Hallo, Habr! In den Kommentaren zu einem unserer Die Leser stellten eine interessante Frage: „Warum benötigen Sie ein Flash-Laufwerk mit Hardwareverschlüsselung, wenn TrueCrypt verfügbar ist?“ – und äußerten sogar Bedenken zu „Wie können Sie sicherstellen, dass in der Software und Hardware eines Kingston-Laufwerks keine Lesezeichen vorhanden sind?“ ?“ Wir haben diese Fragen kurz und bündig beantwortet, sind dann aber zu dem Schluss gekommen, dass das Thema eine grundlegende Analyse verdient. Das werden wir in diesem Beitrag tun.
AES-Hardwareverschlüsselung gibt es ebenso wie Softwareverschlüsselung schon seit langem, aber wie genau schützt sie sensible Daten auf Flash-Laufwerken? Wer zertifiziert solche Laufwerke und kann man diesen Zertifizierungen vertrauen? Wer braucht so „komplexe“ Flash-Laufwerke, wenn man kostenlose Programme wie TrueCrypt oder BitLocker nutzen kann. Wie Sie sehen, wirft das in den Kommentaren gestellte Thema wirklich viele Fragen auf. Versuchen wir, alles herauszufinden.
Wie unterscheidet sich die Hardware-Verschlüsselung von der Software-Verschlüsselung?
Bei Flash-Laufwerken (sowie HDDs und SSDs) wird ein spezieller Chip auf der Platine des Geräts zur Implementierung der Hardware-Datenverschlüsselung verwendet. Es verfügt über einen integrierten Zufallszahlengenerator, der Verschlüsselungsschlüssel generiert. Die Daten werden automatisch verschlüsselt und sofort entschlüsselt, wenn Sie Ihr Benutzerkennwort eingeben. In diesem Szenario ist es nahezu unmöglich, ohne Passwort auf die Daten zuzugreifen.
Bei Verwendung der Softwareverschlüsselung erfolgt die „Sperrung“ der Daten auf dem Laufwerk durch externe Software, die eine kostengünstige Alternative zu Hardwareverschlüsselungsmethoden darstellt. Zu den Nachteilen solcher Software gehört möglicherweise die banale Notwendigkeit regelmäßiger Updates, um den immer besser werdenden Hacking-Techniken Widerstand zu leisten. Darüber hinaus wird die Leistung eines Computerprozesses (und nicht eines separaten Hardware-Chips) zum Entschlüsseln von Daten genutzt, und tatsächlich bestimmt das Schutzniveau des PCs das Schutzniveau des Laufwerks.
Das Hauptmerkmal von Laufwerken mit Hardwareverschlüsselung ist ein separater kryptografischer Prozessor, dessen Vorhandensein uns sagt, dass Verschlüsselungsschlüssel niemals das USB-Laufwerk verlassen, im Gegensatz zu Softwareschlüsseln, die vorübergehend im RAM oder auf der Festplatte des Computers gespeichert werden können. Und da die Softwareverschlüsselung den PC-Speicher nutzt, um die Anzahl der Anmeldeversuche zu speichern, kann sie Brute-Force-Angriffe auf ein Passwort oder einen Schlüssel nicht stoppen. Der Anmeldeversuchszähler kann von einem Angreifer kontinuierlich zurückgesetzt werden, bis das Programm zum automatischen Passwortknacken die gewünschte Kombination findet.
Übrigens..., in den Kommentaren zum Artikel „„Benutzer bemerkten auch, dass beispielsweise das TrueCrypt-Programm über einen portablen Betriebsmodus verfügt. Dies ist jedoch kein großer Vorteil. Tatsache ist, dass in diesem Fall das Verschlüsselungsprogramm im Speicher des Flash-Laufwerks gespeichert wird, was es anfälliger für Angriffe macht.
Fazit: Der Softwareansatz bietet kein so hohes Maß an Sicherheit wie die AES-Verschlüsselung. Es handelt sich eher um eine Basisverteidigung. Andererseits ist die Softwareverschlüsselung wichtiger Daten immer noch besser als gar keine Verschlüsselung. Und diese Tatsache ermöglicht es uns, diese Arten der Kryptografie klar zu unterscheiden: Die Hardwareverschlüsselung von Flash-Laufwerken ist eher für den Unternehmensbereich eine Notwendigkeit (z. B. wenn Firmenmitarbeiter bei der Arbeit ausgegebene Laufwerke verwenden); und Software ist besser auf die Bedürfnisse der Benutzer abgestimmt.
