Hallo, Habr! In die kommentaar by een van ons lesers het 'n interessante vraag gevra: "Hoekom het jy 'n flitsskyf met hardeware-enkripsie nodig wanneer TrueCrypt beskikbaar is?" - en het selfs kommer uitgespreek oor "Hoe kan jy seker maak dat daar geen boekmerke in die sagteware en hardeware van 'n Kingston-aandrywer is nie ?” Ons het hierdie vrae bondig beantwoord, maar toe besluit dat die onderwerp 'n fundamentele ontleding verdien. Dit is wat ons in hierdie pos sal doen.
AES hardeware-enkripsie, soos sagteware-enkripsie, bestaan al lank, maar presies hoe beskerm dit sensitiewe data op flash drives? Wie sertifiseer sulke aandrywers, en kan hierdie sertifisering vertrou word? Wie het sulke "komplekse" flash drives nodig as jy gratis programme soos TrueCrypt of BitLocker kan gebruik. Soos u kan sien, wek die onderwerp wat in die kommentaar gevra word, baie vrae. Kom ons probeer om dit alles uit te vind.
Hoe verskil hardeware-enkripsie van sagteware-enkripsie?
In die geval van flitsaandrywers (sowel as HDD's en SSD's), word 'n spesiale skyfie op die toestel se stroombaanbord gebruik om hardeware-data-enkripsie te implementeer. Dit het 'n ingeboude ewekansige getalgenerator wat enkripsiesleutels genereer. Data word outomaties geïnkripteer en onmiddellik gedekripteer wanneer jy jou gebruikerswagwoord invoer. In hierdie scenario is dit byna onmoontlik om toegang tot die data te kry sonder 'n wagwoord.
Wanneer sagteware-enkripsie gebruik word, word die "sluit" van die data op die skyf verskaf deur eksterne sagteware, wat dien as 'n laekoste-alternatief vir hardeware-enkripsiemetodes. Nadele van sulke sagteware kan die banale vereiste vir gereelde opdaterings insluit om weerstand te bied teen steeds verbeterde inbraaktegnieke. Daarbenewens word die krag van 'n rekenaarproses (eerder as 'n aparte hardewareskyfie) gebruik om data te dekripteer, en in werklikheid bepaal die vlak van beskerming van die rekenaar die vlak van beskerming van die aandrywer.
Die hoofkenmerk van aandrywers met hardeware-enkripsie is 'n aparte kriptografiese verwerker, waarvan die teenwoordigheid ons vertel dat enkripsiesleutels nooit die USB-stasie verlaat nie, anders as sagtewaresleutels wat tydelik in die rekenaar se RAM of hardeskyf gestoor kan word. En omdat sagteware-enkripsie rekenaargeheue gebruik om die aantal aanmeldpogings te stoor, kan dit nie brute kragaanvalle op 'n wagwoord of sleutel keer nie. Die aanmeldpoging-teller kan voortdurend deur 'n aanvaller teruggestel word totdat die outomatiese wagwoordkraakprogram die gewenste kombinasie vind.
Terloops ..., in die kommentaar op die artikel ""Gebruikers het ook opgemerk dat die TrueCrypt-program byvoorbeeld 'n draagbare bedryfsmodus het. Dit is egter nie 'n groot voordeel nie. Die feit is dat in hierdie geval die enkripsieprogram in die geheue van die flash drive gestoor word, en dit maak dit meer kwesbaar vir aanvalle.
Bottom line: die sagtewarebenadering bied nie so 'n hoë vlak van sekuriteit soos AES-kodering nie. Dit is meer 'n basiese verdediging. Aan die ander kant is sagteware-enkripsie van belangrike data steeds beter as geen enkripsie nie. En hierdie feit stel ons in staat om duidelik tussen hierdie tipe kriptografie te onderskei: hardeware-enkripsie van flitsaandrywers is eerder 'n noodsaaklikheid vir die korporatiewe sektor (byvoorbeeld wanneer maatskappywerknemers dryf gebruik wat by die werk uitgereik is); en sagteware is meer geskik vir gebruikersbehoeftes.
