Saluton, Habr! En la komentoj al unu el niaj legantoj demandis interesan demandon: "Kial vi bezonas poŝmemorilon kun aparatara ĉifrado kiam TrueCrypt estas disponebla?" - kaj eĉ esprimis kelkajn zorgojn pri "Kiel vi povas certigi, ke ne estas legosignoj en la programaro kaj aparataro de Kingston-disko? ?” Ni respondis ĉi tiujn demandojn koncize, sed poste decidis, ke la temo meritas fundamentan analizon. Jen kion ni faros en ĉi tiu afiŝo.
AES-hardvaro-ĉifrado, kiel programara ĉifrado, ekzistas delonge, sed kiel ĝuste ĝi protektas sentemajn datumojn sur poŝmemoriloj? Kiu atestas tiajn diskojn, kaj ĉu ĉi tiuj atestiloj povas esti fidindaj? Kiu bezonas tiajn "kompleksajn" flash-diskojn, se vi povas uzi senpagajn programojn kiel TrueCrypt aŭ BitLocker. Kiel vi povas vidi, la temo demandita en la komentoj vere levas multajn demandojn. Ni provu eltrovi ĉion.
Kiel aparatara ĉifrado diferencas de programara ĉifrado?
En la kazo de poŝmemoriloj (same kiel HDD-oj kaj SSD-oj), speciala blato situanta sur la cirkvito de la aparato estas uzata por efektivigi aparatan datuman ĉifradon. Ĝi havas enkonstruitan hazardan nombrogeneratoron kiu generas ĉifrajn ŝlosilojn. Datumoj estas aŭtomate ĉifritaj kaj tuj deĉifritaj kiam vi enigas vian uzantpasvorton. En ĉi tiu scenaro, estas preskaŭ neeble aliri la datumojn sen pasvorto.
Kiam vi uzas programaran ĉifradon, "ŝlosi" la datumojn sur la disko estas provizita de ekstera programaro, kiu funkcias kiel malmultekosta alternativo al aparataj ĉifradmetodoj. Malavantaĝoj de tia programaro povas inkluzivi la banalan postulon por regulaj ĝisdatigoj por oferti reziston al ĉiam pliboniĝantaj kodteknikoj. Krome, la potenco de komputila procezo (prefere ol aparta aparatara blato) estas uzata por deĉifri datumojn, kaj, fakte, la nivelo de protekto de la komputilo determinas la nivelon de protekto de la disko.
La ĉefa trajto de diskoj kun aparatara ĉifrado estas aparta kripta procesoro, kies ĉeesto diras al ni, ke ĉifradaj ŝlosiloj neniam forlasas la USB-diskon, male al programaraj ŝlosiloj, kiuj povas esti provizore konservitaj en la RAM aŭ malmola disko de la komputilo. Kaj ĉar programara ĉifrado uzas komputilan memoron por konservi la nombron da ensalutprovoj, ĝi ne povas ĉesigi krudfortajn atakojn kontraŭ pasvorto aŭ ŝlosilo. La ensalutprovo-nombrilo povas esti senĉese rekomencigita de atakanto ĝis la aŭtomata pasvorta kraka programo trovas la deziratan kombinaĵon.
Cetere..., en la komentoj al la artikolo “"Uzantoj ankaŭ rimarkis, ke ekzemple la programo TrueCrypt havas porteblan operacian reĝimon. Tamen ĉi tio ne estas granda avantaĝo. La fakto estas, ke en ĉi tiu kazo la ĉifrada programo estas konservita en la memoro de la flash drive, kaj ĉi tio faras ĝin pli vundebla al atakoj.
Fundo: la programara aliro ne provizas tiel altan nivelon de sekureco kiel AES-ĉifrado. Ĝi estas pli de baza defendo. Aliflanke, programara ĉifrado de gravaj datumoj ankoraŭ estas pli bona ol neniu ĉifrado. Kaj ĉi tiu fakto ebligas al ni klare distingi inter ĉi tiuj tipoj de kripto: aparatara ĉifrado de flash drives estas neceso, prefere, por la kompania sektoro (ekzemple, kiam firmaaj dungitoj uzas diskojn eldonitajn ĉe la laboro); kaj programaro estas pli taŭga por uzantbezonoj.
