Hola, Habr! En els comentaris a un dels nostres
El xifratge de maquinari AES, com el xifratge de programari, fa molt de temps que existeix, però com protegeix exactament les dades sensibles a les unitats flash? Qui certifica aquestes unitats i es poden confiar en aquestes certificacions? Qui necessita unitats flash tan "complexes" si podeu utilitzar programes gratuïts com TrueCrypt o BitLocker. Com podeu veure, el tema plantejat als comentaris realment planteja moltes preguntes. Intentem esbrinar-ho tot.
En què difereix el xifratge de maquinari del xifratge de programari?
En el cas de les unitats flash (així com els HDD i SSD), s'utilitza un xip especial situat a la placa de circuits del dispositiu per implementar el xifratge de dades de maquinari. Té un generador de números aleatoris integrat que genera claus de xifratge. Les dades es xifren automàticament i es desencripten a l'instant quan introduïu la vostra contrasenya d'usuari. En aquest escenari, és gairebé impossible accedir a les dades sense una contrasenya.
Quan s'utilitza el xifratge de programari, el "bloqueig" de les dades a la unitat es proporciona un programari extern, que actua com una alternativa de baix cost als mètodes de xifratge de maquinari. Els desavantatges d'aquest programari poden incloure el requisit banal d'actualitzacions periòdiques per tal d'oferir resistència a les tècniques de pirateria cada vegada millorades. A més, la potència d'un procés informàtic (en lloc d'un xip de maquinari separat) s'utilitza per desxifrar dades i, de fet, el nivell de protecció de l'ordinador determina el nivell de protecció de la unitat.
La característica principal de les unitats amb xifratge de maquinari és un processador criptogràfic independent, la presència del qual ens indica que les claus de xifratge mai surten de la unitat USB, a diferència de les claus de programari que es poden emmagatzemar temporalment a la memòria RAM o al disc dur de l'ordinador. I com que el xifratge del programari utilitza la memòria del PC per emmagatzemar el nombre d'intents d'inici de sessió, no pot aturar els atacs de força bruta a una contrasenya o clau. Un atacant pot restablir contínuament el comptador d'intents d'inici de sessió fins que el programa automàtic de trencament de contrasenyes trobi la combinació desitjada.
Per cert..., als comentaris a l'article “
Conclusió: l'enfocament del programari no ofereix un nivell de seguretat tan alt com el xifratge AES. És més aviat una defensa bàsica. D'altra banda, el xifratge de programari de dades importants encara és millor que no encriptar. I aquest fet ens permet distingir clarament entre aquests tipus de criptografia: el xifrat per maquinari de les unitats flash és una necessitat, més aviat, per al sector corporatiu (per exemple, quan els empleats de l'empresa utilitzen unitats emeses a la feina); i el programari és més adequat per a les necessitats dels usuaris.
Tanmateix, Kingston divideix els seus models d'unitat (per exemple, IronKey S1000) en versions Basic i Enterprise. Pel que fa a la funcionalitat i les propietats de protecció, són gairebé idèntiques entre si, però la versió corporativa ofereix la possibilitat de gestionar la unitat mitjançant el programari SafeConsole/IronKey EMS. Amb aquest programari, la unitat funciona amb servidors locals o en núvol per aplicar de forma remota les polítiques d'accés i protecció de contrasenya. Els usuaris tenen l'oportunitat de recuperar les contrasenyes perdudes i els administradors poden canviar les unitats que ja no s'utilitzen a tasques noves.
Com funcionen les unitats flash Kingston amb xifratge AES?
Kingston utilitza el xifratge de maquinari AES-XTS de 256 bits (utilitzant una clau de longitud completa opcional) per a totes les seves unitats segures. Com hem assenyalat anteriorment, les unitats flash contenen a la seva base de components un xip separat per a xifrar i desxifrar dades, que actua com a generador de números aleatoris constantment actiu.
Quan connecteu un dispositiu a un port USB per primera vegada, l'assistent de configuració d'inicialització us demanarà que establiu una contrasenya mestra per accedir al dispositiu. Després d'activar la unitat, els algorismes de xifratge començaran a funcionar automàticament d'acord amb les preferències de l'usuari.
Al mateix temps, per a l'usuari, el principi de funcionament de la unitat flaix es mantindrà sense canvis: encara podrà descarregar i col·locar fitxers a la memòria del dispositiu, com quan es treballa amb una unitat flaix USB normal. L'única diferència és que quan connecteu la unitat flaix a un ordinador nou, haureu d'introduir la contrasenya establerta per accedir a la vostra informació.
Per què i qui necessita unitats flash amb xifratge de maquinari?
Per a les organitzacions on les dades sensibles formen part del negoci (ja siguin financeres, sanitàries o governamentals), el xifratge és el mitjà de protecció més fiable.
