Helo, Habr! Yn y sylwadau i un o'n gofynnodd darllenwyr gwestiwn diddorol: “Pam fod angen gyriant fflach arnoch chi gydag amgryptio caledwedd pan fydd TrueCrypt ar gael?” - a mynegodd hyd yn oed rai pryderon ynghylch “Sut allwch chi wneud yn siŵr nad oes nodau tudalen ym meddalwedd a chaledwedd gyriant Kingston ?" Fe wnaethom ateb y cwestiynau hyn yn gryno, ond yna penderfynasom fod y pwnc yn haeddu dadansoddiad sylfaenol. Dyma beth fyddwn ni'n ei wneud yn y post hwn.
Mae amgryptio caledwedd AES, fel amgryptio meddalwedd, wedi bod o gwmpas ers amser maith, ond sut yn union mae'n diogelu data sensitif ar yriannau fflach? Pwy sy'n ardystio gyriannau o'r fath, ac a ellir ymddiried yn yr ardystiadau hyn? Pwy sydd angen gyriannau fflach mor “gymhleth” os gallwch chi ddefnyddio rhaglenni rhad ac am ddim fel TrueCrypt neu BitLocker. Fel y gallwch weld, mae'r pwnc a ofynnir yn y sylwadau yn codi llawer o gwestiynau. Gadewch i ni geisio darganfod y cyfan.
Sut mae amgryptio caledwedd yn wahanol i amgryptio meddalwedd?
Yn achos gyriannau fflach (yn ogystal â HDDs ac SSDs), defnyddir sglodyn arbennig sydd wedi'i leoli ar fwrdd cylched y ddyfais i weithredu amgryptio data caledwedd. Mae ganddo generadur rhif ar hap adeiledig sy'n cynhyrchu allweddi amgryptio. Mae data'n cael ei amgryptio'n awtomatig a'i ddadgryptio ar unwaith pan fyddwch chi'n nodi'ch cyfrinair defnyddiwr. Yn y senario hwn, mae bron yn amhosibl cyrchu'r data heb gyfrinair.
Wrth ddefnyddio amgryptio meddalwedd, darperir “cloi” y data ar y gyriant gan feddalwedd allanol, sy'n gweithredu fel dewis cost isel yn lle dulliau amgryptio caledwedd. Gall anfanteision meddalwedd o'r fath gynnwys y gofyniad gwaharddol am ddiweddariadau rheolaidd er mwyn gallu gwrthsefyll technegau hacio sy'n gwella'n barhaus. Yn ogystal, defnyddir pŵer proses gyfrifiadurol (yn hytrach na sglodyn caledwedd ar wahân) i ddadgryptio data, ac, mewn gwirionedd, mae lefel amddiffyniad y PC yn pennu lefel amddiffyniad y gyriant.
Prif nodwedd gyriannau ag amgryptio caledwedd yw prosesydd cryptograffig ar wahân, y mae ei bresenoldeb yn dweud wrthym nad yw allweddi amgryptio byth yn gadael y gyriant USB, yn wahanol i allweddi meddalwedd y gellir eu storio dros dro yn RAM neu yriant caled y cyfrifiadur. Ac oherwydd bod amgryptio meddalwedd yn defnyddio cof PC i storio nifer yr ymdrechion mewngofnodi, ni all atal ymosodiadau grym 'n ysgrublaidd ar gyfrinair neu allwedd. Gall y cownter ymgais mewngofnodi gael ei ailosod yn barhaus gan ymosodwr nes bod y rhaglen gracio cyfrinair awtomatig yn dod o hyd i'r cyfuniad a ddymunir.
Gyda llaw..., yn y sylwadau i'r erthygl ““Nododd defnyddwyr hefyd, er enghraifft, fod gan y rhaglen TrueCrypt fodd gweithredu cludadwy. Fodd bynnag, nid yw hyn yn fantais fawr. Y ffaith yw bod y rhaglen amgryptio yn yr achos hwn yn cael ei storio er cof am y gyriant fflach, ac mae hyn yn ei gwneud yn fwy agored i ymosodiadau.
