Hola, Habr! En els comentaris a un dels nostres els lectors van fer una pregunta interessant: "Per què necessiteu una unitat flaix amb xifratge de maquinari quan TrueCrypt està disponible?" - i fins i tot van expressar algunes preocupacions sobre "Com podeu assegurar-vos que no hi hagi adreces d'interès al programari i al maquinari d'una unitat Kingston. ?” Vam respondre aquestes preguntes de manera succinta, però després vam decidir que el tema mereixia una anàlisi fonamental. Això és el que farem en aquest post.
El xifratge de maquinari AES, com el xifratge de programari, fa molt de temps que existeix, però com protegeix exactament les dades sensibles a les unitats flash? Qui certifica aquestes unitats i es poden confiar en aquestes certificacions? Qui necessita unitats flash tan "complexes" si podeu utilitzar programes gratuïts com TrueCrypt o BitLocker. Com podeu veure, el tema plantejat als comentaris realment planteja moltes preguntes. Intentem esbrinar-ho tot.
En què difereix el xifratge de maquinari del xifratge de programari?
En el cas de les unitats flash (així com els HDD i SSD), s'utilitza un xip especial situat a la placa de circuits del dispositiu per implementar el xifratge de dades de maquinari. Té un generador de números aleatoris integrat que genera claus de xifratge. Les dades es xifren automàticament i es desencripten a l'instant quan introduïu la vostra contrasenya d'usuari. En aquest escenari, és gairebé impossible accedir a les dades sense una contrasenya.
Quan s'utilitza el xifratge de programari, el "bloqueig" de les dades a la unitat es proporciona un programari extern, que actua com una alternativa de baix cost als mètodes de xifratge de maquinari. Els desavantatges d'aquest programari poden incloure el requisit banal d'actualitzacions periòdiques per tal d'oferir resistència a les tècniques de pirateria cada vegada millorades. A més, la potència d'un procés informàtic (en lloc d'un xip de maquinari separat) s'utilitza per desxifrar dades i, de fet, el nivell de protecció de l'ordinador determina el nivell de protecció de la unitat.
La característica principal de les unitats amb xifratge de maquinari és un processador criptogràfic independent, la presència del qual ens indica que les claus de xifratge mai surten de la unitat USB, a diferència de les claus de programari que es poden emmagatzemar temporalment a la memòria RAM o al disc dur de l'ordinador. I com que el xifratge del programari utilitza la memòria del PC per emmagatzemar el nombre d'intents d'inici de sessió, no pot aturar els atacs de força bruta a una contrasenya o clau. Un atacant pot restablir contínuament el comptador d'intents d'inici de sessió fins que el programa automàtic de trencament de contrasenyes trobi la combinació desitjada.
Per cert..., als comentaris a l'article “"Els usuaris també van assenyalar que, per exemple, el programa TrueCrypt té un mode de funcionament portàtil. Tanmateix, això no és un gran avantatge. El cas és que en aquest cas el programa de xifratge s'emmagatzema a la memòria de la unitat flaix, i això la fa més vulnerable als atacs.
Conclusió: l'enfocament del programari no ofereix un nivell de seguretat tan alt com el xifratge AES. És més aviat una defensa bàsica. D'altra banda, el xifratge de programari de dades importants encara és millor que no encriptar. I aquest fet ens permet distingir clarament entre aquests tipus de criptografia: el xifrat per maquinari de les unitats flash és una necessitat, més aviat, per al sector corporatiu (per exemple, quan els empleats de l'empresa utilitzen unitats emeses a la feina); i el programari és més adequat per a les necessitats dels usuaris.
Tanmateix, Kingston divideix els seus models d'unitat (per exemple, IronKey S1000) en versions Basic i Enterprise. Pel que fa a la funcionalitat i les propietats de protecció, són gairebé idèntiques entre si, però la versió corporativa ofereix la possibilitat de gestionar la unitat mitjançant el programari SafeConsole/IronKey EMS. Amb aquest programari, la unitat funciona amb servidors locals o en núvol per aplicar de forma remota les polítiques d'accés i protecció de contrasenya. Els usuaris tenen l'oportunitat de recuperar les contrasenyes perdudes i els administradors poden canviar les unitats que ja no s'utilitzen a tasques noves.
Com funcionen les unitats flash Kingston amb xifratge AES?
