Criptografando dados de usuário em um aparelho bloqueado

Visão geral técnica de segurança

Visão geral
Novidades desta versão
Chaves em um aparelho
Criptografando dados que o BlackBerry Enterprise Server e o aparelho enviam um ao outro
Gerenciando a segurança do BlackBerry Enterprise Solution
Espaço de armazenamento do aparelho
Protegendo aparelhos no ambiente da sua organização para uso pessoal e de trabalho
Protegendo dados em um aparelho
- Criptografando dados de usuário em um aparelho bloqueado
- Protegendo a chave de transporte de aparelho em um aparelho bloqueado
  - O que acontece quando um usuário redefine um aparelho depois que você ativa a proteção de conteúdo para a chave de transporte de aparelho
- Redefinindo a senha do aparelho quando a proteção de conteúdo está ativada
  - Fluxo do processo: redefinindo a senha do aparelho quando a proteção de conteúdo está ativada
    - Parâmetros do sistema de criptografia utilizados pelo protocolo de criptografia de redefinição remota de senha
- Protegendo senhas armazenadas pelo aparelho
- Protegendo os dados que o aparelho armazena em um cartão de memória
  - Fluxo do processo: gerando uma chave de criptografia para um cartão de memória
- Como o BlackBerry Attachment Service protege os dados em um aparelho
  - Prática recomendada: protegendo o BlackBerry Attachment Service
- Como o aparelho protege o sistema operacional e o BlackBerry Device Software
- Como o aparelho autentica o código de ROM de inicialização e vincula o processador do aparelho quando ele é ativado
Protegendo os dados que o BlackBerry Enterprise Server armazena no ambiente da sua organização
Protegendo a comunicação com um aparelho
Protegendo as comunicações no ambiente da sua organização
Ativando um aparelho
Gerenciando certificados em um aparelho
Protegendo atualizações do BlackBerry Device Software
Estendendo a segurança de mensagens para um aparelho
Configurando a autenticação de dois fatores e protegendo conexões Bluetooth
Aparelhos habilitados para Wi-Fi
Métodos de segurança para camada 2 compatíveis com um aparelho habilitado para Wi-Fi
Atualizando aplicativos em um aparelho
RIM Cryptographic API
Recursos relacionados
Glossário
Enviar comentários
Aviso legal

Search This Document

Fazer download do PDF

Se você ou um usuário do aparelho BlackBerry ativar a proteção de conteúdo, você ou o usuário poderá configurar um aparelho bloqueado para criptografar dados de usuário armazenados e dados recebidos pelo aparelho bloqueado. Quando você ou um usuário ativar a proteção de conteúdo, um aparelho usará criptografia AES-256 para criptografar dados armazenados e uma chave pública ECC para criptografar dados recebidos pelo aparelho bloqueado.

Por exemplo, o aparelho bloqueado usa proteção de conteúdo para criptografar os seguintes itens:

assunto, local, organizador de reuniões, participantes e quaisquer anotações em todas as solicitações de compromissos ou reuniões
todas as informações de contato na lista de contatos, exceto o título e a categoria do contato
assunto, endereços de e-mail de destinatários, corpo da mensagem e anexos em todas as mensagens de e-mail
título e informações que são incluídos no corpo de uma anotação para todas as notas (também conhecidos como mensagens publicadas)
assunto e todas as informações incluídas no corpo de tarefas (também conhecidos como compromissos de dia inteiro publicados)
se você usa tokens de software, o conteúdo da semente do arquivo .sdtid que é armazenado na memória flash
todos os dados associados a aplicativos de terceiros que um usuário instala no aparelho
no BlackBerry Browser, conteúdo que os sites da Web ou aplicativos de terceiros enviam ao aparelho, quaisquer sites da Web que o usuário salva no aparelho e o cache do navegador
todo o texto que substitui automaticamente o texto que o usuário digita no aparelho

Você pode alterar a regra de política de TI Proteção de conteúdo de listas de contatos para impedir que o usuário desative a proteção de conteúdo da lista de contatos no aparelho. Se você alterar a regra de política de TI Proteção de conteúdo de listas de contatos para Obrigatório, o aparelho não permitirá exibição de chamada e não compartilhará contatos em uma conexão Bluetooth® quando o aparelho estiver bloqueado.

