Здравей, Хабр! В коментарите към един от нашите читателите зададоха интересен въпрос: „Защо имате нужда от флаш устройство с хардуерно криптиране, когато TrueCrypt е наличен?“ - и дори изразиха някои опасения относно „Как можете да се уверите, че няма отметки в софтуера и хардуера на Kingston устройство ?" Отговорихме на тези въпроси кратко, но след това решихме, че темата заслужава фундаментален анализ. Това ще направим в тази публикация.
AES хардуерното криптиране, подобно на софтуерното криптиране, съществува от дълго време, но как точно защитава чувствителните данни на флаш устройства? Кой сертифицира такива устройства и може ли да се вярва на тези сертификати? Кой се нуждае от такива „сложни“ флашки, ако можете да използвате безплатни програми като TrueCrypt или BitLocker. Както можете да видите, темата, зададена в коментарите, наистина повдига много въпроси. Нека се опитаме да разберем всичко.
По какво се различава хардуерното криптиране от софтуерното?
В случай на флаш устройства (както и HDD и SSD), специален чип, разположен на платката на устройството, се използва за реализиране на хардуерно криптиране на данни. Има вграден генератор на произволни числа, който генерира ключове за криптиране. Данните се криптират автоматично и незабавно се дешифрират, когато въведете потребителската си парола. При този сценарий е почти невъзможно да получите достъп до данните без парола.
Когато използвате софтуерно криптиране, „заключването“ на данните на устройството се осигурява от външен софтуер, който действа като евтина алтернатива на методите за хардуерно криптиране. Недостатъците на такъв софтуер може да включват баналното изискване за редовни актуализации, за да се предложи устойчивост на непрекъснато подобряващите се хакерски техники. Освен това мощността на компютърен процес (а не отделен хардуерен чип) се използва за дешифриране на данни и всъщност нивото на защита на компютъра определя нивото на защита на устройството.
Основната характеристика на дисковете с хардуерно криптиране е отделен криптографски процесор, наличието на който ни казва, че ключовете за криптиране никога не напускат USB устройството, за разлика от софтуерните ключове, които могат временно да се съхраняват в RAM или твърдия диск на компютъра. И тъй като софтуерното криптиране използва паметта на компютъра, за да съхранява броя на опитите за влизане, то не може да спре груби атаки срещу парола или ключ. Броячът на опитите за влизане може непрекъснато да се нулира от нападател, докато програмата за автоматично разбиване на пароли намери желаната комбинация.
Между другото..., в коментарите към статията „„Потребителите също отбелязаха, че например програмата TrueCrypt има преносим режим на работа. Това обаче не е голямо предимство. Факт е, че в този случай програмата за криптиране се съхранява в паметта на флашката и това я прави по-уязвима за атаки.
В крайна сметка: софтуерният подход не осигурява толкова високо ниво на сигурност, колкото AES криптирането. Това е по-скоро основна защита. От друга страна, софтуерното криптиране на важни данни все още е по-добро от никакво криптиране. И този факт ни позволява ясно да разграничим тези видове криптография: хардуерното криптиране на флаш памети е необходимост по-скоро за корпоративния сектор (например, когато служителите на компанията използват дискове, издадени на работа); и софтуерът е по-подходящ за нуждите на потребителите.
Kingston обаче разделя своите модели дискове (например IronKey S1000) на Basic и Enterprise версии. По отношение на функционалността и защитните свойства те са почти идентични помежду си, но корпоративната версия предлага възможност за управление на устройството с помощта на софтуера SafeConsole/IronKey EMS. С този софтуер устройството работи или с облак, или с локални сървъри, за да наложи дистанционно защита с парола и правила за достъп. На потребителите се дава възможност да възстановят изгубени пароли, а администраторите могат да превключват устройства, които вече не се използват, към нови задачи.
Как работят флашките Kingston с AES криптиране?
Kingston използва 256-битово AES-XTS хардуерно криптиране (използвайки допълнителен ключ с пълна дължина) за всички свои защитени дискове. Както отбелязахме по-горе, флашките съдържат в своята компонентна база отделен чип за криптиране и декриптиране на данни, който действа като постоянно активен генератор на случайни числа.