Tamen, Kingston dividas ĝiajn veturmodelojn (ekzemple, IronKey S1000) en Basic kaj Enterprise versiojn. Koncerne funkciecon kaj protektajn proprietojn, ili estas preskaŭ identaj unu al la alia, sed la kompania versio ofertas la kapablon administri la diskon per SafeConsole/IronKey EMS-programaro. Kun ĉi tiu programaro, la disko funkcias kun aŭ nubaj aŭ lokaj serviloj por malproksime devigi pasvortprotekton kaj alirpolitikojn. Uzantoj ricevas la ŝancon reakiri perditajn pasvortojn, kaj administrantoj povas ŝanĝi diskojn, kiuj ne plu estas uzataj, al novaj taskoj.
Kiel funkcias Kingston-memoriloj kun AES-ĉifrado?
Kingston uzas 256-bitan AES-XTS-hardvarĉifradon (uzante laŭvolan plenlongan ŝlosilon) por ĉiuj ĝiaj sekuraj diskoj. Kiel ni rimarkis supre, poŝmemoriloj enhavas en sia komponentbazo apartan blaton por ĉifri kaj malĉifri datumojn, kiu funkcias kiel konstante aktiva hazarda nombrogeneratoro.
Kiam vi konektas aparaton al USB-haveno por la unua fojo, la Initialization Setup Wizard instigas vin agordi majstran pasvorton por aliri la aparaton. Post aktivigo de la disko, ĉifrado-algoritmoj aŭtomate komencos funkcii laŭ la preferoj de la uzanto.
Samtempe, por la uzanto, la principo de funkciado de la poŝmemoro restos senŝanĝa - li ankoraŭ povos elŝuti kaj meti dosierojn en la memoron de la aparato, kiel kiam oni laboras kun regula USB-memoro. La nura diferenco estas, ke kiam vi konektas la flash drive al nova komputilo, vi devos enigi la fiksitan pasvorton por akiri aliron al viaj informoj.
Kial kaj kiu bezonas flash drives kun aparatara ĉifrado?
Por organizoj kie sentemaj datumoj estas parto de la komerco (ĉu financa, sanservo aŭ registaro), ĉifrado estas la plej fidinda rimedo de protekto. AES-hardvara ĉifrado estas skalebla solvo, kiu povas esti uzata de iu ajn kompanio: de individuoj kaj malgrandaj entreprenoj ĝis grandaj korporacioj, same kiel militaj kaj registaraj organizoj. Por rigardi ĉi tiun aferon iom pli specife, necesas uzi ĉifritajn USB-diskojn:
- Por certigi la sekurecon de konfidencaj firmaaj datumoj
- Por protekti klientajn informojn
- Protekti kompaniojn kontraŭ perdo de profitoj kaj klientolojaleco
Indas noti, ke iuj fabrikantoj de sekuraj poŝmemoriloj (inkluzive de Kingston) provizas korporaciojn per personigitaj solvoj desegnitaj por plenumi la bezonojn kaj celojn de klientoj. Sed la amasproduktitaj linioj (inkluzive de DataTraveler-memoriloj) perfekte traktas siajn taskojn kaj kapablas provizi kompanian klasan sekurecon.
1. Certigante la sekurecon de konfidencaj kompanioj datumoj
En 2017, loĝanto de Londono malkovris USB-diskon en unu el la parkoj, kiu enhavis ne-pasvort-protektajn informojn ligitajn al la sekureco de la flughaveno Heathrow, inkluzive de la loko de gvatkameraoj kaj detalajn informojn pri sekurecaj mezuroj en la okazo de alveno de. altrangaj oficistoj. La poŝmemoro ankaŭ enhavis datenojn pri elektronikaj enirpermesiloj kaj alirkodoj al limigitaj areoj de la flughaveno.
Analizistoj diras, ke la kialo de tiaj situacioj estas la ciberanalfabeteco de firmaaj dungitoj, kiuj povas "liki" sekretajn datumojn per sia propra neglektemo. Flash drives kun aparatara ĉifrado parte solvas ĉi tiun problemon, ĉar se tia disko estas perdita, vi ne povos aliri la datumojn sur ĝi sen la majstra pasvorto de la sama sekureca oficisto. Ĉiukaze, ĉi tio ne neas la fakton, ke dungitoj devas esti trejnitaj por manipuli flash drives, eĉ se ni parolas pri aparatoj protektitaj per ĉifrado.
