      3.   Décodage HDCP

         ↓              Câble HDMI         HDCP 1.4b ou non (selon le contenu)

  Puits HDMI         Connexion HDMI        Affichage

Architecture du réseau InstaShowTM
Pour InstaShowTM, dans le flux d'opérations, l'architecture du système doit respecter la confidentialité,
l'intégrité et la disponibilité pour garantir la sécurité du système. La transmission peut être divisée en
transmissions filaire et sans fil. La connexion filaire est avantageuse d'une immunité élevée aux interférences.
Un espace environnemental avec communication sans fil peut être souvent interféré avec des ondes
électromagnétiques intentionnelles ou non intentionnelles. InstaShowTM, qui est un système de transmission
sans fil permettant au système de fonctionner normalement en réduisant les interférences
électromagnétiques, est très applicable à la conférence ou à l'environnement domestique. L'architecture du
système de transmission InstaShowTM peut être divisée en couche physique, couche réseau et couche
applicative, dont l'architecture et le fonctionnement seront expliqués plus tard.

                                                           9
                                                                                                           Mars 2018
1. Couche physique
Les interfaces physiques prises en charge par InstaShowTM incluent USB/micro USB, HDMI et Ethernet. Le
problème de sécurité avec l'impact le plus direct dans un système est l'interface physique. Un intrus peut
utiliser l'interface pour effectuer une interprétation du micrologiciel par ingénierie inverse, ainsi que pour
charger un logiciel malveillant sur l'équipement. L'interface physique de l'équipement du système de
protection a la même importance que les autres couches de protection du système.
USB : Il fournit une alimentation de 5 V/0,9 A pour Button simplement sans fournir de mécanismes d'échange
de données unidirectionnels et bidirectionnels.
Micro USB : Il fournit une alimentation de 5 V/1,5 A pour Host sans fournir de mécanismes d'échange de
données unidirectionnels et bidirectionnels.
HDMI : Entrée et sortie pour la transmission vidéo et audio, prenant en charge la protection HDCP.
Ethernet : Les paramètres de connexion de l'interface utilisateur Web sont fournis et la mise à jour du
micrologiciel ne prend pas en charge la fonction Internet.
Le mécanisme de vérification pour les transmissions de Host et Button n'est pas effectué via la fonction
d'interface ci-dessus. Les pirates ne peuvent pas voler toutes les données et tous les paramètres partagés
par Host et le Button via l'interface physique.
Pour la procédure de mise à niveau du micrologiciel, l'intégrité du format et la signature du micrologiciel
seront vérifiées, sinon la procédure de mise à niveau n'est pas prise en charge.
Une autre interface cachée du système est Wi-Fi, qui a un contrôle de sécurité intégral. Dans ce système, le
Wi-Fi de Host fournit à Button une vérification entrante et une transmission vidéo et audio. Des contrôles
supplémentaires pour l'authentification, la confidentialité et l'intégrité sont requis pour que d'autres appareils
puissent accéder à la couche d'application de Host.