Когато свържете устройство към USB порт за първи път, съветникът за настройка на инициализацията ви подканва да зададете главна парола за достъп до устройството. След активиране на устройството, алгоритмите за криптиране автоматично ще започнат да работят в съответствие с предпочитанията на потребителя.
В същото време за потребителя принципът на работа на флаш устройството ще остане непроменен - той все още ще може да изтегля и поставя файлове в паметта на устройството, както при работа с обикновено USB флаш устройство. Единствената разлика е, че когато свържете флаш устройството към нов компютър, ще трябва да въведете зададената парола, за да получите достъп до вашата информация.
Защо и кому са необходими флашки с хардуерно криптиране?
За организации, където чувствителните данни са част от бизнеса (независимо дали са финансови, здравни или държавни), криптирането е най-надеждното средство за защита. AES хардуерното криптиране е мащабируемо решение, което може да се използва от всяка компания: от физически лица и малки предприятия до големи корпорации, както и военни и правителствени организации. За да разгледаме този проблем малко по-конкретно, използването на криптирани USB устройства е необходимо:
- За гарантиране на сигурността на поверителни фирмени данни
- За защита на клиентската информация
- За защита на компаниите от загуба на печалби и лоялност на клиентите
Заслужава да се отбележи, че някои производители на защитени флаш устройства (включително Kingston) предоставят на корпорациите персонализирани решения, предназначени да отговорят на нуждите и целите на клиентите. Но масово произвежданите линии (включително флаш памети DataTraveler) се справят перфектно със задачите си и са в състояние да осигурят сигурност от корпоративна класа.
1. Гарантиране на сигурността на конфиденциалните фирмени данни
През 2017 г. жител на Лондон откри USB устройство в един от парковете, което съдържа незащитена с парола информация, свързана със сигурността на летище Хийтроу, включително местоположението на камерите за наблюдение и подробна информация за мерките за сигурност в случай на пристигането на високопоставени служители. Флашката съдържаше и данни за електронни пропуски и кодове за достъп до забранените зони на летището.
Анализаторите казват, че причината за подобни ситуации е кибернеграмотността на служителите на компанията, които могат да „изтекат“ секретни данни поради собствена небрежност. Флашките с хардуерно криптиране частично решават този проблем, защото ако такова устройство бъде изгубено, няма да можете да получите достъп до данните на него без главната парола на същия служител по сигурността. Във всеки случай това не отменя факта, че служителите трябва да бъдат обучени да боравят с флашки, дори ако говорим за устройства, защитени с криптиране.
2. Защита на информацията за клиента
Още по-важна задача за всяка организация е да се грижи за клиентските данни, които не трябва да бъдат изложени на риск от компрометиране. Между другото, именно тази информация най-често се прехвърля между различни бизнес сектори и по правило е поверителна: например може да съдържа данни за финансови транзакции, медицинска история и др.
3. Защита срещу загуба на печалба и лоялност на клиентите
Използването на USB устройства с хардуерно криптиране може да помогне за предотвратяване на пагубни последици за организациите. Компаниите, които нарушават законите за защита на личните данни, могат да бъдат глобени с големи суми. Следователно трябва да се зададе въпросът: струва ли си да поемете риска от споделяне на информация без подходяща защита?
Дори без да се вземе предвид финансовото въздействие, времето и ресурсите, изразходвани за коригиране на възникнали грешки в сигурността, могат да бъдат също толкова значителни. Освен това, ако нарушение на данните компрометира клиентските данни, компанията рискува лоялността към марката, особено на пазари, където има конкуренти, предлагащи подобен продукт или услуга.
Кой гарантира липсата на „отметки“ от производителя при използване на флаш памети с хардуерно криптиране?
