Salam, Habr! Bizim birinə şərhlərdə oxucular maraqlı bir sual verdilər: "TrueCrypt mövcud olduqda niyə hardware şifrələməsi olan bir flash sürücüyə ehtiyacınız var?" - və hətta bəzi narahatlıqlarını ifadə etdilər: "Kinqston sürücüsünün proqram və aparatında əlfəcinlərin olmadığına necə əmin olmaq olar. ?” Biz bu suallara qısa cavab verdik, lakin sonra mövzunun fundamental təhlilə layiq olduğuna qərar verdik. Bu yazıda edəcəyimiz budur.
AES aparat şifrələməsi, proqram təminatının şifrələnməsi kimi, uzun müddətdir mövcuddur, lakin o, fləş disklərdəki həssas məlumatları tam olaraq necə qoruyur? Bu cür sürücüləri kim sertifikatlaşdırır və bu sertifikatlara etibar etmək olar? TrueCrypt və ya BitLocker kimi pulsuz proqramlardan istifadə edə bilsəniz, bu cür "mürəkkəb" fleş disklər kimə lazımdır. Gördüyünüz kimi, şərhlərdə verilən mövzu həqiqətən çoxlu suallar doğurur. Gəlin hər şeyi anlamağa çalışaq.
Aparat şifrələməsi proqram təminatı şifrələməsindən nə ilə fərqlənir?
Fleş disklər (həmçinin HDD və SSD-lər) vəziyyətində, aparat məlumatlarının şifrələnməsini həyata keçirmək üçün cihazın dövrə lövhəsində yerləşən xüsusi bir çip istifadə olunur. Şifrələmə açarlarını yaradan daxili təsadüfi ədəd generatoruna malikdir. İstifadəçi parolunuzu daxil etdiyiniz zaman məlumatlar avtomatik olaraq şifrələnir və dərhal şifrələnir. Bu ssenaridə parol olmadan məlumatlara daxil olmaq demək olar ki, mümkün deyil.
Proqram şifrələməsindən istifadə edərkən, sürücüdəki məlumatların "kilidlənməsi" hardware şifrələmə üsullarına ucuz alternativ kimi çıxış edən xarici proqram təminatı ilə təmin edilir. Bu cür proqram təminatının çatışmazlıqları, daim təkmilləşən hakerlik üsullarına müqavimət göstərmək üçün müntəzəm yeniləmələr üçün banal tələbi əhatə edə bilər. Bundan əlavə, məlumatların şifrəsini açmaq üçün kompüter prosesinin gücündən (ayrı bir hardware çipindən daha çox) istifadə olunur və əslində PC-nin qorunma səviyyəsi sürücünün qorunma səviyyəsini müəyyənləşdirir.
Aparat şifrələməsi olan sürücülərin əsas xüsusiyyəti ayrıca kriptoqrafik prosessordur, onun olması bizə şifrələmə açarlarının kompüterin RAM və ya sabit diskində müvəqqəti saxlanıla bilən proqram açarlarından fərqli olaraq heç vaxt USB sürücüsünü tərk etmədiyini bildirir. Proqram şifrələməsi giriş cəhdlərinin sayını saxlamaq üçün kompüter yaddaşından istifadə etdiyi üçün parol və ya açara qarşı kobud güc hücumlarını dayandıra bilməz. Avtomatik parol sındıran proqram istənilən kombinasiyanı tapana qədər giriş cəhdi sayğacı təcavüzkar tərəfindən davamlı olaraq sıfırlana bilər.
Yeri gəlmişkən..., məqaləyə şərhlərdə ““İstifadəçilər həmçinin qeyd etdilər ki, məsələn, TrueCrypt proqramında portativ iş rejimi var. Ancaq bu, böyük üstünlük deyil. Fakt budur ki, bu halda şifrələmə proqramı flash sürücünün yaddaşında saxlanılır və bu, onu hücumlara qarşı daha həssas edir.
