Dobrý den, Habr! V komentářích k jednomu z našich čtenáři položili zajímavou otázku: „Proč potřebujete flash disk s hardwarovým šifrováním, když je k dispozici TrueCrypt?“ – a dokonce vyjádřili určité obavy ohledně „Jak se můžete ujistit, že v softwaru a hardwaru disku Kingston nejsou žádné záložky? ?" Na tyto otázky jsme odpověděli stručně, ale pak jsme se rozhodli, že téma si zaslouží fundamentální analýzu. To je to, co uděláme v tomto příspěvku.
Hardwarové šifrování AES, stejně jako softwarové šifrování, existuje již dlouho, ale jak přesně chrání citlivá data na flash discích? Kdo certifikuje takové disky a lze těmto certifikacím věřit? Kdo potřebuje takové „složité“ flash disky, pokud můžete používat bezplatné programy jako TrueCrypt nebo BitLocker. Jak vidíte, téma položené v komentářích vyvolává opravdu mnoho otázek. Zkusme na to všechno přijít.
Jak se liší hardwarové šifrování od softwarového šifrování?
V případě flash disků (stejně jako HDD a SSD) se k implementaci hardwarového šifrování dat používá speciální čip umístěný na obvodové desce zařízení. Má vestavěný generátor náhodných čísel, který generuje šifrovací klíče. Data jsou automaticky šifrována a okamžitě dešifrována, když zadáte své uživatelské heslo. V tomto scénáři je téměř nemožné získat přístup k datům bez hesla.
Při použití softwarového šifrování zajišťuje „uzamykání“ dat na disku externí software, který funguje jako levná alternativa k metodám hardwarového šifrování. Nevýhody takového softwaru mohou zahrnovat banální požadavek na pravidelné aktualizace s cílem nabídnout odolnost vůči neustále se zlepšujícím hackerským technikám. Kromě toho se k dešifrování dat používá výkon počítačového procesu (spíše než samostatný hardwarový čip) a úroveň ochrany počítače ve skutečnosti určuje úroveň ochrany disku.
Hlavním rysem disků s hardwarovým šifrováním je samostatný kryptografický procesor, jehož přítomnost nám říká, že šifrovací klíče nikdy neopouštějí USB disk, na rozdíl od softwarových klíčů, které mohou být dočasně uloženy v paměti RAM nebo na pevném disku počítače. A protože softwarové šifrování používá paměť počítače k ukládání počtu pokusů o přihlášení, nemůže zastavit útoky hrubou silou na heslo nebo klíč. Počítadlo pokusů o přihlášení může útočník průběžně resetovat, dokud program pro automatické prolomení hesla nenajde požadovanou kombinaci.
Mimochodem..., v komentářích k článku “„Uživatelé si také všimli, že například program TrueCrypt má přenosný provozní režim. To však není velká výhoda. Faktem je, že v tomto případě je šifrovací program uložen v paměti flash disku, což jej činí zranitelnějším vůči útokům.
Sečteno a podtrženo: softwarový přístup neposkytuje tak vysokou úroveň zabezpečení jako šifrování AES. Je to spíše základní obrana. Na druhou stranu je softwarové šifrování důležitých dat stále lepší než žádné šifrování. A tato skutečnost nám umožňuje jasně rozlišovat mezi těmito typy kryptografie: hardwarové šifrování flash disků je nutností spíše pro podnikový sektor (například když zaměstnanci společnosti používají disky vydané v práci); a software je vhodnější pro potřeby uživatelů.
Kingston však své modely disků (například IronKey S1000) rozděluje na verze Basic a Enterprise. Z hlediska funkčnosti a ochranných vlastností jsou navzájem téměř totožné, ale firemní verze nabízí možnost spravovat disk pomocí softwaru SafeConsole/IronKey EMS. S tímto softwarem disk spolupracuje buď s cloudovými nebo místními servery, aby na dálku vynutil ochranu heslem a zásady přístupu. Uživatelé mají možnost obnovit ztracená hesla a správci mohou přepínat disky, které se již nepoužívají, na nové úkoly.
Jak fungují flash disky Kingston se šifrováním AES?
Kingston používá 256bitové hardwarové šifrování AES-XTS (pomocí volitelného klíče plné délky) pro všechny své zabezpečené disky. Jak jsme poznamenali výše, flash disky obsahují ve své součástkové základně samostatný čip pro šifrování a dešifrování dat, který funguje jako neustále aktivní generátor náhodných čísel.