2. Protektante klientajn informojn
Eĉ pli grava tasko por iu ajn organizo estas prizorgi klientajn datumojn, kiuj ne devus esti submetitaj al la risko de kompromiso. Parenteze, ĉi tiu informo plej ofte estas transdonita inter malsamaj komercaj sektoroj kaj, kiel regulo, estas konfidenca: ekzemple, ĝi povas enhavi datumojn pri financaj transakcioj, anamnezo, ktp.
3. Protekto kontraŭ perdo de profito kaj klienta lojaleco
Uzado de USB-aparatoj kun aparatara ĉifrado povas helpi malhelpi ruinigajn sekvojn por organizoj. Firmaoj kiuj malobservas leĝojn pri personaj datumoj pri protekto povas esti monpunitaj kun grandaj sumoj. Tial oni devas fari la demandon: ĉu indas preni la riskon kunhavigi informojn sen taŭga protekto?
Eĉ sen konsideri la financan efikon, la kvanto da tempo kaj rimedoj elspezitaj por korekti sekurecajn cimojn, kiuj okazas, povas esti same signifa. Aldone, se datumrompo kompromitas klientajn datumojn, la firmao riskas markolojalecon, precipe en merkatoj kie estas konkurantoj ofertantaj similan produkton aŭ servon.
Kiu garantias la foreston de "legosignoj" de la fabrikanto kiam vi uzas poŝmemorojn kun aparatara ĉifrado?
En la temo, kiun ni levis, ĉi tiu demando estas eble unu el la ĉefaj. Inter la komentoj al la artikolo pri Kingston DataTraveler-diskoj, ni trovis alian interesan demandon: "Ĉu viaj aparatoj havas reviziojn de triaj sendependaj specialistoj?" Nu... ĝi estas logika intereso: uzantoj volas certigi, ke niaj USB-diskoj ne enhavas oftajn erarojn, kiel malfortan ĉifradon aŭ la eblon preterpasi pasvortan eniron. Kaj en ĉi tiu parto de la artikolo ni parolos pri kiaj atestproceduroj suferas Kingston-diskoj antaŭ ricevi la statuson de vere sekuraj poŝmemoriloj.
Kiu garantias fidindecon? Ŝajnus, ke ni povus bone diri tion, "Kingston faris ĝin - ĝi garantias ĝin." Sed en ĉi tiu kazo, tia deklaro estos malĝusta, ĉar la fabrikanto estas interesita partio. Tial ĉiuj produktoj estas provitaj de tria partio kun sendependa kompetenteco. Aparte, Kingston aparataro-ĉifritaj diskoj (kun la escepto de DTLPG3) estas partoprenantoj en la Cryptographic Module Validation Program (CMVP) kaj estas atestitaj al la Federal Information Processing Standard (FIPS). La diskoj ankaŭ estas atestitaj laŭ normoj GLBA, HIPPA, HITECH, PCI kaj GTSA.
1. Programo pri validigo de kriptografia modulo
La programo CMVP estas komuna projekto de la Nacia Instituto pri Normoj kaj Teknologio de la Usona Departemento pri Komerco kaj la Kanada Ciber-Sekureco-Centro. La celo de la projekto estas stimuli postulon je provitaj kriptaj aparatoj kaj disponigi sekurecmetrikojn al federaciaj agentejoj kaj reguligitaj industrioj (kiel ekzemple financaj kaj saninstitucioj) kiuj estas uzitaj en ekipaĵakiro.
Aparatoj estas testitaj kontraŭ aro de kriptografiaj kaj sekurecaj postuloj de sendependaj kriptografiaj kaj sekurecaj testaj laboratorioj akredititaj de la National Voluntary Laboratory Accreditation Program (NVLAP). En la sama tempo, ĉiu laboratoria raporto estas kontrolita por konformeco al Federal Information Processing Standard (FIPS) 140-2 kaj konfirmita fare de CMVP.