Kingston utilitza el xifratge de maquinari AES-XTS de 256 bits (utilitzant una clau de longitud completa opcional) per a totes les seves unitats segures. Com hem assenyalat anteriorment, les unitats flash contenen a la seva base de components un xip separat per a xifrar i desxifrar dades, que actua com a generador de números aleatoris constantment actiu.
Quan connecteu un dispositiu a un port USB per primera vegada, l'assistent de configuració d'inicialització us demanarà que establiu una contrasenya mestra per accedir al dispositiu. Després d'activar la unitat, els algorismes de xifratge començaran a funcionar automàticament d'acord amb les preferències de l'usuari.
Al mateix temps, per a l'usuari, el principi de funcionament de la unitat flaix es mantindrà sense canvis: encara podrà descarregar i col·locar fitxers a la memòria del dispositiu, com quan es treballa amb una unitat flaix USB normal. L'única diferència és que quan connecteu la unitat flaix a un ordinador nou, haureu d'introduir la contrasenya establerta per accedir a la vostra informació.
Per què i qui necessita unitats flash amb xifratge de maquinari?
Per a les organitzacions on les dades sensibles formen part del negoci (ja siguin financeres, sanitàries o governamentals), el xifratge és el mitjà de protecció més fiable. El xifratge de maquinari AES és una solució escalable que pot utilitzar qualsevol empresa: des de particulars i petites empreses fins a grans corporacions, així com organitzacions militars i governamentals. Per veure aquest problema una mica més específicament, cal utilitzar unitats USB xifrades:
- Per garantir la seguretat de les dades confidencials de l'empresa
- Per protegir la informació del client
- Protegir les empreses de la pèrdua de beneficis i la fidelització dels clients
Val la pena assenyalar que alguns fabricants de unitats flash segures (inclòs Kingston) ofereixen a les corporacions solucions personalitzades dissenyades per satisfer les necessitats i objectius dels clients. Però les línies produïdes en massa (incloses les unitats flash DataTraveler) s'enfronten perfectament a les seves tasques i són capaces de proporcionar seguretat de classe corporativa.
1. Garantir la seguretat de les dades confidencials de l'empresa
L'any 2017, un resident de Londres va descobrir una unitat USB en un dels parcs que contenia informació no protegida amb contrasenya relacionada amb la seguretat de l'aeroport d'Heathrow, inclosa la ubicació de les càmeres de vigilància i informació detallada sobre les mesures de seguretat en cas de l'arribada de alts càrrecs. La unitat flaix també contenia dades sobre passis electrònics i codis d'accés a zones restringides de l'aeroport.
Els analistes diuen que el motiu d'aquestes situacions és l'analfabetisme cibernètic dels empleats de l'empresa, que poden "filtrar" dades secretes per la seva pròpia negligència. Les unitats flaix amb xifratge de maquinari solucionen parcialment aquest problema, ja que si es perd una unitat d'aquest tipus, no podreu accedir a les dades d'ella sense la contrasenya mestra del mateix responsable de seguretat. En qualsevol cas, això no nega que els empleats hagin d'estar entrenats per manejar unitats flash, encara que parlem de dispositius protegits per xifratge.
2. Protecció de la informació del client
Una tasca encara més important per a qualsevol organització és tenir cura de les dades dels clients, que no haurien d'estar subjectes al risc de compromís. Per cert, aquesta informació és la que més sovint es transfereix entre diferents sectors empresarials i, per regla general, és confidencial: per exemple, pot contenir dades sobre transaccions financeres, historial mèdic, etc.
3. Protecció contra la pèrdua de beneficis i la fidelització dels clients
L'ús de dispositius USB amb xifratge de maquinari pot ajudar a prevenir conseqüències devastadores per a les organitzacions. Les empreses que infringeixen les lleis de protecció de dades personals poden ser multades amb grans quantitats. Per tant, cal fer-se la pregunta: val la pena córrer el risc de compartir informació sense la protecció adequada?
Fins i tot sense tenir en compte l'impacte financer, la quantitat de temps i recursos invertits per corregir errors de seguretat que es produeixen pot ser igual d'important. A més, si una violació de dades compromet les dades dels clients, l'empresa corre el risc de fidelitzar la marca, especialment en mercats on hi ha competidors que ofereixen un producte o servei similar.
Qui garanteix l'absència de "adreces d'interès" del fabricant quan s'utilitzen unitats flash amb xifratge de maquinari?