Aşağı xətt: proqram təminatı yanaşması AES şifrələməsi qədər yüksək səviyyəli təhlükəsizlik təmin etmir. Bu, daha çox əsas müdafiədir. Digər tərəfdən, vacib məlumatların proqram təminatı ilə şifrələnməsi hələ də heç şifrələməməkdən yaxşıdır. Və bu fakt bizə kriptoqrafiyanın bu növlərini aydın şəkildə ayırmağa imkan verir: fləş sürücülərin hardware şifrələməsi, daha doğrusu, korporativ sektor üçün zəruridir (məsələn, şirkət işçiləri iş yerində verilmiş disklərdən istifadə etdikdə); və proqram təminatı istifadəçi ehtiyaclarına daha uyğundur.
Bununla belə, Kingston sürücü modellərini (məsələn, IronKey S1000) Basic və Enterprise versiyalarına bölür. Funksionallıq və qoruma xüsusiyyətləri baxımından onlar bir-biri ilə demək olar ki, eynidir, lakin korporativ versiya SafeConsole/IronKey EMS proqram təminatından istifadə edərək sürücünü idarə etmək imkanı təklif edir. Bu proqram təminatı ilə disk parol qorunması və giriş siyasətlərini uzaqdan tətbiq etmək üçün bulud və ya yerli serverlərlə işləyir. İstifadəçilərə itirilmiş parolları bərpa etmək imkanı verilir və administratorlar artıq istifadə olunmayan diskləri yeni tapşırıqlara keçirə bilirlər.
AES şifrələməsi ilə Kingston flash sürücüləri necə işləyir?
Kingston bütün təhlükəsiz diskləri üçün 256-bit AES-XTS aparat şifrələməsindən (isteğe bağlı tam uzunluqlu açardan istifadə etməklə) istifadə edir. Yuxarıda qeyd etdiyimiz kimi, fləş disklər öz komponent bazasında məlumatların şifrələnməsi və deşifrə edilməsi üçün daimi aktiv təsadüfi ədəd generatoru kimi çıxış edən ayrıca çip ehtiva edir.
Cihazı USB portuna ilk dəfə qoşduqda, Başlama Quraşdırma Sihirbazı sizdən cihaza daxil olmaq üçün əsas parol təyin etməyi təklif edir. Sürücünü aktivləşdirdikdən sonra şifrələmə alqoritmləri avtomatik olaraq istifadəçi seçimlərinə uyğun olaraq işləməyə başlayacaq.
Eyni zamanda, istifadəçi üçün fləş sürücünün işləmə prinsipi dəyişməz qalacaq - o, adi USB flash sürücüsü ilə işləyərkən olduğu kimi, faylları cihazın yaddaşına endirə və yerləşdirə biləcək. Yeganə fərq ondadır ki, fləş sürücünü yeni kompüterə qoşduqda məlumatınıza daxil olmaq üçün müəyyən edilmiş parolu daxil etməlisiniz.
Avadanlıq şifrələməsi olan flash sürücülər niyə və kimə lazımdır?
Həssas məlumatların biznesin bir hissəsi olduğu təşkilatlar üçün (maliyyə, səhiyyə və ya hökumət) şifrələmə ən etibarlı qorunma vasitəsidir. AES aparat şifrələməsi istənilən şirkət tərəfindən istifadə oluna bilən genişlənən həlldir: fiziki şəxslərdən və kiçik bizneslərdən tutmuş iri korporasiyalara, eləcə də hərbi və dövlət təşkilatlarına qədər. Bu məsələyə bir az daha konkret baxmaq üçün şifrələnmiş USB disklərdən istifadə etmək lazımdır:
- Məxfi şirkət məlumatlarının təhlükəsizliyini təmin etmək
- Müştəri məlumatlarını qorumaq üçün
- Şirkətləri mənfəət itkisindən və müştəri loyallığından qorumaq
Qeyd etmək lazımdır ki, bəzi təhlükəsiz fleş disk istehsalçıları (o cümlədən Kingston) korporasiyalara müştərilərin ehtiyac və məqsədlərinə cavab vermək üçün hazırlanmış fərdi həllər təqdim edirlər. Lakin kütləvi istehsal xətləri (DataTraveler fləş diskləri daxil olmaqla) öz vəzifələrinin öhdəsindən mükəmməl gəlir və korporativ səviyyəli təhlükəsizliyi təmin etməyə qadirdir.