Gwaelod llinell: nid yw'r dull meddalwedd yn darparu lefel mor uchel o ddiogelwch ag amgryptio AES. Mae'n fwy o amddiffyniad sylfaenol. Ar y llaw arall, mae amgryptio meddalwedd o ddata pwysig yn dal yn well na dim amgryptio o gwbl. Ac mae'r ffaith hon yn ein galluogi i wahaniaethu'n glir rhwng y mathau hyn o cryptograffeg: mae amgryptio caledwedd o yriannau fflach yn anghenraid, yn hytrach, ar gyfer y sector corfforaethol (er enghraifft, pan fydd gweithwyr cwmni'n defnyddio gyriannau a gyhoeddir yn y gwaith); ac mae meddalwedd yn fwy addas ar gyfer anghenion defnyddwyr.
Fodd bynnag, mae Kingston yn rhannu ei fodelau gyriant (er enghraifft, IronKey S1000) yn fersiynau Sylfaenol a Menter. O ran ymarferoldeb ac eiddo amddiffyn, maent bron yn union yr un fath â'i gilydd, ond mae'r fersiwn gorfforaethol yn cynnig y gallu i reoli'r gyriant gan ddefnyddio meddalwedd SafeConsole/IronKey EMS. Gyda'r feddalwedd hon, mae'r gyriant yn gweithio gyda gweinyddwyr cwmwl neu leol i orfodi polisïau diogelu cyfrinair a mynediad o bell. Rhoddir cyfle i ddefnyddwyr adennill cyfrineiriau coll, ac mae gweinyddwyr yn gallu newid gyriannau nad ydynt bellach yn cael eu defnyddio i dasgau newydd.
Sut mae gyriannau fflach Kingston gydag amgryptio AES yn gweithio?
Mae Kingston yn defnyddio amgryptio caledwedd AES-XTS 256-did (gan ddefnyddio allwedd hyd llawn opsiynol) ar gyfer ei holl yriannau diogel. Fel y nodwyd uchod, mae gyriannau fflach yn cynnwys sglodyn ar wahân yn eu sylfaen gydrannau ar gyfer amgryptio a dadgryptio data, sy'n gweithredu fel generadur rhifau ar hap sy'n weithredol yn gyson.
Pan fyddwch chi'n cysylltu dyfais â phorth USB am y tro cyntaf, mae'r Dewin Gosod Cychwynnol yn eich annog i osod prif gyfrinair i gael mynediad i'r ddyfais. Ar ôl actifadu'r gyriant, bydd algorithmau amgryptio yn dechrau gweithio'n awtomatig yn unol â dewisiadau'r defnyddiwr.
Ar yr un pryd, i'r defnyddiwr, bydd egwyddor gweithredu'r gyriant fflach yn parhau heb ei newid - bydd yn dal i allu lawrlwytho a gosod ffeiliau yng nghof y ddyfais, fel wrth weithio gyda gyriant fflach USB rheolaidd. Yr unig wahaniaeth yw pan fyddwch chi'n cysylltu'r gyriant fflach â chyfrifiadur newydd, bydd angen i chi nodi'r cyfrinair gosodedig i gael mynediad i'ch gwybodaeth.
Pam a phwy sydd angen gyriannau fflach gydag amgryptio caledwedd?