En el tema que hem plantejat, aquesta pregunta és potser una de les principals. Entre els comentaris a l'article sobre les unitats Kingston DataTraveler, vam trobar una altra pregunta interessant: "Els vostres dispositius tenen auditories d'especialistes independents de tercers?" Bé... és un interès lògic: els usuaris volen assegurar-se que les nostres unitats USB no contenen errors habituals, com ara un xifrat dèbil o la possibilitat de saltar l'entrada de contrasenyes. I en aquesta part de l'article parlarem de quins procediments de certificació es sotmeten a les unitats Kingston abans de rebre l'estat de unitats flash realment segures.
Qui garanteix la fiabilitat? Sembla que bé podríem dir que "Kingston ho va fer, ho garanteix". Però en aquest cas, aquesta afirmació serà incorrecta, ja que el fabricant és una part interessada. Per tant, tots els productes són provats per un tercer amb experiència independent. En particular, les unitats xifrades amb maquinari de Kingston (a excepció de DTLPG3) participen en el Programa de validació de mòduls criptogràfics (CMVP) i estan certificades segons l'estàndard federal de processament de la informació (FIPS). Les unitats també estan certificades segons els estàndards GLBA, HIPPA, HITECH, PCI i GTSA.
1. Programa de validació de mòduls criptogràfics
El programa CMVP és un projecte conjunt de l'Institut Nacional d'Estàndards i Tecnologia del Departament de Comerç dels Estats Units i el Centre de Ciberseguretat del Canadà. L'objectiu del projecte és estimular la demanda de dispositius criptogràfics provats i proporcionar mètriques de seguretat a les agències federals i les indústries regulades (com les institucions financeres i sanitàries) que s'utilitzen en la compra d'equips.
Els dispositius es posen a prova amb un conjunt de requisits criptogràfics i de seguretat per laboratoris independents de criptografia i proves de seguretat acreditats pel Programa Nacional d'Acreditació de Laboratoris Voluntaris (NVLAP). Al mateix temps, cada informe de laboratori es comprova el compliment de l'estàndard federal de processament d'informació (FIPS) 140-2 i es confirma pel CMVP.
Els mòduls verificats com a compatibles amb FIPS 140-2 es recomana que les agències federals dels Estats Units i el Canadà l'utilitzin fins al 22 de setembre de 2026. Després d'això, s'inclouran a la llista d'arxius, tot i que encara es podran utilitzar. El 22 de setembre de 2020 va finalitzar l'acceptació de sol·licituds de validació segons l'estàndard FIPS 140-3. Un cop els dispositius superin les comprovacions, es traslladaran a la llista activa de dispositius provats i de confiança durant cinc anys. Si un dispositiu criptogràfic no passa la verificació, no es recomana el seu ús a les agències governamentals dels Estats Units i el Canadà.
2. Quins requisits de seguretat imposa la certificació FIPS?
La pirateria de dades fins i tot d'una unitat xifrada no certificada és difícil i poca gent ho pot fer, de manera que quan escolliu una unitat de consum per a ús domèstic amb certificació, no us haureu de molestar. Al sector corporatiu, la situació és diferent: a l'hora de triar unitats USB segures, les empreses sovint donen importància als nivells de certificació FIPS. Tanmateix, no tothom té una idea clara del que signifiquen aquests nivells.
L'estàndard FIPS 140-2 actual defineix quatre nivells de seguretat diferents que poden complir les unitats flash. El primer nivell ofereix un conjunt moderat de funcions de seguretat. El quart nivell implica requisits estrictes per a l'autoprotecció dels dispositius. Els nivells dos i tres proporcionen una gradació d'aquests requisits i formen una mena de mitjana daurada.
- Seguretat de nivell XNUMX: les unitats USB certificades de nivell XNUMX requereixen almenys un algorisme de xifratge o una altra funció de seguretat.
- El segon nivell de seguretat: aquí la unitat es requereix no només per proporcionar protecció criptogràfica, sinó també per detectar intrusions no autoritzades a nivell de microprogramari si algú intenta obrir la unitat.
- El tercer nivell de seguretat: consisteix a prevenir la pirateria mitjançant la destrucció de "claus" d'encriptació. És a dir, cal una resposta als intents de penetració. A més, el tercer nivell garanteix un nivell més alt de protecció contra les interferències electromagnètiques: és a dir, la lectura de dades d'una unitat flaix amb dispositius de pirateria sense fil no funcionarà.