1. Məxfi şirkət məlumatlarının təhlükəsizliyinin təmin edilməsi
2017-ci ildə London sakini parklardan birində Hitrou hava limanının təhlükəsizliyi ilə bağlı parolla qorunmayan məlumatları, o cümlədən müşahidə kameralarının yeri və hava limanının gəlişi zamanı təhlükəsizlik tədbirləri haqqında ətraflı məlumatı özündə əks etdirən USB disk aşkar edib. yüksək vəzifəli məmurlar. Fləş diskdə həmçinin hava limanının məhdud ərazilərinə elektron keçidlər və giriş kodları haqqında məlumatlar var idi.
Analitiklər deyirlər ki, belə halların səbəbi şirkət işçilərinin kiber savadsızlığıdır, onlar öz səhlənkarlıqları ucbatından gizli məlumatları “sızdıra” bilirlər. Aparat şifrələməsi olan flash disklər bu problemi qismən həll edir, çünki belə bir sürücü itirildikdə, eyni təhlükəsizlik işçisinin əsas parolu olmadan onun üzərindəki məlumatlara daxil ola bilməyəcəksiniz. Hər halda, bu, hətta şifrələmə ilə qorunan cihazlardan danışsaq belə, işçilərin fləş sürücülərlə işləmək üçün təlim keçməli olduğunu inkar etmir.
2. Müştəri məlumatlarının qorunması
Hər hansı bir təşkilat üçün daha vacib vəzifə, güzəşt riskinə məruz qalmamalı olan müştəri məlumatlarına diqqət yetirməkdir. Yeri gəlmişkən, müxtəlif biznes sektorları arasında ən çox ötürülən və bir qayda olaraq, məxfi olan bu məlumatdır: məsələn, maliyyə əməliyyatları, xəstəlik tarixi və s.
3. Mənfəət itkisindən və müştəri loyallığından qorunma
Aparat şifrələməsi ilə USB cihazlarından istifadə təşkilatlar üçün dağıdıcı nəticələrin qarşısını almağa kömək edə bilər. Şəxsi məlumatların qorunması qanunlarını pozan şirkətlər böyük məbləğdə cərimələnə bilər. Buna görə də sual verilməlidir: lazımi mühafizə olmadan məlumat paylaşmaq riskini götürməyə dəyərmi?
Maliyyə təsirini nəzərə almadan belə, baş verən təhlükəsizlik səhvlərini düzəltməyə sərf olunan vaxt və resurslar eyni dərəcədə əhəmiyyətli ola bilər. Əlavə olaraq, əgər məlumatların pozulması müştəri məlumatlarını pozarsa, şirkət xüsusilə oxşar məhsul və ya xidmət təklif edən rəqiblərin olduğu bazarlarda brend loyallığını riskə atır.
Avadanlıq şifrələməsi ilə flash sürücülərdən istifadə edərkən istehsalçıdan "əlfəcinlərin" olmamasına kim zəmanət verir?