Allerdings unterteilt Kingston seine Laufwerksmodelle (zum Beispiel IronKey S1000) in Basic- und Enterprise-Versionen. In Bezug auf Funktionalität und Schutzeigenschaften sind sie nahezu identisch, die Unternehmensversion bietet jedoch die Möglichkeit, das Laufwerk mithilfe der SafeConsole/IronKey EMS-Software zu verwalten. Mit dieser Software arbeitet das Laufwerk entweder mit Cloud- oder lokalen Servern zusammen, um Passwortschutz und Zugriffsrichtlinien aus der Ferne durchzusetzen. Benutzer erhalten die Möglichkeit, verlorene Passwörter wiederherzustellen, und Administratoren können nicht mehr verwendete Laufwerke auf neue Aufgaben umstellen.
Wie funktionieren Kingston-Flash-Laufwerke mit AES-Verschlüsselung?
Kingston verwendet für alle seine sicheren Laufwerke eine 256-Bit-AES-XTS-Hardwareverschlüsselung (unter Verwendung eines optionalen Schlüssels voller Länge). Wie oben erwähnt, enthalten Flash-Laufwerke in ihrer Komponentenbasis einen separaten Chip zum Ver- und Entschlüsseln von Daten, der als ständig aktiver Zufallszahlengenerator fungiert.
Wenn Sie ein Gerät zum ersten Mal an einen USB-Anschluss anschließen, werden Sie vom Initialisierungs-Setup-Assistenten aufgefordert, ein Hauptkennwort für den Zugriff auf das Gerät festzulegen. Nach der Aktivierung des Laufwerks beginnen die Verschlüsselungsalgorithmen automatisch entsprechend den Benutzereinstellungen zu arbeiten.
Gleichzeitig bleibt für den Benutzer das Funktionsprinzip des Flash-Laufwerks unverändert – er kann weiterhin Dateien herunterladen und im Speicher des Geräts ablegen, wie bei der Arbeit mit einem normalen USB-Flash-Laufwerk. Der einzige Unterschied besteht darin, dass Sie beim Anschließen des Flash-Laufwerks an einen neuen Computer das festgelegte Passwort eingeben müssen, um Zugriff auf Ihre Informationen zu erhalten.
Warum und wer braucht Flash-Laufwerke mit Hardwareverschlüsselung?
Für Organisationen, in denen sensible Daten Teil des Geschäfts sind (ob im Finanzwesen, im Gesundheitswesen oder in der Regierung), ist Verschlüsselung das zuverlässigste Mittel zum Schutz. Die AES-Hardwareverschlüsselung ist eine skalierbare Lösung, die von jedem Unternehmen genutzt werden kann: von Einzelpersonen und kleinen Unternehmen bis hin zu großen Konzernen sowie Militär- und Regierungsorganisationen. Um dieses Problem etwas genauer zu betrachten, ist die Verwendung verschlüsselter USB-Laufwerke erforderlich:
- Um die Sicherheit vertraulicher Unternehmensdaten zu gewährleisten
- Zum Schutz der Kundendaten
- Um Unternehmen vor entgangenen Gewinnen und Kundentreue zu schützen
Es ist erwähnenswert, dass einige Hersteller sicherer Flash-Laufwerke (einschließlich Kingston) Unternehmen maßgeschneiderte Lösungen anbieten, die auf die Bedürfnisse und Ziele der Kunden zugeschnitten sind. Aber die Massenproduktionslinien (einschließlich DataTraveler-Flash-Laufwerke) meistern ihre Aufgaben perfekt und sind in der Lage, Sicherheit der Unternehmensklasse zu bieten.
1. Gewährleistung der Sicherheit vertraulicher Unternehmensdaten
Im Jahr 2017 entdeckte ein Londoner Einwohner in einem der Parks ein USB-Laufwerk, das nicht passwortgeschützte Informationen zur Sicherheit des Flughafens Heathrow enthielt, darunter den Standort von Überwachungskameras und detaillierte Informationen zu Sicherheitsmaßnahmen im Falle der Ankunft von hochrangige Beamte. Der USB-Stick enthielt auch Daten zu elektronischen Pässen und Zugangscodes für Sperrbereiche des Flughafens.