В темата, която повдигнахме, този въпрос е може би един от основните. Сред коментарите към статията за устройствата Kingston DataTraveler се натъкнахме на друг интересен въпрос: „Вашите устройства имат ли одити от независими специалисти от трети страни?“ Е... това е логичен интерес: потребителите искат да се уверят, че нашите USB устройства не съдържат често срещани грешки, като слабо криптиране или възможност за заобикаляне на въвеждане на парола. И в тази част на статията ще говорим за това какви процедури за сертифициране преминават устройствата Kingston, преди да получат статут на наистина безопасни флаш устройства.
Кой гарантира надеждността? Изглежда, че можем да кажем, че „Kingston го направи – той го гарантира.“ Но в този случай такова твърдение ще бъде неправилно, тъй като производителят е заинтересована страна. Поради това всички продукти се тестват от трета страна с независим експертен опит. По-специално, хардуерно криптираните устройства на Kingston (с изключение на DTLPG3) участват в Програмата за валидиране на криптографски модул (CMVP) и са сертифицирани по Федералния стандарт за обработка на информация (FIPS). Устройствата също са сертифицирани по стандартите GLBA, HIPPA, HITECH, PCI и GTSA.
1. Програма за валидиране на криптографски модул
Програмата CMVP е съвместен проект на Националния институт по стандарти и технологии към Министерството на търговията на САЩ и Канадския център за киберсигурност. Целта на проекта е да стимулира търсенето на доказани криптографски устройства и да предостави показатели за сигурност на федерални агенции и регулирани индустрии (като финансови и здравни институции), които се използват при закупуване на оборудване.
Устройствата се тестват спрямо набор от криптографски изисквания и изисквания за сигурност от независими лаборатории за тестване на криптография и сигурност, акредитирани от Програмата за национална доброволна акредитация на лаборатории (NVLAP). В същото време всеки лабораторен доклад се проверява за съответствие с Федералния стандарт за обработка на информация (FIPS) 140-2 и се потвърждава от CMVP.
Модули, проверени като съвместими с FIPS 140-2, се препоръчват за използване от федералните агенции на САЩ и Канада до 22 септември 2026 г. След това те ще бъдат включени в архивния списък, но все още ще могат да се използват. На 22 септември 2020 г. приключи приемането на заявления за валидиране по стандарта FIPS 140-3. След като устройствата преминат проверките, те ще бъдат преместени в активния списък с тествани и надеждни устройства за пет години. Ако дадено криптографско устройство не премине проверка, не се препоръчва използването му в правителствени агенции в Съединените щати и Канада.
2. Какви изисквания за сигурност налага сертифицирането на FIPS?
Хакването на данни дори от несертифицирано криптирано устройство е трудно и малко хора могат да го направят, така че когато избирате потребителско устройство за домашна употреба със сертифициране, не е нужно да се притеснявате. В корпоративния сектор ситуацията е различна: когато избират сигурни USB устройства, компаниите често придават значение на нивата на сертифициране FIPS. Въпреки това, не всеки има ясна представа какво означават тези нива.
Настоящият стандарт FIPS 140-2 дефинира четири различни нива на сигурност, на които могат да отговарят флаш устройствата. Първото ниво осигурява умерен набор от функции за сигурност. Четвъртото ниво предполага строги изисквания за самозащита на устройствата. Второ и трето ниво осигуряват степенуване на тези изисквания и формират своеобразна златна среда.
- Сигурност от ниво XNUMX: Сертифицираните от ниво XNUMX USB устройства изискват поне един алгоритъм за криптиране или друга функция за сигурност.
- Второто ниво на сигурност: тук устройството е необходимо не само за осигуряване на криптографска защита, но и за откриване на неоторизирани прониквания на ниво фърмуер, ако някой се опита да отвори устройството.
- Третото ниво на сигурност: включва предотвратяване на хакване чрез унищожаване на „ключовете“ за криптиране. Тоест, необходим е отговор на опитите за проникване. Освен това третото ниво гарантира по-високо ниво на защита срещу електромагнитни смущения: тоест четенето на данни от флаш устройство с помощта на безжични хакерски устройства няма да работи.