Kingston verdeel egter sy dryfmodelle (byvoorbeeld IronKey S1000) in Basic en Enterprise weergawes. Wat funksionaliteit en beskermingseienskappe betref, is hulle amper identies aan mekaar, maar die korporatiewe weergawe bied die vermoë om die aandrywer met behulp van SafeConsole/IronKey EMS-sagteware te bestuur. Met hierdie sagteware werk die skyf met óf wolk- óf plaaslike bedieners om wagwoordbeskerming en toegangsbeleide op afstand af te dwing. Gebruikers kry die geleentheid om verlore wagwoorde te herstel, en administrateurs kan aandrywers wat nie meer gebruik word nie na nuwe take oorskakel.
Hoe werk Kingston-flitsaandrywers met AES-kodering?
Kingston gebruik 256-bis AES-XTS hardeware enkripsie (met 'n opsionele vollengte sleutel) vir al sy veilige dryf. Soos ons hierbo opgemerk het, bevat flitsaandrywers in hul komponentbasis 'n aparte skyfie vir die enkripteer en dekripteer van data, wat dien as 'n voortdurend aktiewe ewekansige getalgenerator.
Wanneer jy 'n toestel vir die eerste keer aan 'n USB-poort koppel, vra die Inisialisering Opstelling Wizard jou om 'n hoofwagwoord te stel om toegang tot die toestel te verkry. Nadat die aandrywer geaktiveer is, sal enkripsiealgoritmes outomaties begin werk in ooreenstemming met gebruikersvoorkeure.
Terselfdertyd, vir die gebruiker, sal die beginsel van werking van die flash drive onveranderd bly - hy sal steeds lêers in die toestel se geheue kan aflaai en plaas, soos wanneer hy met 'n gewone USB-stick werk. Die enigste verskil is dat wanneer jy die flash drive aan 'n nuwe rekenaar koppel, jy die vasgestelde wagwoord moet invoer om toegang tot jou inligting te kry.
Waarom en wie benodig flitsaandrywers met hardeware-enkripsie?
Vir organisasies waar sensitiewe data deel van die besigheid is (hetsy finansieel, gesondheidsorg of regering), is enkripsie die mees betroubare manier van beskerming. AES hardeware enkripsie is 'n skaalbare oplossing wat deur enige maatskappy gebruik kan word: van individue en klein besighede tot groot korporasies, sowel as militêre en regeringsorganisasies. Om 'n bietjie meer spesifiek na hierdie kwessie te kyk, is die gebruik van geënkripteerde USB-aandrywers nodig:
- Om die veiligheid van vertroulike maatskappydata te verseker
- Om kliëntinligting te beskerm
- Om maatskappye te beskerm teen verlies aan wins en kliëntelojaliteit
Dit is opmerklik dat sommige vervaardigers van veilige flash drives (insluitend Kingston) korporasies voorsien van pasgemaakte oplossings wat ontwerp is om aan die behoeftes en doelwitte van kliënte te voldoen. Maar die massavervaardigde lyne (insluitend DataTraveler-flitsaandrywers) hanteer hul take perfek en is in staat om sekuriteit van korporatiewe klas te verskaf.
1. Versekering van die sekuriteit van vertroulike maatskappydata
In 2017 het 'n Londense inwoner 'n USB-stasie in een van die parke ontdek wat nie-wagwoordbeskermde inligting bevat wat verband hou met die veiligheid van die Heathrow-lughawe, insluitend die ligging van toesigkameras en gedetailleerde inligting oor veiligheidsmaatreëls in die geval van die aankoms van hooggeplaaste amptenare. Die flash drive het ook data oor elektroniese passe en toegangskodes tot beperkte gebiede van die lughawe bevat.