- El quart nivell de seguretat: el nivell més alt, que implica una protecció completa del mòdul criptogràfic, que proporciona la màxima probabilitat de detecció i contraresta davant qualsevol intent d'accés no autoritzat per part d'un usuari no autoritzat. Les unitats flash que han rebut un certificat de quart nivell també inclouen opcions de protecció que no permeten la pirateria mitjançant el canvi de voltatge i temperatura ambient.
Les següents unitats Kingston estan certificades per a FIPS 140-2 Nivell 2000: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. La característica clau d'aquestes unitats és la seva capacitat de respondre a un intent d'intrusió: si la contrasenya s'introdueix incorrectament XNUMX vegades, les dades de la unitat es destruiran.
Què més poden fer les unitats flash Kingston a més del xifratge?
Quan es tracta de la seguretat total de les dades, juntament amb el xifratge de maquinari de les unitats flaix, els antivirus integrats, la protecció contra influències externes, la sincronització amb núvols personals i altres funcions que parlarem a continuació vénen al rescat. No hi ha una gran diferència en les unitats flash amb xifratge de programari. El diable està en els detalls. I aquí hi ha què.
1. Kingston DataTraveler 2000
Prenguem per exemple una unitat USB. . Aquesta és una de les unitats flash amb xifratge de maquinari, però alhora l'única amb el seu propi teclat físic a la carcassa. Aquest teclat d'11 botons fa que el DT2000 sigui completament independent dels sistemes host (per utilitzar el DataTraveler 2000, heu de prémer el botó Clau, després introduir la vostra contrasenya i tornar a prémer el botó Clau). A més, aquesta unitat flaix té un grau de protecció IP57 contra l'aigua i la pols (sorprenentment, Kingston no ho indica enlloc a l'embalatge ni a les especificacions del lloc web oficial).
Hi ha una bateria de polímer de liti de 2000 mAh dins del DataTraveler 40, i Kingston aconsella als compradors que connectin la unitat a un port USB durant almenys una hora abans d'utilitzar-la per permetre que la bateria es carregui. Per cert, en un dels materials anteriors : No hi ha motius per preocupar-se: la unitat flaix no està activada al carregador perquè el sistema no hi ha sol·licituds al controlador. Per tant, ningú us robarà les vostres dades mitjançant intrusions sense fil.
2. Kingston DataTraveler Locker+ G3
Si parlem del model Kingston – crida l'atenció amb la possibilitat de configurar una còpia de seguretat de dades des d'una unitat flaix a l'emmagatzematge al núvol de Google, OneDrive, Amazon Cloud o Dropbox. També es proporciona sincronització de dades amb aquests serveis.
Una de les preguntes que ens fan els nostres lectors és: "Però com treure dades xifrades d'una còpia de seguretat?" Molt simple. El fet és que quan es sincronitza amb el núvol, la informació es desxifra i la protecció de la còpia de seguretat al núvol depèn de les capacitats del mateix núvol. Per tant, aquests procediments es realitzen únicament a criteri de l'usuari. Sense el seu permís, no es penjaran dades al núvol.
3. Kingston DataTraveler Vault Privadesa 3.0
Però els dispositius de Kingston També inclouen l'antivirus Drive Security d'ESET. Aquest últim protegeix les dades de la invasió d'una unitat USB per virus, programari espia, troians, cucs, rootkits i la connexió a ordinadors d'altres persones, es podria dir, no té por. L'antivirus advertirà a l'instant el propietari de la unitat sobre possibles amenaces, si es detecta. En aquest cas, l'usuari no necessita instal·lar ell mateix programari antivirus i pagar per aquesta opció. ESET Drive Security està preinstal·lat en una unitat flaix amb una llicència de cinc anys.
Kingston DT Vault Privacy 3.0 està dissenyat i s'adreça principalment als professionals de TI. Permet als administradors utilitzar-lo com a unitat autònoma o afegir-lo com a part d'una solució de gestió centralitzada, i també es pot utilitzar per configurar o restablir contrasenyes de manera remota i configurar polítiques de dispositius. Kingston fins i tot va afegir USB 3.0, que us permet transferir dades segures molt més ràpidament que USB 2.0.
En general, DT Vault Privacy 3.0 és una excel·lent opció per al sector corporatiu i les organitzacions que requereixen la màxima protecció de les seves dades. També es pot recomanar a tots els usuaris que utilitzen ordinadors situats en xarxes públiques.
Per obtenir més informació sobre els productes de Kingston, poseu-vos en contacte amb .
Font: www.habr.com