2. Couche réseau
Le système de réseau d'InstaShowTM peut être divisé en réseau étendu et réseau local.
La méthode pour le réseau étendu est de connecter le serveur réseau via l'interface Ethernet. InstaShowTM
ne peut pas accéder à Internet via ce serveur réseau, mais permet uniquement à l'administrateur réseau du
système de contrôler entièrement le système dans la couche application via le serveur Web d'entreprise et
le mécanisme d'authentification. Le système de réseau et les autres contrôles d'accès pour InstaShowTM sont
des réseaux locaux virtuels indépendants, séparés du réseau de données d'entreprise.
Le réseau local établit une connexion locale avec Button ou d'autres appareils Wi-Fi en utilisant le Wi-Fi. Le
mécanisme de protection du Wi-Fi repose sur la norme de sécurité IEEE 802.11i qui fournit à WPA2-PSK
une authentification par clé pré-partagée (PSK). Le chiffrement WPA2-PSK garantit la confidentialité et
l'intégrité de toutes les données sur un canal sans fil. Le mode de chiffrement utilise AES avec une clé de 128
bits avec une longueur de caractère supérieure à 8 et inférieure à 63. L'intégrité est obtenue en utilisant le
protocole CBC-MAC en mode compteur (CCMP) et une méthode de vérification appelée MIC (Vérification
de l'intégrité des messages). Le mot de passe WPA2-PSK et le SSID sont utilisés, les deux peuvent être
configurés par l'administrateur sur l'interface réseau de Host.
                                                       10
                                                                                                    Mars 2018
3. Couche d'application
Le système d'exploitation central de Host et Button d'InstaShowTM est le système d'exploitation Linux. Cette
couche d'application fournit la configuration du système, la gestion de l'association sans fil, la gestion des
performances de la communication et du réseau de transmission à l'écran sans fil, la conversion du format
vidéo et audio et le décodage/codage vidéo et audio.
Gestion de l'association sans fil : Avant le fonctionnement complet du système, Host et Button doivent
établir une connexion Wi-Fi. La connexion réseau est établie au niveau de la couche TLS (sécurité de la
couche de transport) au niveau du réseau. Lorsque l'authentification est créée côté Host, Button doit être
identifié pour savoir si le code de vérification de sécurité de InstaShowTM correspond. Une fois la connexion
établie entre les deux côtés, Host a encore besoin d'une étape de vérification de Button supplémentaire
(adresse MAC).
Gestion des performances de la communication et du réseau de transmission à l'écran sans fil :
Le contenu de la transmission de l'écran sans fil passe par UDP (protocole de datagramme utilisateur) parce
que UDP n'a pas besoin d'établir une connexion comme une prise de contact en trois étapes, de sorte que la
communication est très efficace. Dans le diagramme d'architecture de trame UDP, un client ne requiert que
deux étapes (socket et sendto) pour lancer une requête, alors que le serveur ne requiert que trois étapes
pour recevoir des messages (socket, bind, recvfrom) du client.

Conversion de formats vidéo et audio et décodage/codage de formats vidéo et audio : La
conversion des données de flux vidéo et audio est un élément important dans InstaShowTM. La quantité de
données HDMI avec une compression sans perte 1080p est d'environ 6 Go. InstaShowTM ne peut pas
atteindre la quantité de transmission de 6 Go en utilisant 802.11ac. En ce qui concerne les quatre étapes
pour le format vidéo et audio - conversion, compression, décompression et récupération du format vidéo et
audio, le système peut fonctionner de manière fluide avec une excellente qualité d'image grâce à un
processeur de base haute performance, un ajustement dynamique du taux de compression vidéo et audio, en
liaison avec le réseau de transmission d'écran sans fil et la gestion des performances de communication.
                                                       11
                                                                                                    Mars 2018
Configuration système : La configuration du système pour InstaShowTM utilise une interface Web pour
assurer la connexion d'authentification avec Host via le service HTTP uniquement. HTTP effectue la
transmission avec le navigateur de l'appareil via le texte brut directement et effectue une conversation
interactive dans un mode général (non sécurisé). Par conséquent, le contenu sur Internet peut être
intercepté par des personnes malintentionnées. C'est une vulnérabilité qui doit être améliorée dans ce
système. La connexion de l'interface Web est liée à une session à cookie qui reste active jusqu'à la
déconnexion ou l'expiration.
Niveau de sécurité : Trois niveaux de sécurité sont utilisés pour InstaShowTM. Les niveaux de sécurité sont
divisés en fonction du nombre de protections fonctionnelles fournies. Cela est décrit comme suit
Niveau 1,
     . L'authentification d'identité et le mot de passe requis pour la connexion de Button au Wi-Fi de Host
     . Le compte et le mot de passe requis pour la connexion à l'interface utilisateur Web (HTTP)
Niveau 2,
     . La connexion peut être établie uniquement si l'adresse Mac de Button est dans la liste de Host.
     . Verrouillage de l'écran lors de la configuration de l'interface utilisateur Web
Niveau 3,
     . Pas d'accès à l'interface utilisateur Web via le Wi-Fi

Conclusion
La conception d'InstaShowTM est basée sur toutes les solutions matérielles, plug-and-play, aucun logiciel
exécuté et rien à apprendre. Nous pensons qu'InstaShowTM peut fournir un certain degré de protection des
données, de maintenance environnementale et des produits conviviaux, et ne promet aucune
implémentation de portes dérobées ou de transmission cachée. BenQ continuera à investir dans notre
plateforme, vous permettant de bénéficier de nos produits de manière sécurisée et transparente.

                                                        12
                                                                                                 Mars 2018
Vous pouvez aussi lire