Hej, Habr! I kommentarerne til en af vores læserne stillede et interessant spørgsmål: "Hvorfor har du brug for et flashdrev med hardwarekryptering, når TrueCrypt er tilgængeligt?" - og udtrykte endda nogle bekymringer om "Hvordan kan du sikre dig, at der ikke er bogmærker i softwaren og hardwaren på et Kingston-drev ?” Vi besvarede disse spørgsmål kortfattet, men besluttede så, at emnet fortjente en grundlæggende analyse. Det er, hvad vi vil gøre i dette indlæg.
AES hardwarekryptering har ligesom softwarekryptering eksisteret i lang tid, men hvordan beskytter det præcist følsomme data på flashdrev? Hvem certificerer sådanne drev, og kan man stole på disse certificeringer? Hvem har brug for sådanne "komplekse" flashdrev, hvis du kan bruge gratis programmer som TrueCrypt eller BitLocker. Som du kan se, rejser emnet i kommentarerne virkelig mange spørgsmål. Lad os prøve at finde ud af det hele.
Hvordan adskiller hardwarekryptering sig fra softwarekryptering?
I tilfælde af flashdrev (såvel som HDD'er og SSD'er) bruges en speciel chip på enhedens printkort til at implementere hardwaredatakryptering. Den har en indbygget tilfældig talgenerator, der genererer krypteringsnøgler. Data krypteres automatisk og dekrypteres øjeblikkeligt, når du indtaster din brugeradgangskode. I dette scenarie er det næsten umuligt at få adgang til dataene uden en adgangskode.
Når du bruger softwarekryptering, leveres "låsning" af data på drevet af ekstern software, som fungerer som et billigt alternativ til hardwarekrypteringsmetoder. Ulemper ved sådan software kan omfatte det banale krav om regelmæssige opdateringer for at yde modstand mod stadigt forbedrede hackingteknikker. Derudover bruges kraften i en computerproces (i stedet for en separat hardwarechip) til at dekryptere data, og faktisk bestemmer beskyttelsesniveauet for pc'en drevets beskyttelsesniveau.
Hovedtræk ved drev med hardwarekryptering er en separat kryptografisk processor, hvis tilstedeværelse fortæller os, at krypteringsnøgler aldrig forlader USB-drevet, i modsætning til softwarenøgler, der midlertidigt kan gemmes i computerens RAM eller harddisk. Og fordi softwarekryptering bruger pc-hukommelse til at gemme antallet af loginforsøg, kan den ikke stoppe brute force-angreb på en adgangskode eller nøgle. Loginforsøgstælleren kan løbende nulstilles af en angriber, indtil det automatiske adgangskodeknækningsprogram finder den ønskede kombination.
Forresten..., i kommentarerne til artiklen “"Brugere bemærkede også, at for eksempel TrueCrypt-programmet har en bærbar driftstilstand. Dette er dog ikke en stor fordel. Faktum er, at i dette tilfælde er krypteringsprogrammet gemt i hukommelsen på flashdrevet, og det gør det mere sårbart over for angreb.
Nederste linje: Softwaretilgangen giver ikke et så højt sikkerhedsniveau som AES-kryptering. Det er mere et grundlæggende forsvar. På den anden side er softwarekryptering af vigtige data stadig bedre end slet ingen kryptering. Og denne kendsgerning giver os mulighed for klart at skelne mellem disse typer kryptografi: hardwarekryptering af flashdrev er snarere en nødvendighed for erhvervssektoren (f.eks. når virksomhedens ansatte bruger drev udstedt på arbejdspladsen); og software er mere egnet til brugernes behov.
Kingston opdeler dog sine drevmodeller (for eksempel IronKey S1000) i Basic- og Enterprise-versioner. Med hensyn til funktionalitet og beskyttelsesegenskaber er de næsten identiske med hinanden, men virksomhedsversionen giver mulighed for at styre drevet ved hjælp af SafeConsole/IronKey EMS-software. Med denne software arbejder drevet med enten cloud- eller lokale servere for at fjernhåndhæve adgangskodebeskyttelse og adgangspolitikker. Brugere får mulighed for at gendanne mistede adgangskoder, og administratorer kan skifte drev, der ikke længere er i brug, til nye opgaver.
Hvordan fungerer Kingston-flashdrev med AES-kryptering?