Als Grund für solche Situationen sehen Analysten den Cyber-Analphabetismus von Firmenmitarbeitern, die durch eigene Fahrlässigkeit geheime Daten „durchsickern“ lassen können. Flash-Laufwerke mit Hardware-Verschlüsselung lösen dieses Problem teilweise, denn wenn ein solches Laufwerk verloren geht, können Sie ohne das Master-Passwort desselben Sicherheitsbeauftragten nicht auf die darauf befindlichen Daten zugreifen. Dies schließt jedenfalls nicht aus, dass Mitarbeiter im Umgang mit Flash-Laufwerken geschult werden müssen, auch wenn es sich um Geräte handelt, die durch Verschlüsselung geschützt sind.
2. Schutz der Kundendaten
Eine noch wichtigere Aufgabe für jedes Unternehmen besteht darin, sich um Kundendaten zu kümmern, die nicht dem Risiko einer Kompromittierung unterliegen sollten. Diese Informationen werden übrigens am häufigsten zwischen verschiedenen Geschäftsbereichen übertragen und sind in der Regel vertraulich: Sie können beispielsweise Daten zu Finanztransaktionen, Krankengeschichte usw. enthalten.
3. Schutz vor entgangenem Gewinn und Kundentreue
Der Einsatz von USB-Geräten mit Hardwareverschlüsselung kann dazu beitragen, verheerende Folgen für Unternehmen zu verhindern. Unternehmen, die gegen Gesetze zum Schutz personenbezogener Daten verstoßen, können mit hohen Geldstrafen belegt werden. Daher muss die Frage gestellt werden: Lohnt es sich, das Risiko einzugehen, Informationen ohne angemessenen Schutz weiterzugeben?
Auch ohne Berücksichtigung der finanziellen Auswirkungen kann der Zeit- und Ressourcenaufwand für die Behebung auftretender Sicherheitslücken ebenso erheblich sein. Wenn durch eine Datenschutzverletzung Kundendaten gefährdet werden, riskiert das Unternehmen außerdem die Markentreue, insbesondere in Märkten, in denen Wettbewerber ein ähnliches Produkt oder eine ähnliche Dienstleistung anbieten.
Wer garantiert vom Hersteller die Abwesenheit von „Lesezeichen“ bei der Verwendung von Flash-Laufwerken mit Hardwareverschlüsselung?
In dem von uns angesprochenen Thema ist diese Frage vielleicht eine der Hauptfragen. Unter den Kommentaren zum Artikel über Kingston DataTraveler-Laufwerke stießen wir auf eine weitere interessante Frage: „Verfügen Ihre Geräte über Audits von unabhängigen Drittanbietern?“ Nun... es ist ein logisches Interesse: Benutzer möchten sicherstellen, dass unsere USB-Laufwerke keine häufigen Fehler enthalten, wie z. B. eine schwache Verschlüsselung oder die Möglichkeit, die Passworteingabe zu umgehen. Und in diesem Teil des Artikels werden wir darüber sprechen, welche Zertifizierungsverfahren Kingston-Laufwerke durchlaufen, bevor sie den Status wirklich sicherer Flash-Laufwerke erhalten.
Wer garantiert Zuverlässigkeit? Man könnte wohl sagen: „Kingston hat es geschafft – das garantiert es.“ In diesem Fall ist eine solche Aussage jedoch falsch, da der Hersteller ein Interessent ist. Daher werden alle Produkte von einem Dritten mit unabhängigem Fachwissen getestet. Insbesondere hardwareverschlüsselte Laufwerke von Kingston (mit Ausnahme von DTLPG3) nehmen am Cryptographic Module Validation Program (CMVP) teil und sind nach dem Federal Information Processing Standard (FIPS) zertifiziert. Die Laufwerke sind außerdem nach den Standards GLBA, HIPPA, HITECH, PCI und GTSA zertifiziert.
1. Validierungsprogramm für kryptografische Module
Das CMVP-Programm ist ein Gemeinschaftsprojekt des National Institute of Standards and Technology des US-Handelsministeriums und des Canadian Cyber Security Center. Ziel des Projekts ist es, die Nachfrage nach bewährten kryptografischen Geräten anzukurbeln und Bundesbehörden und regulierten Branchen (z. B. Finanz- und Gesundheitseinrichtungen) Sicherheitsmetriken zur Verfügung zu stellen, die bei der Gerätebeschaffung verwendet werden.