Qaldırdığımız mövzuda bu sual bəlkə də əsas suallardan biridir. Kingston DataTraveler diskləri haqqında məqaləyə şərhlər arasında başqa bir maraqlı sualla qarşılaşdıq: "Cihazlarınızda üçüncü tərəf müstəqil mütəxəssislərin auditi varmı?" Yaxşı... bu, məntiqi maraqdır: istifadəçilər əmin olmaq istəyirlər ki, bizim USB sürücülərimizdə zəif şifrələmə və ya parol girişindən yan keçmək imkanı kimi ümumi səhvlər yoxdur. Və məqalənin bu hissəsində Kingston sürücülərinin həqiqətən təhlükəsiz flash sürücülər statusunu almadan əvvəl hansı sertifikatlaşdırma prosedurlarından keçdiyi barədə danışacağıq.
Etibarlılığa kim zəmanət verir? Deyə bilərik ki, "Kinqston bunu etdi - buna zəmanət verir" deyə bilərik. Ancaq bu vəziyyətdə istehsalçı maraqlı tərəf olduğu üçün belə bir bəyanat yanlış olacaq. Buna görə də, bütün məhsullar müstəqil təcrübəyə malik üçüncü tərəf tərəfindən sınaqdan keçirilir. Xüsusilə, Kingston hardware-şifrlənmiş diskləri (DTLPG3 istisna olmaqla) Kriptoqrafik Modul Təsdiqləmə Proqramının (CMVP) iştirakçılarıdır və Federal İnformasiya Emalı Standartına (FIPS) uyğun olaraq sertifikatlaşdırılır. Sürücülər həmçinin GLBA, HIPPA, HITECH, PCI və GTSA standartlarına uyğun sertifikatlaşdırılıb.
1. Kriptoqrafik modulun yoxlanılması proqramı
CMVP proqramı ABŞ Ticarət Departamentinin Milli Standartlar və Texnologiya İnstitutu ilə Kanada Kibertəhlükəsizlik Mərkəzinin birgə layihəsidir. Layihənin məqsədi sübut edilmiş kriptoqrafik cihazlara tələbi stimullaşdırmaq və avadanlıqların satın alınmasında istifadə olunan federal agentliklərə və tənzimlənən sənayelərə (maliyyə və səhiyyə müəssisələri kimi) təhlükəsizlik göstəricilərini təqdim etməkdir.
Cihazlar Milli Könüllü Laboratoriya Akkreditasiya Proqramı (NVLAP) tərəfindən akkreditə olunmuş müstəqil kriptoqrafiya və təhlükəsizlik sınaq laboratoriyaları tərəfindən bir sıra kriptoqrafik və təhlükəsizlik tələblərinə uyğun sınaqdan keçirilir. Eyni zamanda, hər bir laboratoriya hesabatı Federal İnformasiya Emalı Standartına (FIPS) 140-2 uyğunluğu yoxlanılır və CMVP tərəfindən təsdiqlənir.
FIPS 140-2 uyğunluğu təsdiqlənmiş modullar ABŞ və Kanada federal agentlikləri tərəfindən 22 sentyabr 2026-cı il tarixinədək istifadə üçün tövsiyə olunur. Bundan sonra onlar arxiv siyahısına daxil ediləcək, baxmayaraq ki, hələ də istifadə oluna biləcəklər. 22 sentyabr 2020-ci ildə FIPS 140-3 standartına uyğun olaraq təsdiq üçün müraciətlərin qəbulu başa çatdı. Cihazlar yoxlamalardan keçdikdən sonra onlar beş il ərzində sınaqdan keçirilmiş və etibarlı cihazların aktiv siyahısına köçürüləcək. Əgər kriptoqrafik cihaz yoxlamadan keçmirsə, onun ABŞ və Kanadada dövlət qurumlarında istifadəsi tövsiyə edilmir.
2. FIPS sertifikatı hansı təhlükəsizlik tələblərini qoyur?
Hətta sertifikatlaşdırılmamış şifrəli diskdən məlumatların sındırılması çətindir və az adam edə bilər, buna görə də sertifikatlı evdə istifadə üçün istehlakçı sürücüsünü seçərkən narahat olmağa ehtiyac yoxdur. Korporativ sektorda vəziyyət fərqlidir: təhlükəsiz USB sürücülərini seçərkən şirkətlər çox vaxt FIPS sertifikat səviyyələrinə əhəmiyyət verirlər. Bununla belə, hər kəsin bu səviyyələrin nə demək olduğunu aydın təsəvvürü yoxdur.