Ontleders sê die rede vir sulke situasies is die kuber-ongeletterdheid van maatskappywerknemers, wat deur hul eie nalatigheid geheime data kan “uitlek”. Flitsaandrywers met hardeware-enkripsie los hierdie probleem gedeeltelik op, want as so 'n skyf verlore gaan, sal jy nie toegang tot die data daarop kan kry sonder die hoofwagwoord van dieselfde sekuriteitsbeampte nie. Dit ontken in elk geval nie die feit dat werknemers opgelei moet word om flash drives te hanteer nie, selfs al praat ons van toestelle wat deur enkripsie beskerm word.
2. Beskerming van kliënte inligting
'n Selfs belangriker taak vir enige organisasie is om te sorg vir kliëntedata, wat nie aan die risiko van kompromie onderhewig behoort te wees nie. Terloops, dit is hierdie inligting wat die meeste tussen verskillende sakesektore oorgedra word en as 'n reël vertroulik is: dit kan byvoorbeeld data oor finansiële transaksies, mediese geskiedenis, ens.
3. Beskerming teen verlies aan wins en kliëntelojaliteit
Die gebruik van USB-toestelle met hardeware-enkripsie kan help om verwoestende gevolge vir organisasies te voorkom. Maatskappye wat wette op die beskerming van persoonlike data oortree, kan met groot bedrae beboet word. Daarom moet die vraag gevra word: is dit die moeite werd om die risiko te neem om inligting te deel sonder behoorlike beskerming?
Selfs sonder om die finansiële impak in ag te neem, kan die hoeveelheid tyd en hulpbronne wat spandeer word om sekuriteitsfoute wat voorkom, net so beduidend wees. Daarbenewens, as 'n data-oortreding klantdata in die gedrang bring, loop die maatskappy handelsmerklojaliteit in gevaar, veral in markte waar daar mededingers is wat 'n soortgelyke produk of diens aanbied.
Wie waarborg die afwesigheid van "boekmerke" van die vervaardiger wanneer flash drives met hardeware-enkripsie gebruik word?
In die onderwerp wat ons geopper het, is hierdie vraag miskien een van die belangrikstes. Onder die kommentaar op die artikel oor Kingston DataTraveler-aandrywers, het ons op nog 'n interessante vraag afgekom: "Het jou toestelle oudits van onafhanklike derdepartyspesialiste?" Wel ... dit is 'n logiese belangstelling: gebruikers wil seker maak dat ons USB-aandrywers nie algemene foute bevat nie, soos swak enkripsie of die vermoë om wagwoordinvoer te omseil. En in hierdie deel van die artikel sal ons praat oor watter sertifiseringsprosedures Kingston-aandrywers ondergaan voordat hulle die status van werklik veilige flash drives ontvang.
Wie waarborg betroubaarheid? Dit wil voorkom asof ons goed kan sê: "Kingston het dit gemaak - dit waarborg dit." Maar in hierdie geval sal so 'n stelling verkeerd wees, aangesien die vervaardiger 'n belanghebbende party is. Daarom word alle produkte deur 'n derde party met onafhanklike kundigheid getoets. Kingston-hardeware-geënkripteerde aandrywers (met die uitsondering van DTLPG3) is veral deelnemers aan die Cryptographic Module Validation Program (CMVP) en is gesertifiseer volgens die Federal Information Processing Standard (FIPS). Die aandrywers is ook gesertifiseer volgens GLBA, HIPPA, HITECH, PCI en GTSA standaarde.
1. Kriptografiese module validering program
Die CMVP-program is 'n gesamentlike projek van die Nasionale Instituut vir Standaarde en Tegnologie van die Amerikaanse Departement van Handel en die Kanadese Cyber Security Centre. Die doel van die projek is om die vraag na bewese kriptografiese toestelle te stimuleer en sekuriteitsstatistieke te verskaf aan federale agentskappe en gereguleerde nywerhede (soos finansiële en gesondheidsorginstellings) wat in toerustingverkryging gebruik word.