Když připojíte zařízení k portu USB poprvé, Průvodce nastavením inicializace vás vyzve k nastavení hlavního hesla pro přístup k zařízení. Po aktivaci disku začnou šifrovací algoritmy automaticky pracovat v souladu s preferencemi uživatele.
Zároveň pro uživatele zůstane princip fungování flash disku nezměněn - stále bude moci stahovat a umisťovat soubory do paměti zařízení, jako při práci s běžným USB flash diskem. Jediný rozdíl je v tom, že když připojíte flash disk k novému počítači, budete muset zadat nastavené heslo, abyste získali přístup ke svým informacím.
Proč a kdo potřebuje flash disky s hardwarovým šifrováním?
Pro organizace, kde jsou citlivá data součástí podnikání (ať už jde o finance, zdravotnictví nebo státní správu), je šifrování nejspolehlivějším prostředkem ochrany. Hardwarové šifrování AES je škálovatelné řešení, které může použít každá společnost: od jednotlivců a malých podniků až po velké korporace, stejně jako vojenské a vládní organizace. Chcete-li se na tento problém podívat trochu konkrétněji, je nutné používat šifrované jednotky USB:
- Pro zajištění bezpečnosti důvěrných firemních dat
- K ochraně informací o zákaznících
- Chránit firmy před ztrátou zisku a loajality zákazníků
Stojí za zmínku, že někteří výrobci zabezpečených flash disků (včetně Kingstonu) poskytují společnostem přizpůsobená řešení navržená tak, aby vyhovovala potřebám a cílům zákazníků. Ale sériově vyráběné řady (včetně flash disků DataTraveler) si se svými úkoly poradí dokonale a jsou schopny poskytnout zabezpečení na podnikové úrovni.
1. Zajištění bezpečnosti důvěrných firemních dat
V roce 2017 objevil obyvatel Londýna v jednom z parků USB disk, který obsahoval heslem nechráněné informace související s bezpečností letiště Heathrow, včetně umístění sledovacích kamer a podrobných informací o bezpečnostních opatřeních v případě příletu vysoce postavení úředníci. Flash disk také obsahoval údaje o elektronických průkazech a přístupových kódech do zakázaných oblastí letiště.
Analytici tvrdí, že důvodem těchto situací je kybernetická negramotnost zaměstnanců společnosti, kteří mohou „uniknout“ tajná data vlastní nedbalostí. Flash disky s hardwarovým šifrováním tento problém částečně řeší, protože při ztrátě takového disku se bez hlavního hesla stejného bezpečnostního úředníka k datům na něm nedostanete. V žádném případě to nevyvrací fakt, že zaměstnanci musí být vyškoleni k manipulaci s flash disky, i když se bavíme o zařízeních chráněných šifrováním.
2. Ochrana informací o zákaznících
Ještě důležitějším úkolem každé organizace je péče o zákaznická data, která by neměla podléhat riziku kompromitace. Mimochodem, právě tyto informace jsou nejčastěji přenášeny mezi různými obchodními odvětvími a jsou zpravidla důvěrné: mohou například obsahovat údaje o finančních transakcích, anamnéze atd.
3. Ochrana před ztrátou zisku a věrností zákazníků
Používání zařízení USB s hardwarovým šifrováním může pomoci zabránit zničujícím následkům pro organizace. Společnosti, které poruší zákony na ochranu osobních údajů, mohou být pokutovány vysokými částkami. Proto je třeba si položit otázku: má cenu podstupovat riziko sdílení informací bez řádné ochrany?
I bez zohlednění finančního dopadu může být množství času a zdrojů vynaložených na nápravu bezpečnostních chyb, které se vyskytnou, stejně významné. Navíc, pokud únik dat ohrozí zákaznická data, společnost riskuje věrnost značce, zejména na trzích, kde existují konkurenti nabízející podobný produkt nebo službu.
Kdo zaručuje absenci „záložek“ od výrobce při použití flash disků s hardwarovým šifrováním?