Geräte werden von unabhängigen Kryptografie- und Sicherheitstestlaboren, die vom National Voluntary Laboratory Accreditation Program (NVLAP) akkreditiert sind, anhand einer Reihe von Kryptografie- und Sicherheitsanforderungen getestet. Gleichzeitig wird jeder Laborbericht auf die Einhaltung des Federal Information Processing Standard (FIPS) 140-2 überprüft und durch CMVP bestätigt.
Als FIPS 140-2-konform verifizierte Module werden für die Verwendung durch US-amerikanische und kanadische Bundesbehörden bis zum 22. September 2026 empfohlen. Danach werden sie in die Archivliste aufgenommen, können aber weiterhin verwendet werden. Am 22. September 2020 endete die Annahme von Anträgen zur Validierung nach dem FIPS 140-3-Standard. Sobald die Geräte die Prüfungen bestehen, werden sie für fünf Jahre in die aktive Liste der getesteten und vertrauenswürdigen Geräte verschoben. Wenn ein kryptografisches Gerät die Verifizierung nicht besteht, wird seine Verwendung in Regierungsbehörden in den Vereinigten Staaten und Kanada nicht empfohlen.
2. Welche Sicherheitsanforderungen stellt die FIPS-Zertifizierung dar?
Das Hacken von Daten selbst von einem nicht zertifizierten, verschlüsselten Laufwerk ist schwierig und nur wenigen Menschen gelingt das. Wenn Sie sich also für ein Consumer-Laufwerk mit Zertifizierung für den Heimgebrauch entscheiden, müssen Sie sich keine Gedanken machen. Im Unternehmensbereich ist die Situation anders: Bei der Auswahl sicherer USB-Laufwerke legen Unternehmen häufig Wert auf FIPS-Zertifizierungsstufen. Allerdings hat nicht jeder eine klare Vorstellung davon, was diese Werte bedeuten.
Der aktuelle FIPS 140-2-Standard definiert vier verschiedene Sicherheitsstufen, die Flash-Laufwerke erfüllen können. Die erste Ebene bietet einen moderaten Satz an Sicherheitsfunktionen. Die vierte Ebene impliziert strenge Anforderungen an den Selbstschutz von Geräten. Die Stufen zwei und drei stellen eine Abstufung dieser Anforderungen dar und bilden eine Art goldene Mitte.
- Sicherheit der Stufe XNUMX: Zertifizierte USB-Laufwerke der Stufe XNUMX erfordern mindestens einen Verschlüsselungsalgorithmus oder eine andere Sicherheitsfunktion.
- Die zweite Sicherheitsstufe: Hier muss das Laufwerk nicht nur kryptografischen Schutz bieten, sondern auch unbefugte Eingriffe auf Firmware-Ebene erkennen, wenn jemand versucht, das Laufwerk zu öffnen.
- Die dritte Sicherheitsstufe umfasst die Verhinderung von Hackerangriffen durch die Zerstörung von Verschlüsselungsschlüsseln. Das heißt, es ist eine Reaktion auf Eindringversuche erforderlich. Außerdem garantiert die dritte Stufe einen höheren Schutz vor elektromagnetischen Störungen: Das heißt, das Lesen von Daten von einem Flash-Laufwerk mit drahtlosen Hackergeräten funktioniert nicht.
- Die vierte Sicherheitsstufe: die höchste Stufe, die den vollständigen Schutz des kryptografischen Moduls beinhaltet und die maximale Wahrscheinlichkeit der Erkennung und Abwehr unbefugter Zugriffsversuche eines unbefugten Benutzers bietet. Flash-Laufwerke, die ein Zertifikat der vierten Stufe erhalten haben, verfügen außerdem über Schutzoptionen, die einen Hackerangriff durch Änderung der Spannung und Umgebungstemperatur verhindern.
Die folgenden Kingston-Laufwerke sind nach FIPS 140-2 Level 2000 zertifiziert: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. Das Hauptmerkmal dieser Laufwerke ist ihre Fähigkeit, auf einen Einbruchsversuch zu reagieren: Wenn das Passwort zehnmal falsch eingegeben wird, werden die Daten auf dem Laufwerk zerstört.
Was können Kingston-Flash-Laufwerke außer der Verschlüsselung noch tun?