Hazırkı FIPS 140-2 standartı fləş sürücülərin cavab verə biləcəyi dörd müxtəlif təhlükəsizlik səviyyəsini müəyyən edir. Birinci səviyyə orta səviyyəli təhlükəsizlik xüsusiyyətlərini təmin edir. Dördüncü səviyyə cihazların özünü mühafizəsi üçün ciddi tələbləri nəzərdə tutur. İkinci və üçüncü səviyyələr bu tələblərin dərəcəsini təmin edir və bir növ qızıl orta təşkil edir.
- Səviyyə XNUMX Təhlükəsizlik: Səviyyə XNUMX sertifikatlı USB diskləri ən azı bir şifrələmə alqoritmi və ya digər təhlükəsizlik funksiyası tələb edir.
- İkinci təhlükəsizlik səviyyəsi: burada sürücüdən təkcə kriptoqrafik qorunma təmin etmək deyil, həm də kimsə sürücünü açmağa cəhd edərsə, proqram təminatı səviyyəsində icazəsiz müdaxilələri aşkar etmək tələb olunur.
- Üçüncü təhlükəsizlik səviyyəsi: şifrələmə “açarlarını” məhv etməklə sındırmanın qarşısını alır. Yəni, nüfuz cəhdlərinə cavab tələb olunur. Həmçinin, üçüncü səviyyə elektromaqnit müdaxiləsinə qarşı daha yüksək səviyyəli qorunma təmin edir: yəni simsiz sındırma cihazlarından istifadə edərək flash sürücüdən məlumatları oxumaq işləməyəcək.
- Dördüncü təhlükəsizlik səviyyəsi: icazəsiz istifadəçi tərəfindən hər hansı icazəsiz giriş cəhdlərinin aşkarlanması və ona qarşı mübarizənin maksimum ehtimalını təmin edən kriptoqrafik modulun tam qorunmasını əhatə edən ən yüksək səviyyə. Dördüncü səviyyəli sertifikat almış fləş disklər həmçinin gərginliyi və ətraf mühitin temperaturunu dəyişdirərək sındırmağa imkan verməyən qorunma variantlarını da əhatə edir.
Aşağıdakı Kingston diskləri FIPS 140-2 Level 2000 sertifikatına malikdir: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. Bu sürücülərin əsas xüsusiyyəti onların müdaxilə cəhdinə cavab vermək qabiliyyətidir: parol XNUMX dəfə səhv daxil edilərsə, sürücüdəki məlumatlar məhv ediləcək.
Kingston fleş diskləri şifrələmədən başqa nə edə bilər?
Tam məlumat təhlükəsizliyinə gəldikdə, fləş sürücülərin hardware şifrələməsi, quraşdırılmış antiviruslar, xarici təsirlərdən qorunma, şəxsi buludlarla sinxronizasiya və aşağıda müzakirə edəcəyimiz digər xüsusiyyətlər köməyə gəlir. Proqram şifrələməsi olan flash sürücülərdə böyük fərq yoxdur. Şeytan təfərrüatlardadır. Və budur.
1. Kingston DataTraveler 2000
Məsələn, USB sürücüsünü götürək. . Bu, hardware şifrələməsi olan flash sürücülərdən biridir, lakin eyni zamanda korpusda öz fiziki klaviaturası olan yeganədir. Bu 11 düyməli klaviatura DT2000-ni host sistemlərindən tamamilə müstəqil edir (DataTraveler 2000-dən istifadə etmək üçün siz Açar düyməsini basmalı, sonra parolunuzu daxil etməli və Açar düyməsini yenidən basmalısınız). Bundan əlavə, bu fleş disk su və tozdan IP57 qorunma dərəcəsinə malikdir (təəccüblüdür ki, Kingston bunu nə qablaşdırmada, nə də rəsmi veb saytındakı spesifikasiyalarda heç bir yerdə qeyd etmir).