Kingston bruger 256-bit AES-XTS hardwarekryptering (ved hjælp af en valgfri fuldlængde nøgle) til alle sine sikre drev. Som vi bemærkede ovenfor, indeholder flashdrev i deres komponentbase en separat chip til kryptering og dekryptering af data, som fungerer som en konstant aktiv tilfældig talgenerator.
Når du tilslutter en enhed til en USB-port for første gang, beder guiden Initialization Setup dig om at indstille en masteradgangskode for at få adgang til enheden. Efter aktivering af drevet begynder krypteringsalgoritmerne automatisk at arbejde i overensstemmelse med brugernes præferencer.
På samme tid for brugeren forbliver princippet om driften af flashdrevet uændret - han vil stadig være i stand til at downloade og placere filer i enhedens hukommelse, som når han arbejder med et almindeligt USB-flashdrev. Den eneste forskel er, at når du tilslutter flashdrevet til en ny computer, skal du indtaste den indstillede adgangskode for at få adgang til dine oplysninger.
Hvorfor og hvem har brug for flashdrev med hardwarekryptering?
For organisationer, hvor følsomme data er en del af virksomheden (uanset om det er finansielt, sundhedsvæsen eller det offentlige), er kryptering det mest pålidelige middel til beskyttelse. AES hardwarekryptering er en skalerbar løsning, der kan bruges af enhver virksomhed: fra enkeltpersoner og små virksomheder til store virksomheder såvel som militære og statslige organisationer. For at se på dette problem lidt mere specifikt er det nødvendigt at bruge krypterede USB-drev:
- For at sikre sikkerheden af fortrolige virksomhedsdata
- For at beskytte kundeoplysninger
- For at beskytte virksomheder mod tab af fortjeneste og kundeloyalitet
Det er værd at bemærke, at nogle producenter af sikre flashdrev (inklusive Kingston) giver virksomheder skræddersyede løsninger designet til at imødekomme kundernes behov og mål. Men de masseproducerede linjer (inklusive DataTraveler-flashdrev) klarer deres opgaver perfekt og er i stand til at levere sikkerhed i virksomhedsklassen.
1. Sikring af sikkerheden af fortrolige virksomhedsdata
I 2017 opdagede en indbygger i London et USB-drev i en af parkerne, som indeholdt ikke-adgangskodebeskyttet information relateret til sikkerheden i Heathrow Lufthavn, herunder placeringen af overvågningskameraer og detaljerede oplysninger om sikkerhedsforanstaltninger i tilfælde af ankomst af højtstående embedsmænd. Flashdrevet indeholdt også data om elektroniske pas og adgangskoder til områder med begrænset adgang til lufthavnen.
Analytikere siger, at årsagen til sådanne situationer er cyberanalfabetismen hos virksomhedens ansatte, som kan "lække" hemmelige data gennem deres egen uagtsomhed. Flash-drev med hardwarekryptering løser delvist dette problem, for hvis et sådant drev går tabt, vil du ikke være i stand til at få adgang til dataene på det uden hovedadgangskoden til den samme sikkerhedsofficer. Det udelukker i hvert fald ikke, at medarbejderne skal uddannes til at håndtere flashdrev, selvom vi taler om enheder beskyttet af kryptering.
2. Beskyttelse af kundeoplysninger
En endnu vigtigere opgave for enhver organisation er at tage sig af kundedata, som ikke bør være omfattet af risikoen for kompromittering. Det er i øvrigt disse oplysninger, der oftest overføres mellem forskellige forretningssektorer og som regel er fortrolige: for eksempel kan de indeholde data om økonomiske transaktioner, sygehistorie osv.
3. Beskyttelse mod tab af fortjeneste og kundeloyalitet
Brug af USB-enheder med hardwarekryptering kan hjælpe med at forhindre ødelæggende konsekvenser for organisationer. Virksomheder, der overtræder lovgivningen om beskyttelse af persondata, kan få store bøder. Derfor må spørgsmålet stilles: er det værd at tage risikoen ved at dele information uden ordentlig beskyttelse?
Selv uden at tage de økonomiske konsekvenser i betragtning, kan mængden af tid og ressourcer, der bruges på at rette op på sikkerhedsfejl, være lige så stor. Derudover, hvis et databrud kompromitterer kundedata, risikerer virksomheden brandloyalitet, især på markeder, hvor der er konkurrenter, der tilbyder et lignende produkt eller en service.
Hvem garanterer fraværet af "bogmærker" fra producenten, når du bruger flashdrev med hardwarekryptering?