Toestelle word getoets teen 'n stel kriptografiese en sekuriteitsvereistes deur onafhanklike kriptografie- en sekuriteitstoetslaboratoriums wat deur die Nasionale Vrywillige Laboratorium-akkreditasieprogram (NVLAP) geakkrediteer is. Terselfdertyd word elke laboratoriumverslag nagegaan vir voldoening aan Federal Information Processing Standard (FIPS) 140-2 en deur CMVP bevestig.
Modules wat geverifieer is as FIPS 140-2 voldoen, word aanbeveel vir gebruik deur Amerikaanse en Kanadese federale agentskappe tot 22 September 2026. Hierna sal hulle in die argieflys ingesluit word, alhoewel hulle steeds gebruik sal kan word. Op 22 September 2020 het die aanvaarding van aansoeke vir bekragtiging volgens die FIPS 140-3-standaard geëindig. Sodra die toestelle die tjeks slaag, sal hulle vir vyf jaar na die aktiewe lys van getoetste en vertroude toestelle geskuif word. As 'n kriptografiese toestel nie verifikasie slaag nie, word die gebruik daarvan in regeringsagentskappe in die Verenigde State en Kanada nie aanbeveel nie.
2. Watter sekuriteitsvereistes stel FIPS-sertifisering?
Dit is moeilik om data te kap, selfs vanaf 'n ongesertifiseerde geënkripteerde skyf, en min mense kan dit doen, so wanneer jy 'n verbruikersaandrywing vir tuisgebruik met sertifisering kies, hoef jy nie die moeite te doen nie. In die korporatiewe sektor is die situasie anders: wanneer hulle veilige USB-aandrywers kies, heg maatskappye dikwels waarde aan FIPS-sertifiseringsvlakke. Nie almal het egter 'n duidelike idee van wat hierdie vlakke beteken nie.
Die huidige FIPS 140-2-standaard definieer vier verskillende sekuriteitsvlakke waaraan flash drives kan voldoen. Die eerste vlak bied 'n matige stel sekuriteitskenmerke. Die vierde vlak impliseer streng vereistes vir die selfbeskerming van toestelle. Vlakke twee en drie verskaf 'n gradering van hierdie vereistes en vorm 'n soort goue middeweg.
- Vlak XNUMX-sekuriteit: Vlak XNUMX-gesertifiseerde USB-aandrywers vereis ten minste een enkripsiealgoritme of ander sekuriteitskenmerk.
- Die tweede vlak van sekuriteit: hier word die aandrywer nie net vereis om kriptografiese beskerming te bied nie, maar ook om ongemagtigde indringers op die firmwarevlak op te spoor as iemand probeer om die skyf oop te maak.
- Die derde vlak van sekuriteit: behels die voorkoming van inbraak deur enkripsie-“sleutels” te vernietig. Dit wil sê, 'n reaksie op penetrasiepogings word vereis. Die derde vlak waarborg ook 'n hoër vlak van beskerming teen elektromagnetiese interferensie: dit wil sê, die lees van data vanaf 'n flash drive met behulp van draadlose inbraaktoestelle sal nie werk nie.
- Die vierde sekuriteitsvlak: die hoogste vlak, wat volledige beskerming van die kriptografiese module behels, wat die maksimum waarskynlikheid van opsporing en teenaksie bied vir enige ongemagtigde toegangspogings deur 'n ongemagtigde gebruiker. Flitsaandrywers wat 'n vierdevlaksertifikaat ontvang het, sluit ook beskermingsopsies in wat nie inbraak toelaat deur die spanning en omgewingstemperatuur te verander nie.
Die volgende Kingston-aandrywers is gesertifiseer vir FIPS 140-2 Vlak 2000: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. Die sleutelkenmerk van hierdie aandrywers is hul vermoë om op 'n inbraakpoging te reageer: as die wagwoord XNUMX keer verkeerd ingevoer word, sal die data op die skyf vernietig word.
Wat anders kan Kingston-flitsaandrywers doen behalwe enkripsie?