DataTraveler 2000-in içərisində 40 mAh litium polimer batareya var və Kingston alıcılara batareyanın doldurulmasına imkan vermək üçün istifadə etməzdən əvvəl sürücünü ən azı bir saat USB portuna qoşmağı tövsiyə edir. Yeri gəlmişkən, əvvəlki materiallardan birində : Narahat olmaq üçün heç bir səbəb yoxdur - sistem tərəfindən nəzarətçiyə heç bir sorğu olmadığı üçün flash sürücü şarj cihazında aktivləşdirilməyib. Buna görə də, simsiz müdaxilələr vasitəsilə heç kim məlumatlarınızı oğurlamayacaq.
2. Kingston DataTraveler Locker+ G3
Kinqston modelindən danışsaq – o, bir flash sürücüdən Google bulud yaddaşına, OneDrive, Amazon Cloud və ya Dropbox-a məlumat ehtiyat nüsxəsini konfiqurasiya etmək imkanı ilə diqqəti cəlb edir. Bu xidmətlərlə məlumatların sinxronizasiyası da təmin edilir.
Oxucularımızın bizə verdiyi suallardan biri də budur: "Bəs şifrələnmiş məlumatları ehtiyat nüsxədən necə götürmək olar?" Çox sadə. Fakt budur ki, buludla sinxronizasiya zamanı məlumat şifrələnir və buludda ehtiyat nüsxənin qorunması buludun özünün imkanlarından asılıdır. Buna görə də, bu cür prosedurlar yalnız istifadəçinin istəyi ilə həyata keçirilir. Onun icazəsi olmadan buluda heç bir məlumat yüklənməyəcək.
3. Kingston DataTraveler Vault Məxfilik 3.0
Ancaq Kingston cihazları Onlar həmçinin ESET-dən quraşdırılmış Drive Security antivirusu ilə gəlirlər. Sonuncu, məlumatları viruslar, casus proqramlar, troyanlar, qurdlar, rootkitlər və digər insanların kompüterlərinə qoşulma ilə USB sürücüsünə hücumdan qoruyur, deyə bilərik ki, qorxmur. Antivirus, aşkar edilərsə, potensial təhlükələr barədə sürücünün sahibini dərhal xəbərdar edəcəkdir. Bu halda istifadəçinin antivirus proqramını özü quraşdırması və bu seçim üçün ödəniş etməsi lazım deyil. ESET Drive Security beş illik lisenziyası olan fləş diskə əvvəlcədən quraşdırılıb.
Kingston DT Vault Privacy 3.0 ilk növbədə İT mütəxəssisləri üçün nəzərdə tutulmuşdur. O, administratorlara onu müstəqil disk kimi istifadə etməyə və ya mərkəzləşdirilmiş idarəetmə həllinin bir hissəsi kimi əlavə etməyə imkan verir və həmçinin parolları konfiqurasiya etmək və ya uzaqdan sıfırlamaq və cihaz siyasətlərini konfiqurasiya etmək üçün istifadə edilə bilər. Kingston hətta USB 3.0 əlavə etdi ki, bu da təhlükəsiz məlumatları USB 2.0-dan daha sürətli ötürməyə imkan verir.
Ümumiyyətlə, DT Vault Privacy 3.0 korporativ sektor və məlumatlarının maksimum qorunmasını tələb edən təşkilatlar üçün əla seçimdir. İctimai şəbəkələrdə yerləşən kompüterlərdən istifadə edən bütün istifadəçilərə də tövsiyə oluna bilər.
Kingston məhsulları haqqında ətraflı məlumat üçün əlaqə saxlayın .
Mənbə: www.habr.com