I det emne, vi har rejst, er dette spørgsmål måske et af de vigtigste. Blandt kommentarerne til artiklen om Kingston DataTraveler-drev stødte vi på et andet interessant spørgsmål: "Har dine enheder revisioner fra uafhængige tredjepartsspecialister?" Nå... det er en logisk interesse: brugere vil sikre sig, at vores USB-drev ikke indeholder almindelige fejl, såsom svag kryptering eller muligheden for at omgå adgangskodeindtastning. Og i denne del af artiklen vil vi tale om, hvilke certificeringsprocedurer Kingston-drev gennemgår, før de modtager status som virkelig sikre flashdrev.
Hvem garanterer pålidelighed? Det ser ud til, at vi godt kunne sige, "Kingston lavede det - det garanterer det." Men i dette tilfælde vil en sådan erklæring være forkert, da producenten er en interesseret part. Derfor er alle produkter testet af en tredjepart med uafhængig ekspertise. Især Kingston hardware-krypterede drev (med undtagelse af DTLPG3) deltager i Cryptographic Module Validation Program (CMVP) og er certificeret til Federal Information Processing Standard (FIPS). Drevene er også certificeret i henhold til GLBA, HIPPA, HITECH, PCI og GTSA standarder.
1. Valideringsprogram for kryptografisk modul
CMVP-programmet er et fælles projekt af National Institute of Standards and Technology i det amerikanske handelsministerium og Canadian Cyber Security Center. Projektets mål er at stimulere efterspørgslen efter dokumenterede kryptografiske enheder og levere sikkerhedsmålinger til føderale agenturer og regulerede industrier (såsom finansielle institutioner og sundhedsinstitutioner), der bruges til indkøb af udstyr.
Enheder testes i forhold til et sæt kryptografiske og sikkerhedskrav af uafhængige kryptografi- og sikkerhedstestlaboratorier, der er akkrediteret af National Voluntary Laboratory Accreditation Program (NVLAP). Samtidig kontrolleres hver laboratorierapport for overensstemmelse med Federal Information Processing Standard (FIPS) 140-2 og bekræftes af CMVP.
Moduler, der er verificeret som FIPS 140-2-kompatible, anbefales til brug af amerikanske og canadiske føderale agenturer til og med den 22. september 2026. Herefter vil de blive optaget på arkivlisten, selvom de stadig vil kunne bruges. Den 22. september 2020 ophørte accepten af ansøgninger om validering i henhold til FIPS 140-3-standarden. Når enhederne har bestået kontrollerne, vil de blive flyttet til den aktive liste over testede og pålidelige enheder i fem år. Hvis en kryptografisk enhed ikke består verifikationen, anbefales det ikke at bruge den i offentlige myndigheder i USA og Canada.
2. Hvilke sikkerhedskrav stiller FIPS-certificeringen?
Hacking af data selv fra et ucertificeret krypteret drev er svært, og få mennesker kan gøre det, så når du vælger et forbrugerdrev til hjemmebrug med certificering, behøver du ikke at bekymre dig. I erhvervssektoren er situationen anderledes: Når de vælger sikre USB-drev, lægger virksomheder ofte vægt på FIPS-certificeringsniveauer. Det er dog ikke alle, der har en klar idé om, hvad disse niveauer betyder.
Den nuværende FIPS 140-2-standard definerer fire forskellige sikkerhedsniveauer, som flashdrev kan opfylde. Det første niveau giver et moderat sæt sikkerhedsfunktioner. Det fjerde niveau indebærer strenge krav til selvbeskyttelse af enheder. Niveau to og tre giver en graduering af disse krav og danner en slags gylden middelvej.
- Niveau XNUMX-sikkerhed: Niveau XNUMX-certificerede USB-drev kræver mindst én krypteringsalgoritme eller anden sikkerhedsfunktion.
- Det andet sikkerhedsniveau: her kræves drevet ikke kun for at give kryptografisk beskyttelse, men også for at opdage uautoriserede indtrængen på firmwareniveau, hvis nogen forsøger at åbne drevet.
- Det tredje sikkerhedsniveau: involverer at forhindre hacking ved at ødelægge krypterings-"nøgler". Det vil sige, at der kræves en reaktion på gennemtrængningsforsøg. Det tredje niveau garanterer også et højere niveau af beskyttelse mod elektromagnetisk interferens: det vil sige, at læsning af data fra et flashdrev ved hjælp af trådløse hacking-enheder vil ikke fungere.