- Per garantir la seguretat de les dades confidencials de l'empresa
- Per protegir la informació del client
- Protegir les empreses de la pèrdua de beneficis i la fidelització dels clients
Val la pena assenyalar que alguns fabricants de unitats flash segures (inclòs Kingston) ofereixen a les corporacions solucions personalitzades dissenyades per satisfer les necessitats i objectius dels clients. Però les línies produïdes en massa (incloses les unitats flash DataTraveler) s'enfronten perfectament a les seves tasques i són capaces de proporcionar seguretat de classe corporativa.
1. Garantir la seguretat de les dades confidencials de l'empresa
L'any 2017, un resident de Londres va descobrir una unitat USB en un dels parcs que contenia informació no protegida amb contrasenya relacionada amb la seguretat de l'aeroport d'Heathrow, inclosa la ubicació de les càmeres de vigilància i informació detallada sobre les mesures de seguretat en cas de l'arribada de alts càrrecs. La unitat flaix també contenia dades sobre passis electrònics i codis d'accés a zones restringides de l'aeroport.
Els analistes diuen que el motiu d'aquestes situacions és l'analfabetisme cibernètic dels empleats de l'empresa, que poden "filtrar" dades secretes per la seva pròpia negligència. Les unitats flaix amb xifratge de maquinari solucionen parcialment aquest problema, ja que si es perd una unitat d'aquest tipus, no podreu accedir a les dades d'ella sense la contrasenya mestra del mateix responsable de seguretat. En qualsevol cas, això no nega que els empleats hagin d'estar entrenats per manejar unitats flash, encara que parlem de dispositius protegits per xifratge.
2. Protecció de la informació del client
Una tasca encara més important per a qualsevol organització és tenir cura de les dades dels clients, que no haurien d'estar subjectes al risc de compromís. Per cert, aquesta informació és la que més sovint es transfereix entre diferents sectors empresarials i, per regla general, és confidencial: per exemple, pot contenir dades sobre transaccions financeres, historial mèdic, etc.
3. Protecció contra la pèrdua de beneficis i la fidelització dels clients
L'ús de dispositius USB amb xifratge de maquinari pot ajudar a prevenir conseqüències devastadores per a les organitzacions. Les empreses que infringeixen les lleis de protecció de dades personals poden ser multades amb grans quantitats. Per tant, cal fer-se la pregunta: val la pena córrer el risc de compartir informació sense la protecció adequada?
Fins i tot sense tenir en compte l'impacte financer, la quantitat de temps i recursos invertits per corregir errors de seguretat que es produeixen pot ser igual d'important. A més, si una violació de dades compromet les dades dels clients, l'empresa corre el risc de fidelitzar la marca, especialment en mercats on hi ha competidors que ofereixen un producte o servei similar.
Qui garanteix l'absència de "adreces d'interès" del fabricant quan s'utilitzen unitats flash amb xifratge de maquinari?
En el tema que hem plantejat, aquesta pregunta és potser una de les principals. Entre els comentaris a l'article sobre les unitats Kingston DataTraveler, vam trobar una altra pregunta interessant: "Els vostres dispositius tenen auditories d'especialistes independents de tercers?" Bé... és un interès lògic: els usuaris volen assegurar-se que les nostres unitats USB no contenen errors habituals, com ara un xifrat dèbil o la possibilitat de saltar l'entrada de contrasenyes. I en aquesta part de l'article parlarem de quins procediments de certificació es sotmeten a les unitats Kingston abans de rebre l'estat de unitats flash realment segures.
Qui garanteix la fiabilitat? Sembla que bé podríem dir que "Kingston ho va fer, ho garanteix". Però en aquest cas, aquesta afirmació serà incorrecta, ja que el fabricant és una part interessada. Per tant, tots els productes són provats per un tercer amb experiència independent. En particular, les unitats xifrades amb maquinari de Kingston (a excepció de DTLPG3) participen en el Programa de validació de mòduls criptogràfics (CMVP) i estan certificades segons l'estàndard federal de processament de la informació (FIPS). Les unitats també estan certificades segons els estàndards GLBA, HIPPA, HITECH, PCI i GTSA.
1. Programa de validació de mòduls criptogràfics
El programa CMVP és un projecte conjunt de l'Institut Nacional d'Estàndards i Tecnologia del Departament de Comerç dels Estats Units i el Centre de Ciberseguretat del Canadà. L'objectiu del projecte és estimular la demanda de dispositius criptogràfics provats i proporcionar mètriques de seguretat a les agències federals i les indústries regulades (com les institucions financeres i sanitàries) que s'utilitzen en la compra d'equips.
Els dispositius es posen a prova amb un conjunt de requisits criptogràfics i de seguretat per laboratoris independents de criptografia i proves de seguretat acreditats pel Programa Nacional d'Acreditació de Laboratoris Voluntaris (NVLAP). Al mateix temps, cada informe de laboratori es comprova el compliment de l'estàndard federal de processament d'informació (FIPS) 140-2 i es confirma pel CMVP.