Ar gyfer sefydliadau lle mae data sensitif yn rhan o'r busnes (boed yn ariannol, gofal iechyd neu lywodraeth), amgryptio yw'r dull mwyaf dibynadwy o ddiogelu. Mae amgryptio caledwedd AES yn ddatrysiad graddadwy y gellir ei ddefnyddio gan unrhyw gwmni: o unigolion a busnesau bach i gorfforaethau mawr, yn ogystal â sefydliadau milwrol a llywodraeth. I edrych ar y mater hwn ychydig yn fwy penodol, mae angen defnyddio gyriannau USB wedi'u hamgryptio:
- Er mwyn sicrhau diogelwch data cyfrinachol y cwmni
- Er mwyn diogelu gwybodaeth cwsmeriaid
- Diogelu cwmnïau rhag colli elw a theyrngarwch cwsmeriaid
Mae'n werth nodi bod rhai gweithgynhyrchwyr gyriannau fflach diogel (gan gynnwys Kingston) yn darparu atebion wedi'u teilwra i gorfforaethau sydd wedi'u cynllunio i ddiwallu anghenion ac amcanion cwsmeriaid. Ond mae'r llinellau masgynhyrchu (gan gynnwys gyriannau fflach DataTraveler) yn ymdopi'n berffaith â'u tasgau ac yn gallu darparu diogelwch dosbarth corfforaethol.
1. Sicrhau diogelwch data cyfrinachol y cwmni
Yn 2017, darganfu un o drigolion Llundain yriant USB yn un o'r parciau a oedd yn cynnwys gwybodaeth heb ei diogelu gan gyfrinair yn ymwneud â diogelwch Maes Awyr Heathrow, gan gynnwys lleoliad camerâu gwyliadwriaeth a gwybodaeth fanwl am fesurau diogelwch pe bai'n cyrraedd. swyddogion uchel eu statws. Roedd y gyriant fflach hefyd yn cynnwys data ar docynnau electronig a chodau mynediad i ardaloedd cyfyngedig o'r maes awyr.
Dywed dadansoddwyr mai’r rheswm am sefyllfaoedd o’r fath yw anllythrennedd seiber gweithwyr cwmni, sy’n gallu “gollwng” data cyfrinachol trwy eu hesgeulustod eu hunain. Mae gyriannau fflach ag amgryptio caledwedd yn datrys y broblem hon yn rhannol, oherwydd os collir gyriant o'r fath, ni fyddwch yn gallu cyrchu'r data arno heb brif gyfrinair yr un swyddog diogelwch. Beth bynnag, nid yw hyn yn negyddu'r ffaith bod yn rhaid i weithwyr gael eu hyfforddi i drin gyriannau fflach, hyd yn oed os ydym yn sôn am ddyfeisiau a ddiogelir gan amgryptio.
2. Diogelu gwybodaeth cwsmeriaid
Tasg bwysicach fyth i unrhyw sefydliad yw gofalu am ddata cwsmeriaid, na ddylai fod yn agored i'r risg o gyfaddawdu. Gyda llaw, y wybodaeth hon sy'n cael ei throsglwyddo amlaf rhwng gwahanol sectorau busnes ac, fel rheol, yn gyfrinachol: er enghraifft, gall gynnwys data ar drafodion ariannol, hanes meddygol, ac ati.
3. Amddiffyn rhag colli elw a theyrngarwch cwsmeriaid
Gall defnyddio dyfeisiau USB gydag amgryptio caledwedd helpu i atal canlyniadau dinistriol i sefydliadau. Gall cwmnïau sy'n torri cyfreithiau diogelu data personol gael dirwyon symiau mawr. Felly, rhaid gofyn y cwestiwn: a yw'n werth cymryd y risg o rannu gwybodaeth heb amddiffyniad priodol?
Hyd yn oed heb ystyried yr effaith ariannol, gall yr amser a'r adnoddau a dreulir yn cywiro bygiau diogelwch sy'n digwydd fod yr un mor arwyddocaol. Yn ogystal, os yw toriad data yn peryglu data cwsmeriaid, mae'r cwmni'n peryglu teyrngarwch brand, yn enwedig mewn marchnadoedd lle mae cystadleuwyr yn cynnig cynnyrch neu wasanaeth tebyg.
Pwy sy'n gwarantu absenoldeb “nodau tudalen” gan y gwneuthurwr wrth ddefnyddio gyriannau fflach gydag amgryptio caledwedd?