- Det fjerde sikkerhedsniveau: det højeste niveau, som involverer fuldstændig beskyttelse af det kryptografiske modul, som giver den maksimale sandsynlighed for påvisning og modvirkning af uautoriseret adgangsforsøg fra en uautoriseret bruger. Flash-drev, der har modtaget et certifikat på fjerde niveau, inkluderer også beskyttelsesmuligheder, der ikke tillader hacking ved at ændre spændingen og den omgivende temperatur.
Følgende Kingston-drev er certificeret til FIPS 140-2 niveau 2000: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. Nøglefunktionen ved disse drev er deres evne til at reagere på et indtrængensforsøg: Hvis adgangskoden indtastes forkert XNUMX gange, vil dataene på drevet blive ødelagt.
Hvad andet kan Kingston-flashdrev gøre udover kryptering?
Når det kommer til komplet datasikkerhed, kommer sammen med hardwarekryptering af flashdrev, indbyggede antivirus, beskyttelse mod ydre påvirkninger, synkronisering med personlige skyer og andre funktioner, som vi vil diskutere nedenfor, til undsætning. Der er ingen stor forskel på flashdrev med softwarekryptering. Djævelen er i detaljerne. Og her er hvad.
1. Kingston DataTraveler 2000
Lad os tage et USB-drev for eksempel. . Dette er et af flashdrevene med hardwarekryptering, men samtidig det eneste med eget fysisk tastatur på kabinettet. Dette tastatur med 11 knapper gør DT2000 fuldstændig uafhængig af værtssystemer (for at bruge DataTraveler 2000 skal du trykke på nøgleknappen, derefter indtaste din adgangskode og trykke på nøgleknappen igen). Derudover har dette flashdrev en IP57-grad af beskyttelse mod vand og støv (overraskende nok angiver Kingston dette ikke nogen steder hverken på emballagen eller i specifikationerne på den officielle hjemmeside).
Der er et 2000mAh lithiumpolymerbatteri inde i DataTraveler 40, og Kingston råder købere til at tilslutte drevet til en USB-port i mindst en time, før det bruges, for at lade batteriet oplade. Forresten i et af de tidligere materialer : Der er ingen grund til bekymring - flashdrevet er ikke aktiveret i opladeren, fordi der ikke er nogen anmodninger til controlleren fra systemet. Derfor vil ingen stjæle dine data gennem trådløse indtrængen.
2. Kingston DataTraveler Locker+ G3
Hvis vi taler om Kingston-modellen – det tiltrækker opmærksomhed med muligheden for at konfigurere sikkerhedskopiering af data fra et flashdrev til Google cloud storage, OneDrive, Amazon Cloud eller Dropbox. Datasynkronisering med disse tjenester leveres også.
Et af de spørgsmål, som vores læsere stiller os, er: "Men hvordan tager man krypterede data fra en sikkerhedskopi?" Meget simpelt. Faktum er, at når man synkroniserer med skyen, dekrypteres informationen, og beskyttelsen af backup på skyen afhænger af skyens egenskaber. Derfor udføres sådanne procedurer udelukkende efter brugerens skøn. Uden hans tilladelse vil ingen data blive uploadet til skyen.
3. Kingston DataTraveler Vault Privacy 3.0
Men Kingston-apparaterne De kommer også med indbygget Drive Security-antivirus fra ESET. Sidstnævnte beskytter data mod invasion af et USB-drev af vira, spyware, trojanske heste, orme, rootkits og forbindelse til andre menneskers computere, man kan sige, det er ikke bange. Antivirussen vil øjeblikkeligt advare ejeren af drevet om potentielle trusler, hvis nogen opdages. I dette tilfælde behøver brugeren ikke selv at installere antivirussoftware og betale for denne mulighed. ESET Drive Security er forudinstalleret på et flashdrev med en femårig licens.
Kingston DT Vault Privacy 3.0 er designet og målrettet primært til it-professionelle. Det giver administratorer mulighed for at bruge det som et selvstændigt drev eller tilføje det som en del af en centraliseret administrationsløsning og kan også bruges til at konfigurere eller fjernnulstille adgangskoder og konfigurere enhedspolitikker. Kingston tilføjede endda USB 3.0, som giver dig mulighed for at overføre sikre data meget hurtigere end USB 2.0.
Samlet set er DT Vault Privacy 3.0 en fremragende mulighed for erhvervslivet og organisationer, der kræver maksimal beskyttelse af deres data. Det kan også anbefales til alle brugere, der bruger computere placeret på offentlige netværk.
For mere information om Kingston-produkter, kontakt .
Kilde: www.habr.com