Els mòduls verificats com a compatibles amb FIPS 140-2 es recomana que les agències federals dels Estats Units i el Canadà l'utilitzin fins al 22 de setembre de 2026. Després d'això, s'inclouran a la llista d'arxius, tot i que encara es podran utilitzar. El 22 de setembre de 2020 va finalitzar l'acceptació de sol·licituds de validació segons l'estàndard FIPS 140-3. Un cop els dispositius superin les comprovacions, es traslladaran a la llista activa de dispositius provats i de confiança durant cinc anys. Si un dispositiu criptogràfic no passa la verificació, no es recomana el seu ús a les agències governamentals dels Estats Units i el Canadà.
2. Quins requisits de seguretat imposa la certificació FIPS?
La pirateria de dades fins i tot d'una unitat xifrada no certificada és difícil i poca gent ho pot fer, de manera que quan escolliu una unitat de consum per a ús domèstic amb certificació, no us haureu de molestar. Al sector corporatiu, la situació és diferent: a l'hora de triar unitats USB segures, les empreses sovint donen importància als nivells de certificació FIPS. Tanmateix, no tothom té una idea clara del que signifiquen aquests nivells.
L'estàndard FIPS 140-2 actual defineix quatre nivells de seguretat diferents que poden complir les unitats flash. El primer nivell ofereix un conjunt moderat de funcions de seguretat. El quart nivell implica requisits estrictes per a l'autoprotecció dels dispositius. Els nivells dos i tres proporcionen una gradació d'aquests requisits i formen una mena de mitjana daurada.
- Seguretat de nivell XNUMX: les unitats USB certificades de nivell XNUMX requereixen almenys un algorisme de xifratge o una altra funció de seguretat.
- El segon nivell de seguretat: aquí la unitat es requereix no només per proporcionar protecció criptogràfica, sinó també per detectar intrusions no autoritzades a nivell de microprogramari si algú intenta obrir la unitat.
- El tercer nivell de seguretat: consisteix a prevenir la pirateria mitjançant la destrucció de "claus" d'encriptació. És a dir, cal una resposta als intents de penetració. A més, el tercer nivell garanteix un nivell més alt de protecció contra les interferències electromagnètiques: és a dir, la lectura de dades d'una unitat flaix amb dispositius de pirateria sense fil no funcionarà.
- El quart nivell de seguretat: el nivell més alt, que implica una protecció completa del mòdul criptogràfic, que proporciona la màxima probabilitat de detecció i contraresta davant qualsevol intent d'accés no autoritzat per part d'un usuari no autoritzat. Les unitats flash que han rebut un certificat de quart nivell també inclouen opcions de protecció que no permeten la pirateria mitjançant el canvi de voltatge i temperatura ambient.
Les següents unitats Kingston estan certificades per a FIPS 140-2 Nivell 2000: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. La característica clau d'aquestes unitats és la seva capacitat de respondre a un intent d'intrusió: si la contrasenya s'introdueix incorrectament XNUMX vegades, les dades de la unitat es destruiran.
Què més poden fer les unitats flash Kingston a més del xifratge?
Quan es tracta de la seguretat total de les dades, juntament amb el xifratge de maquinari de les unitats flaix, els antivirus integrats, la protecció contra influències externes, la sincronització amb núvols personals i altres funcions que parlarem a continuació vénen al rescat. No hi ha una gran diferència en les unitats flash amb xifratge de programari. El diable està en els detalls. I aquí hi ha què.
1. Kingston DataTraveler 2000
Prenguem per exemple una unitat USB.
Hi ha una bateria de polímer de liti de 2000 mAh dins del DataTraveler 40, i Kingston aconsella als compradors que connectin la unitat a un port USB durant almenys una hora abans d'utilitzar-la per permetre que la bateria es carregui. Per cert, en un dels materials anteriors
2. Kingston DataTraveler Locker+ G3
Si parlem del model Kingston
Una de les preguntes que ens fan els nostres lectors és: "Però com treure dades xifrades d'una còpia de seguretat?" Molt simple. El fet és que quan es sincronitza amb el núvol, la informació es desxifra i la protecció de la còpia de seguretat al núvol depèn de les capacitats del mateix núvol. Per tant, aquests procediments es realitzen únicament a criteri de l'usuari. Sense el seu permís, no es penjaran dades al núvol.
3. Kingston DataTraveler Vault Privadesa 3.0
Però els dispositius de Kingston
Kingston DT Vault Privacy 3.0 està dissenyat i s'adreça principalment als professionals de TI. Permet als administradors utilitzar-lo com a unitat autònoma o afegir-lo com a part d'una solució de gestió centralitzada, i també es pot utilitzar per configurar o restablir contrasenyes de manera remota i configurar polítiques de dispositius. Kingston fins i tot va afegir USB 3.0, que us permet transferir dades segures molt més ràpidament que USB 2.0.
En general, DT Vault Privacy 3.0 és una excel·lent opció per al sector corporatiu i les organitzacions que requereixen la màxima protecció de les seves dades. També es pot recomanar a tots els usuaris que utilitzen ordinadors situats en xarxes públiques.
Per obtenir més informació sobre els productes de Kingston, poseu-vos en contacte amb
Font: www.habr.com