As dit kom by volledige datasekuriteit, saam met hardeware-enkripsie van flash drives, ingeboude antivirusse, beskerming teen eksterne invloede, sinchronisasie met persoonlike wolke en ander kenmerke wat ons hieronder sal bespreek, kom tot die redding. Daar is geen groot verskil in flash drives met sagteware-enkripsie nie. Die duiwel is in die besonderhede. En hier is wat.
1. Kingston DataTraveler 2000
Kom ons neem byvoorbeeld 'n USB-stasie. . Dit is een van die flash drives met hardeware-enkripsie, maar terselfdertyd die enigste met sy eie fisiese sleutelbord op die kas. Hierdie 11-knoppie sleutelbord maak die DT2000 heeltemal onafhanklik van gasheerstelsels (om die DataTraveler 2000 te gebruik, moet jy die Sleutel-knoppie druk, dan jou wagwoord invoer en weer die Sleutel-knoppie druk). Boonop het hierdie flitsskyf 'n IP57-graad van beskerming teen water en stof (verbasend genoeg vermeld Kingston dit nêrens op die verpakking of in die spesifikasies op die amptelike webwerf nie).
Daar is 'n 2000mAh litiumpolimeerbattery binne die DataTraveler 40, en Kingston raai kopers aan om die aandrywer vir ten minste 'n uur by 'n USB-poort aan te sluit voordat dit gebruik word om die battery te laat laai. Terloops, in een van die vorige materiaal : Daar is geen rede om bekommerd te wees nie - die flash drive is nie in die laaier geaktiveer nie, want daar is geen versoeke aan die beheerder deur die stelsel nie. Daarom sal niemand jou data deur draadlose indringings steel nie.
2. Kingston DataTraveler Locker+ G3
As ons praat oor die Kingston-model – dit trek aandag met die vermoë om datarugsteun vanaf 'n flitsskyf na Google-wolkberging, OneDrive, Amazon Cloud of Dropbox op te stel. Datasinchronisasie met hierdie dienste word ook verskaf.
Een van die vrae wat ons lesers ons vra, is: "Maar hoe om geënkripteerde data van 'n rugsteun af te neem?" Baie eenvoudig. Die feit is dat wanneer dit met die wolk gesinchroniseer word, die inligting gedekripteer word, en die beskerming van rugsteun op die wolk hang af van die vermoëns van die wolk self. Daarom word sulke prosedures slegs volgens die diskresie van die gebruiker uitgevoer. Sonder sy toestemming sal geen data na die wolk opgelaai word nie.
3. Kingston DataTraveler Vault Privaatheid 3.0
Maar die Kingston-toestelle Hulle kom ook met ingeboude Drive Security-antivirus van ESET. Laasgenoemde beskerm data teen indringing van 'n USB-stasie deur virusse, spyware, Trojans, wurms, rootkits, en verbinding met ander mense se rekenaars, 'n mens kan sê, dit is nie bang nie. Die antivirus sal die eienaar van die skyf onmiddellik waarsku oor moontlike bedreigings, indien enige bespeur word. In hierdie geval hoef die gebruiker nie self anti-virus sagteware te installeer en vir hierdie opsie te betaal nie. ESET Drive Security is vooraf geïnstalleer op 'n flash drive met 'n vyf jaar lisensie.
Kingston DT Vault Privacy 3.0 is hoofsaaklik ontwerp en gerig op IT-professionele persone. Dit laat administrateurs toe om dit as 'n selfstandige aandrywer te gebruik of dit by te voeg as deel van 'n gesentraliseerde bestuursoplossing, en kan ook gebruik word om wagwoorde op te stel of op afstand terug te stel en toestelbeleide op te stel. Kingston het selfs USB 3.0 bygevoeg, wat jou toelaat om veilige data baie vinniger as USB 2.0 oor te dra.
In die algemeen is DT Vault Privacy 3.0 'n uitstekende opsie vir die korporatiewe sektor en organisasies wat maksimum beskerming van hul data benodig. Dit kan ook aanbeveel word vir alle gebruikers wat rekenaars gebruik wat op publieke netwerke geleë is.
Vir meer inligting oor Kingston-produkte, kontak .
Bron: will.com