V tématu, které jsme nastolili, je tato otázka možná jednou z hlavních. Mezi komentáři k článku o discích Kingston DataTraveler jsme narazili na další zajímavou otázku: „Mají vaše zařízení audity od nezávislých specialistů třetích stran?“ No... je to logický zájem: uživatelé se chtějí ujistit, že naše USB disky neobsahují běžné chyby, jako je slabé šifrování nebo schopnost obejít zadání hesla. A v této části článku si povíme, jaké certifikační procedury podstupují disky Kingston, než získají status skutečně bezpečných flash disků.
Kdo garantuje spolehlivost? Mohlo by se zdát, že bychom mohli říci, že „Kingston to vyrobil – to zaručuje.“ V tomto případě však bude takové prohlášení nesprávné, protože výrobce je zainteresovanou stranou. Proto jsou všechny produkty testovány třetí stranou s nezávislými odbornými znalostmi. Zejména hardwarově šifrované disky Kingston (s výjimkou DTLPG3) jsou účastníky programu Cryptographic Module Validation Program (CMVP) a jsou certifikovány podle Federal Information Processing Standard (FIPS). Pohony jsou také certifikovány podle standardů GLBA, HIPPA, HITECH, PCI a GTSA.
1. Program pro ověřování kryptografických modulů
Program CMVP je společným projektem Národního institutu pro standardy a technologie Ministerstva obchodu USA a Kanadského centra kybernetické bezpečnosti. Cílem projektu je stimulovat poptávku po osvědčených kryptografických zařízeních a poskytovat bezpečnostní metriky federálním agenturám a regulovaným průmyslovým odvětvím (jako jsou finanční a zdravotnické instituce), které se používají při nákupu zařízení.
Zařízení jsou testována podle souboru kryptografických a bezpečnostních požadavků nezávislými laboratořemi pro testování kryptografie a bezpečnosti akreditovanými Národním programem akreditace dobrovolných laboratoří (NVLAP). Zároveň je u každé laboratorní zprávy kontrolována shoda s Federal Information Processing Standard (FIPS) 140-2 a potvrzena CMVP.
Moduly ověřené jako kompatibilní s FIPS 140-2 jsou doporučeny pro použití federálními agenturami USA a Kanady do 22. září 2026. Poté budou zařazeny do seznamu archivů, i když je bude možné nadále používat. Dne 22. září 2020 skončilo přijímání žádostí o validaci dle standardu FIPS 140-3. Jakmile zařízení projdou kontrolami, budou na pět let přesunuta do aktivního seznamu testovaných a důvěryhodných zařízení. Pokud kryptografické zařízení neprojde ověřením, jeho použití ve vládních agenturách ve Spojených státech a Kanadě se nedoporučuje.
2. Jaké bezpečnostní požadavky klade certifikace FIPS?
Hackovat data i z necertifikovaného šifrovaného disku je obtížné a málokdo to dokáže, takže když si vyberete spotřebitelský disk pro domácí použití s certifikací, nemusíte se obtěžovat. Ve firemním sektoru je situace jiná: při výběru bezpečných USB disků firmy často přikládají důležitost úrovním certifikace FIPS. Ne každý však má jasnou představu o tom, co tyto úrovně znamenají.
Současný standard FIPS 140-2 definuje čtyři různé úrovně zabezpečení, které mohou flash disky splňovat. První úroveň poskytuje mírnou sadu bezpečnostních funkcí. Čtvrtá úroveň znamená přísné požadavky na vlastní ochranu zařízení. Úrovně dva a tři poskytují gradaci těchto požadavků a tvoří jakousi zlatou střední cestu.
- Zabezpečení úrovně XNUMX: Jednotky USB s certifikací úrovně XNUMX vyžadují alespoň jeden šifrovací algoritmus nebo jinou bezpečnostní funkci.
- Druhá úroveň zabezpečení: zde je disk vyžadován nejen k zajištění kryptografické ochrany, ale také k detekci neoprávněného vniknutí na úrovni firmwaru, pokud se někdo pokusí disk otevřít.
- Třetí úroveň zabezpečení: zahrnuje prevenci hackerů zničením šifrovacích „klíčů“. To znamená, že je vyžadována reakce na pokusy o průnik. Třetí úroveň také zaručuje vyšší úroveň ochrany před elektromagnetickým rušením: to znamená, že čtení dat z flash disku pomocí bezdrátových hackerských zařízení nebude fungovat.