- Четвърто ниво на сигурност: най-високото ниво, което включва пълна защита на криптографския модул, което осигурява максимална вероятност за откриване и противодействие на всеки опит за неоторизиран достъп от неоторизиран потребител. Флаш устройствата, които са получили сертификат от четвърто ниво, също включват опции за защита, които не позволяват хакване чрез промяна на напрежението и температурата на околната среда.
Следните устройства на Kingston са сертифицирани по FIPS 140-2 ниво 2000: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. Основната характеристика на тези устройства е способността им да реагират на опит за проникване: ако паролата бъде въведена неправилно XNUMX пъти, данните на устройството ще бъдат унищожени.
Какво друго могат да правят флашките Kingston освен криптиране?
Когато става дума за пълна сигурност на данните, наред с хардуерното криптиране на флашките, на помощ идват вградените антивируси, защитата от външни въздействия, синхронизацията с персонални облаци и други функции, които ще разгледаме по-долу. При флашките със софтуерно криптиране няма голяма разлика. Дяволът е в детайлите. И ето какво.
1. Kingston DataTraveler 2000
Да вземем за пример USB устройство. . Това е една от флашките с хардуерно криптиране, но в същото време единствената със собствена физическа клавиатура на кутията. Тази клавиатура с 11 бутона прави DT2000 напълно независим от хост системите (за да използвате DataTraveler 2000, трябва да натиснете бутона Key, след това да въведете паролата си и да натиснете бутона Key отново). В допълнение, тази флашка има IP57 степен на защита срещу вода и прах (изненадващо Kingston не посочва това никъде на опаковката или в спецификациите на официалния сайт).
В DataTraveler 2000 има литиево-полимерна батерия от 40 mAh и Kingston съветва купувачите да включат устройството в USB порт за поне един час, преди да го използват, за да може батерията да се зареди. Между другото, в един от предишните материали : Няма причина за притеснение - флашката не е активирана в зарядното, защото няма заявки към контролера от системата. Следователно никой няма да открадне вашите данни чрез безжични прониквания.
2. Kingston DataTraveler Locker+ G3
Ако говорим за модела Kingston – привлича вниманието с възможността за конфигуриране на архивиране на данни от флашка в облачно хранилище на Google, OneDrive, Amazon Cloud или Dropbox. Предвидена е и синхронизация на данни с тези услуги.
Един от въпросите, които нашите читатели ни задават е: „Но как да вземем криптирани данни от резервно копие?“ Много просто. Факт е, че при синхронизиране с облака информацията се дешифрира и защитата на архивирането в облака зависи от възможностите на самия облак. Следователно подобни процедури се извършват единствено по преценка на потребителя. Без негово разрешение никакви данни няма да бъдат качени в облака.
3. Kingston DataTraveler Vault Privacy 3.0
Но устройствата на Kingston Те също идват с вградена антивирусна програма Drive Security от ESET. Последният защитава данните от нахлуване на USB устройство от вируси, шпионски софтуер, троянски коне, червеи, руткитове и връзка с компютри на други хора, може да се каже, че не се страхува. Антивирусната програма незабавно ще предупреди собственика на устройството за потенциални заплахи, ако бъдат открити такива. В този случай не е необходимо потребителят сам да инсталира антивирусен софтуер и да плаща за тази опция. ESET Drive Security е предварително инсталиран на флаш устройство с петгодишен лиценз.
Kingston DT Vault Privacy 3.0 е проектиран и насочен предимно към ИТ специалисти. Позволява на администраторите да го използват като самостоятелно устройство или да го добавят като част от централизирано решение за управление и може също да се използва за конфигуриране или дистанционно нулиране на пароли и конфигуриране на политики за устройства. Kingston дори добави USB 3.0, който ви позволява да прехвърляте защитени данни много по-бързо от USB 2.0.
Като цяло DT Vault Privacy 3.0 е отлична опция за корпоративния сектор и организации, които изискват максимална защита на своите данни. Може да се препоръча и на всички потребители, които използват компютри, разположени в обществени мрежи.
За повече информация относно продуктите на Kingston, свържете се с .
Източник: www.habr.com