Yn y pwnc a godwyd gennym, efallai mai'r cwestiwn hwn yw un o'r prif rai. Ymhlith y sylwadau i’r erthygl am yriannau Kingston DataTraveler, daethom ar draws cwestiwn diddorol arall: “A oes gan eich dyfeisiau archwiliadau gan arbenigwyr annibynnol trydydd parti?” Wel... mae'n ddiddordeb rhesymegol: mae defnyddwyr eisiau sicrhau nad yw ein gyriannau USB yn cynnwys gwallau cyffredin, megis amgryptio gwan neu'r gallu i osgoi mynediad cyfrinair. Ac yn y rhan hon o'r erthygl byddwn yn siarad am ba weithdrefnau ardystio y mae gyriannau Kingston yn eu cyflawni cyn derbyn statws gyriannau fflach gwirioneddol ddiogel.
Pwy sy'n gwarantu dibynadwyedd? Mae'n ymddangos y gallem ddweud, “Kingston a'i gwnaeth - mae'n ei warantu.” Ond yn yr achos hwn, bydd datganiad o'r fath yn anghywir, gan fod y gwneuthurwr yn barti â diddordeb. Felly, mae pob cynnyrch yn cael ei brofi gan drydydd parti ag arbenigedd annibynnol. Yn benodol, mae gyriannau wedi'u hamgryptio â chaledwedd Kingston (ac eithrio DTLPG3) yn cymryd rhan yn y Rhaglen Dilysu Modiwlau Cryptograffig (CMVP) ac wedi'u hardystio i'r Safon Prosesu Gwybodaeth Ffederal (FIPS). Mae'r gyriannau hefyd wedi'u hardystio yn unol â safonau GLBA, HIPPA, HITECH, PCI a GTSA.
1. Rhaglen ddilysu modiwl cryptograffig
Mae'r rhaglen CMVP yn brosiect ar y cyd rhwng Sefydliad Cenedlaethol Safonau a Thechnoleg Adran Fasnach yr Unol Daleithiau a Chanolfan Seiberddiogelwch Canada. Nod y prosiect yw ysgogi galw am ddyfeisiau cryptograffig profedig a darparu metrigau diogelwch i asiantaethau ffederal a diwydiannau rheoledig (fel sefydliadau ariannol a gofal iechyd) a ddefnyddir wrth gaffael offer.
Caiff dyfeisiau eu profi yn erbyn set o ofynion cryptograffig a diogelwch gan labordai cryptograffeg a phrofi diogelwch annibynnol a achredir gan y Rhaglen Achredu Labordy Gwirfoddol Cenedlaethol (NVLAP). Ar yr un pryd, mae pob adroddiad labordy yn cael ei wirio i weld a yw'n cydymffurfio â Safon Prosesu Gwybodaeth Ffederal (FIPS) 140-2 a'i gadarnhau gan CMVP.
Argymhellir modiwlau a ddilyswyd fel rhai sy'n cydymffurfio â FIPS 140-2 i'w defnyddio gan asiantaethau ffederal yr Unol Daleithiau a Chanada trwy Fedi 22, 2026. Ar ôl hyn, byddant yn cael eu cynnwys yn y rhestr archifau, er y bydd modd eu defnyddio o hyd. Ar 22 Medi, 2020, daeth derbyn ceisiadau i'w dilysu yn unol â safon FIPS 140-3 i ben. Unwaith y bydd y dyfeisiau'n pasio'r gwiriadau, byddant yn cael eu symud i'r rhestr weithredol o ddyfeisiau sydd wedi'u profi ac y gellir ymddiried ynddynt am bum mlynedd. Os nad yw dyfais cryptograffig yn pasio dilysiad, ni argymhellir ei ddefnyddio mewn asiantaethau'r llywodraeth yn yr Unol Daleithiau a Chanada.
2. Pa ofynion diogelwch y mae ardystiad FIPS yn eu gosod?
Mae hacio data hyd yn oed o yriant wedi'i amgryptio heb ei ardystio yn anodd ac ychydig o bobl y gall ei wneud, felly wrth ddewis gyriant defnyddiwr i'w ddefnyddio gartref gydag ardystiad, nid oes rhaid i chi drafferthu. Yn y sector corfforaethol, mae'r sefyllfa'n wahanol: wrth ddewis gyriannau USB diogel, mae cwmnïau'n aml yn rhoi pwys ar lefelau ardystio FIPS. Fodd bynnag, nid oes gan bawb syniad clir o ystyr y lefelau hyn.