Configurando a criptografia dos dados do aparelho em um aparelho bloqueado

Você pode ativar a proteção de conteúdo dos dados do aparelho BlackBerry em um aparelho bloqueado usando a regra de política de TI Intensidade da proteção de conteúdo. Você pode escolher um nível de intensidade que corresponda à intensidade da chave ECC exigida pela sua organização.

O usuário pode ativar a proteção de conteúdo nas opções de segurança, nas opções de criptografia do aparelho. O usuário pode alterar a intensidade da proteção de conteúdo para o mesmo nível que você especifica usando a regra de política de TI ou para um nível superior.

Para obter proteção de conteúdo opcional ou impedir que um administrador ou um usuário de ative a proteção de conteúdo para um aparelho que execute BlackBerry Device Software (ou posterior), você pode usar a regra de política de TI Uso de proteção de conteúdo.

Depois que você ou um usuário configura a proteção de conteúdo, o aparelho usa a chave privada ECC para descriptografar uma mensagem de e-mail que ele recebeu enquanto estava bloqueado. Quanto mais longa for a chave privada ECC, mais tempo levará para o aparelho descriptografar a mensagem. Você deve escolher um nível de intensidade que otimize a intensidade da criptografia ou que otimize o processo de descriptografia.

O aparelho usa a senha do aparelho para gerar uma chave transitória a ser usada para criptografar a chave de proteção de conteúdo e a chave privada ECC. Se você alterar a intensidade da proteção de conteúdo para Mais seguro, de forma que o aparelho use uma chave privada ECC de 283 bits, você poderá considerar alterar a regra de política de TI Tamanho mínimo da senha para aplicar um comprimento mínimo de 12 caracteres para a senha do aparelho. Se você alterar a intensidade da proteção de conteúdo para Segurança máxima, de forma que o aparelho use uma chave privada ECC de 571 bits, você poderá considerar alterar a regra de política de TI Tamanho mínimo da senha para aplicar um comprimento mínimo de 21 caracteres para a senha do aparelho. Esses tamanhos de senha maximizam a intensidade da criptografia que as chaves privadas ECC mais longas devem para fornecer. Um comprimento de senha menor gera uma chave transitória mais fraca.

Fluxo do processo: criptografando dados de usuário em um aparelho bloqueado

Quando um aparelho BlackBerry é bloqueado pela primeira vez depois que você ou um usuário ativa a proteção de conteúdo, o aparelho executa as seguintes ações:

usa a chave de proteção de conteúdo para criptografar automaticamente o volume de dados de usuário e de aplicativos armazenados
libera a memória do aparelho associada à chave de proteção de conteúdo descriptografada e à chave privada ECC descriptografada que é armazenada na RAM
usa a chave pública ECC para criptografar os dados que recebe

Fluxo do processo: descriptografando dados do usuário em um aparelho desbloqueado

Um usuário digita a senha correta do aparelho BlackBerry para desbloqueá-lo.
O aparelho BlackBerry executa as seguintes ações:
1. usa a senha para derivar a chave transitória
2. use a chave transitória para descriptografar a chave de proteção de conteúdo criptografada e a chave privada ECC que são armazenadas na memória flash
3. armazena a chave de proteção de conteúdo descriptografada e a chave privada ECC na RAM
4. usa a chave de proteção de conteúdo descriptografada para descriptografar os dados do usuário quando o usuário tenta acessar os dados do usuário (por exemplo, uma mensagem de e-mail) que o aparelho recebeu e criptografou enquanto estava bloqueado
5. usa a chave privada ECC descriptografada para descriptografar os dados do usuário e acessar os itens criptografados por ECC (por exemplo, o corpo da mensagem, assunto ou destinatário) quando o usuário tenta acessar os dados do usuário que o aparelho criptografou enquanto estava bloqueado

Quando o aparelho abre itens criptografados por ECC-128 (normalmente menos que 40 mensagens), o aparelho usa a chave privada ECC para descriptografar os itens criptografados por ECC. O aparelho criptografa novamente os itens com a chave de proteção de conteúdo na próxima vez que é bloqueado. Se o aparelho não concluir o processo de nova criptografia antes de ser desbloqueado pelo usuário, ele reiniciará uma nova criptografia quando for novamente bloqueado.

Próximo tópico: Protegendo a chave de transporte de aparelho em um aparelho bloqueado

Tópico anterior: Protegendo dados em um aparelho

Estas informações foram úteis? Gostaríamos de receber seus comentários.

Global Navigation

Visão geral técnica de segurança

Local Navigation