- Čtvrtá úroveň zabezpečení: nejvyšší úroveň, která zahrnuje kompletní ochranu kryptografického modulu, která poskytuje maximální pravděpodobnost detekce a bránění případným pokusům o neoprávněný přístup neoprávněným uživatelem. Flash disky, které získaly certifikát čtvrté úrovně, obsahují také možnosti ochrany, které neumožňují hackování změnou napětí a okolní teploty.
Následující disky Kingston jsou certifikovány podle FIPS 140-2 Level 2000: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. Klíčovou vlastností těchto disků je jejich schopnost reagovat na pokus o narušení: pokud je heslo zadáno XNUMXkrát nesprávně, data na disku budou zničena.
Co dalšího umí flash disky Kingston kromě šifrování?
Pokud jde o kompletní zabezpečení dat, přichází na pomoc hardwarové šifrování flash disků, vestavěné antiviry, ochrana před vnějšími vlivy, synchronizace s osobními cloudy a další funkce, o kterých se budeme bavit níže. U flash disků se softwarovým šifrováním není velký rozdíl. Ďábel je v detailech. A tady je co.
1. Kingston DataTraveler 2000
Vezměme si například USB disk. . Jedná se o jeden z flash disků s hardwarovým šifrováním, ale zároveň jediný s vlastní fyzickou klávesnicí na pouzdře. Tato 11tlačítková klávesnice činí DT2000 zcela nezávislým na hostitelských systémech (pro použití DataTraveler 2000 musíte stisknout tlačítko Key, poté zadat heslo a znovu stisknout tlačítko Key). Tento flash disk má navíc krytí IP57 proti vodě a prachu (Kingston to překvapivě nikde neuvádí ani na obalu, ani ve specifikacích na oficiálních stránkách).
Uvnitř DataTraveler 2000 je lithium-polymerová baterie o kapacitě 40 mAh a společnost Kingston doporučuje kupujícím, aby před použitím disk alespoň na hodinu připojili k portu USB, aby se baterie mohla nabít. Mimochodem v jednom z předchozích materiálů : Není důvod k obavám - flash disk není v nabíječce aktivován, protože systém nemá žádné požadavky na ovladač. Proto vám nikdo neukradne vaše data prostřednictvím bezdrátových průniků.
2. Kingston DataTraveler Locker+ G3
Pokud mluvíme o modelu Kingston – zaujme možností nakonfigurovat zálohování dat z flash disku do cloudového úložiště Google, OneDrive, Amazon Cloud nebo Dropbox. Je zajištěna i synchronizace dat s těmito službami.
Jedna z otázek, na kterou se nás naši čtenáři ptají, je: "Jak ale vzít šifrovaná data ze zálohy?" Velmi jednoduché. Faktem je, že při synchronizaci s cloudem jsou informace dešifrovány a ochrana zálohování v cloudu závisí na schopnostech samotného cloudu. Proto jsou takové postupy prováděny výhradně na uvážení uživatele. Bez jeho svolení nebudou do cloudu nahrána žádná data.
3. Kingston DataTraveler Vault Privacy 3.0
Ale zařízení Kingston Dodávají se také s vestavěným antivirem Drive Security od společnosti ESET. Ten chrání data před napadením USB disku viry, spywarem, trojskými koni, červy, rootkity a připojením k cizím počítačům, dalo by se říci, nebojí se. Antivirus okamžitě upozorní vlastníka disku na potenciální hrozby, pokud jsou nějaké zjištěny. V tomto případě uživatel nemusí sám instalovat antivirový software a platit za tuto možnost. ESET Drive Security je předinstalován na flash disku s pětiletou licencí.
Kingston DT Vault Privacy 3.0 je navržen a zaměřen především na IT profesionály. Umožňuje správcům jej používat jako samostatný disk nebo jej přidat jako součást řešení centralizované správy a lze jej také použít ke konfiguraci nebo vzdálenému resetování hesel a konfiguraci zásad zařízení. Kingston dokonce přidal USB 3.0, které umožňuje přenášet zabezpečená data mnohem rychleji než USB 2.0.
Celkově je DT Vault Privacy 3.0 vynikající volbou pro firemní sektor a organizace, které vyžadují maximální ochranu svých dat. Lze jej doporučit i všem uživatelům, kteří používají počítače umístěné ve veřejných sítích.
Pro více informací o produktech Kingston kontaktujte .
Zdroj: www.habr.com