Mae'r safon FIPS 140-2 gyfredol yn diffinio pedair lefel ddiogelwch wahanol y gall gyriannau fflach eu bodloni. Mae'r lefel gyntaf yn darparu set gymedrol o nodweddion diogelwch. Mae'r bedwaredd lefel yn awgrymu gofynion llym ar gyfer hunan-amddiffyn dyfeisiau. Mae lefelau dau a thri yn rhoi gradd o'r gofynion hyn ac yn ffurfio rhyw fath o gymedr aur.
- Diogelwch Lefel XNUMX: Mae gyriannau USB ardystiedig Lefel XNUMX yn gofyn am o leiaf un algorithm amgryptio neu nodwedd ddiogelwch arall.
- Yr ail lefel o ddiogelwch: yma mae angen y gyriant nid yn unig i ddarparu amddiffyniad cryptograffig, ond hefyd i ganfod ymwthiadau anawdurdodedig ar lefel firmware os yw rhywun yn ceisio agor y gyriant.
- Y drydedd lefel o ddiogelwch: yn cynnwys atal hacio trwy ddinistrio “allweddi” amgryptio. Hynny yw, mae angen ymateb i ymdrechion treiddio. Hefyd, mae'r drydedd lefel yn gwarantu lefel uwch o amddiffyniad rhag ymyrraeth electromagnetig: hynny yw, ni fydd darllen data o yriant fflach gan ddefnyddio dyfeisiau hacio diwifr yn gweithio.
- Y bedwaredd lefel diogelwch: y lefel uchaf, sy'n cynnwys amddiffyniad llwyr y modiwl cryptograffig, sy'n darparu'r tebygolrwydd uchaf o ganfod a gwrthweithio i unrhyw ymgais mynediad heb awdurdod gan ddefnyddiwr anawdurdodedig. Mae gyriannau fflach sydd wedi derbyn tystysgrif pedwerydd lefel hefyd yn cynnwys opsiynau amddiffyn nad ydynt yn caniatáu hacio trwy newid y foltedd a'r tymheredd amgylchynol.
Mae'r gyriannau Kingston canlynol wedi'u hardystio i FIPS 140-2 Lefel 2000: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. Nodwedd allweddol y gyriannau hyn yw eu gallu i ymateb i ymgais ymyrraeth: os yw'r cyfrinair yn cael ei nodi'n anghywir XNUMX gwaith, bydd y data ar y gyriant yn cael ei ddinistrio.
Beth arall all gyriannau fflach Kingston ei wneud ar wahân i amgryptio?
O ran diogelwch data cyflawn, ynghyd ag amgryptio caledwedd o yriannau fflach, gwrthfeirysau adeiledig, amddiffyniad rhag dylanwadau allanol, cydamseru â chymylau personol a nodweddion eraill y byddwn yn eu trafod isod, dewch i'r adwy. Nid oes gwahaniaeth mawr mewn gyriannau fflach gydag amgryptio meddalwedd. Mae'r diafol yn y manylion. A dyma beth.
1. Kingston DataTraveler 2000
Gadewch i ni gymryd gyriant USB er enghraifft. . Dyma un o'r gyriannau fflach gydag amgryptio caledwedd, ond ar yr un pryd yr unig un sydd â'i fysellfwrdd corfforol ei hun ar yr achos. Mae'r bysellbad 11-botwm hwn yn gwneud y DT2000 yn gwbl annibynnol ar systemau gwesteiwr (i ddefnyddio'r DataTraveler 2000, rhaid i chi wasgu'r botwm Allwedd, yna rhowch eich cyfrinair, a gwasgwch y botwm Allwedd eto). Yn ogystal, mae gan y gyriant fflach hwn lefel IP57 o amddiffyniad rhag dŵr a llwch (yn syndod, nid yw Kingston yn nodi hyn yn unrhyw le naill ai ar y pecyn nac yn y manylebau ar y wefan swyddogol).