Wenn es um vollständige Datensicherheit geht, helfen neben der Hardwareverschlüsselung von Flash-Laufwerken auch integrierte Antivirenprogramme, Schutz vor äußeren Einflüssen, Synchronisierung mit persönlichen Clouds und andere Funktionen, die wir weiter unten besprechen. Bei Flash-Laufwerken mit Softwareverschlüsselung gibt es keinen großen Unterschied. Der Teufel steckt im Detail. Und hier ist was.
1. Kingston DataTraveler 2000
Nehmen wir zum Beispiel ein USB-Laufwerk. . Dies ist eines der Flash-Laufwerke mit Hardware-Verschlüsselung, gleichzeitig aber das einzige mit einer eigenen physischen Tastatur am Gehäuse. Diese 11-Tasten-Tastatur macht den DT2000 völlig unabhängig von Host-Systemen (um den DataTraveler 2000 zu verwenden, müssen Sie die Schlüsseltaste drücken, dann Ihr Passwort eingeben und die Schlüsseltaste erneut drücken). Darüber hinaus verfügt dieses Flash-Laufwerk über die Schutzart IP57 gegen Wasser und Staub (überraschenderweise gibt Kingston dies weder auf der Verpackung noch in den Spezifikationen auf der offiziellen Website an).
Im DataTraveler 2000 befindet sich ein 40-mAh-Lithium-Polymer-Akku. Kingston empfiehlt Käufern, das Laufwerk vor der Verwendung mindestens eine Stunde lang an einen USB-Anschluss anzuschließen, damit der Akku aufgeladen werden kann. Übrigens in einem der vorherigen Materialien : Es besteht kein Grund zur Sorge – das Flash-Laufwerk ist im Ladegerät nicht aktiviert, da vom System keine Anfragen an den Controller gestellt werden. Daher wird niemand Ihre Daten durch drahtlose Eingriffe stehlen.
2. Kingston DataTraveler Locker+ G3
Wenn wir über das Kingston-Modell sprechen – es fällt durch die Möglichkeit auf, die Datensicherung von einem Flash-Laufwerk auf Google Cloud Storage, OneDrive, Amazon Cloud oder Dropbox zu konfigurieren. Eine Datensynchronisierung mit diesen Diensten ist ebenfalls möglich.
Eine der Fragen, die uns unsere Leser stellen, lautet: „Aber wie entnimmt man verschlüsselte Daten einem Backup?“ Sehr einfach. Tatsache ist, dass bei der Synchronisierung mit der Cloud die Informationen entschlüsselt werden und der Schutz des Backups in der Cloud von den Fähigkeiten der Cloud selbst abhängt. Daher liegen solche Verfahren ausschließlich im Ermessen des Benutzers. Ohne seine Erlaubnis werden keine Daten in die Cloud hochgeladen.
3. Kingston DataTraveler Vault Privacy 3.0
Aber die Kingston-Geräte Sie sind außerdem mit dem integrierten Drive Security-Antivirenprogramm von ESET ausgestattet. Letzteres schützt Daten vor dem Eindringen von Viren, Spyware, Trojanern, Würmern, Rootkits und Verbindungen zu fremden Computern in ein USB-Laufwerk, man könnte sagen, es hat keine Angst. Das Antivirenprogramm warnt den Besitzer des Laufwerks sofort vor potenziellen Bedrohungen, sofern solche erkannt werden. In diesem Fall muss der Benutzer keine Antivirensoftware selbst installieren und für diese Option bezahlen. ESET Drive Security ist auf einem Flash-Laufwerk mit einer Fünfjahreslizenz vorinstalliert.
Kingston DT Vault Privacy 3.0 ist in erster Linie für IT-Experten konzipiert und ausgerichtet. Es ermöglicht Administratoren, es als eigenständiges Laufwerk zu verwenden oder es als Teil einer zentralen Verwaltungslösung hinzuzufügen, und kann auch zum Konfigurieren oder Remote-Zurücksetzen von Passwörtern und zum Konfigurieren von Geräterichtlinien verwendet werden. Kingston hat sogar USB 3.0 hinzugefügt, wodurch Sie sichere Daten viel schneller als USB 2.0 übertragen können.
Insgesamt ist DT Vault Privacy 3.0 eine ausgezeichnete Option für den Unternehmenssektor und Organisationen, die maximalen Schutz ihrer Daten benötigen. Es kann auch allen Benutzern empfohlen werden, die Computer in öffentlichen Netzwerken verwenden.
Weitere Informationen zu Kingston-Produkten erhalten Sie unter .
Source: habr.com