Mae batri polymer lithiwm 2000mAh y tu mewn i'r DataTraveler 40, ac mae Kingston yn cynghori prynwyr i blygio'r gyriant i mewn i borthladd USB am o leiaf awr cyn ei ddefnyddio i ganiatáu i'r batri wefru. Gyda llaw, yn un o'r deunyddiau blaenorol : Nid oes unrhyw reswm i boeni - nid yw'r gyriant fflach wedi'i actifadu yn y charger oherwydd nid oes unrhyw geisiadau i'r rheolydd gan y system. Felly, ni fydd unrhyw un yn dwyn eich data trwy ymwthiadau diwifr.
2. Locker DataTraveler Kingston+ G3
Os siaradwn am fodel Kingston – mae'n denu sylw gyda'r gallu i ffurfweddu copi wrth gefn data o yriant fflach i storfa cwmwl Google, OneDrive, Amazon Cloud neu Dropbox. Darperir cydamseriad data gyda'r gwasanaethau hyn hefyd.
Un o’r cwestiynau y mae ein darllenwyr yn eu gofyn inni yw: “Ond sut i gymryd data wedi’i amgryptio o gopi wrth gefn?” Syml iawn. Y ffaith yw, wrth gydamseru â'r cwmwl, mae'r wybodaeth yn cael ei dadgryptio, ac mae diogelu copi wrth gefn ar y cwmwl yn dibynnu ar alluoedd y cwmwl ei hun. Felly, mae gweithdrefnau o'r fath yn cael eu perfformio yn ôl disgresiwn y defnyddiwr yn unig. Heb ei ganiatâd, ni fydd unrhyw ddata yn cael ei uwchlwytho i'r cwmwl.
3. Kingston DataTraveler Vault Preifatrwydd 3.0
Ond y dyfeisiau Kingston Maent hefyd yn dod â gwrthfeirws Drive Security adeiledig gan ESET. Mae'r olaf yn amddiffyn data rhag goresgyniad gyriant USB gan firysau, ysbïwedd, Trojans, mwydod, rootkits, a chysylltiad â chyfrifiaduron pobl eraill, efallai y bydd rhywun yn dweud, nid yw'n ofni. Bydd y gwrthfeirws yn rhybuddio perchennog y gyriant ar unwaith am fygythiadau posibl, os canfyddir unrhyw fygythiadau. Yn yr achos hwn, nid oes angen i'r defnyddiwr osod meddalwedd gwrth-firws ei hun a thalu am yr opsiwn hwn. Mae ESET Drive Security wedi'i osod ymlaen llaw ar yriant fflach gyda thrwydded pum mlynedd.
Mae Kingston DT Vault Privacy 3.0 wedi'i gynllunio a'i dargedu'n bennaf at weithwyr proffesiynol TG. Mae'n caniatáu i weinyddwyr ei ddefnyddio fel gyriant annibynnol neu ei ychwanegu fel rhan o ddatrysiad rheoli canolog, a gellir ei ddefnyddio hefyd i ffurfweddu neu ailosod cyfrineiriau o bell a ffurfweddu polisïau dyfais. Ychwanegodd Kingston hyd yn oed USB 3.0, sy'n eich galluogi i drosglwyddo data diogel yn gynt o lawer na USB 2.0.
Ar y cyfan, mae DT Vault Privacy 3.0 yn opsiwn ardderchog ar gyfer y sector corfforaethol a sefydliadau sydd angen amddiffyniad mwyaf posibl eu data. Gellir ei argymell hefyd i bob defnyddiwr sy'n defnyddio cyfrifiaduron sydd wedi'u lleoli ar rwydweithiau cyhoeddus.
I gael rhagor o wybodaeth am gynhyrchion Kingston, cysylltwch â .
Ffynhonnell: hab.com