Moduloj kontrolitaj kiel FIPS 140-2 konformaj estas rekomenditaj por uzado de usonaj kaj kanadaj federaciaj agentejoj ĝis la 22-a de septembro 2026. Post tio, ili estos inkluzivitaj en la arkiva listo, kvankam ili ankoraŭ povos esti uzataj. La 22-an de septembro 2020 finiĝis la akcepto de petoj por validigo laŭ la normo FIPS 140-3. Post kiam la aparatoj trapasas la kontrolojn, ili estos movitaj al la aktiva listo de testitaj kaj fidindaj aparatoj dum kvin jaroj. Se kripta aparato ne trapasas konfirmon, ĝia uzo en registaraj agentejoj en Usono kaj Kanado ne estas rekomendita.
2. Kiajn sekurecpostulojn postulas FIPS-atestado?
Hacki datumojn eĉ de neatestita ĉifrita disko estas malfacila kaj malmultaj homoj povas fari, do elektante konsuman diskon por hejma uzo kun atestado, vi ne devas ĝeni. En la kompania sektoro, la situacio estas malsama: elektante sekurajn USB-diskojn, kompanioj ofte donas gravecon al FIPS-atestniveloj. Tamen, ne ĉiuj havas klaran ideon pri tio, kion signifas ĉi tiuj niveloj.
La nuna normo FIPS 140-2 difinas kvar malsamajn sekurecnivelojn, kiujn povas renkonti poŝmemoriloj. La unua nivelo disponigas moderan aron da sekurecaj funkcioj. La kvara nivelo implicas striktajn postulojn por la memprotekto de aparatoj. Niveloj du kaj tri provizas gradigon de ĉi tiuj postuloj kaj formas specon de ora meznombro.
- Nivelo XNUMX Sekureco: Nivelo XNUMX atestitaj USB-diskoj postulas almenaŭ unu ĉifradan algoritmon aŭ alian sekurecan funkcion.
- La dua nivelo de sekureco: ĉi tie la stirado estas postulata ne nur por provizi kriptografian protekton, sed ankaŭ por detekti neaŭtorizitajn entrudiĝojn ĉe la firmvara nivelo se iu provas malfermi la diskon.
- La tria nivelo de sekureco: implikas malhelpi hakadon detruante ĉifrajn "ŝlosilojn". Tio estas, respondo al penetrprovoj estas postulata. Ankaŭ, la tria nivelo garantias pli altan nivelon de protekto kontraŭ elektromagneta interfero: tio estas, legado de datumoj de poŝmemoro uzante sendratajn hakantajn aparatojn ne funkcios.
- La kvara sekureca nivelo: la plej alta nivelo, kiu implikas kompletan protekton de la kripta modulo, kiu disponigas la maksimuman probablecon de detekto kaj kontraŭagado al ajnaj neaŭtorizitaj alirprovoj de neaŭtorizita uzanto. Ekbriloj, kiuj ricevis kvarannivelan atestilon, ankaŭ inkluzivas protektajn opciojn, kiuj ne permesas hakadon per ŝanĝado de la tensio kaj ĉirkaŭa temperaturo.
La sekvaj Kingston-diskoj estas atestitaj al FIPS 140-2 Nivelo 2000: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. La ĉefa trajto de ĉi tiuj diskoj estas ilia kapablo respondi al entrudiĝoprovo: se la pasvorto estas enmetita malĝuste XNUMX fojojn, la datumoj sur la disko estos detruitaj.
Kion alian povas fari Kingston-memoriloj krom ĉifrado?
Kiam temas pri kompleta sekureco de datumoj, kune kun aparatara ĉifrado de flash drives, enkonstruitaj antivirusoj, protekto de eksteraj influoj, sinkronigado kun personaj nuboj kaj aliaj funkcioj, kiujn ni diskutos sube, venas al la rekupero. Ne estas granda diferenco en flash drives kun programara ĉifrado. La diablo estas en la detaloj. Kaj jen kio.
1. Kingston DataTraveler 2000
Ni prenu USB-diskon ekzemple. . Ĉi tiu estas unu el la flash drives kun aparatara ĉifrado, sed samtempe la nura kun sia propra fizika klavaro sur la kazo. Tiu ĉi 11-butona klavaro faras la DT2000 tute sendependa de gastigaj sistemoj (por uzi la DataTraveler 2000, vi devas premi la Ŝlosilbutonon, poste enigi vian pasvorton, kaj premu la Ŝlosilbutonon denove). Krome, ĉi tiu poŝmemoro havas IP57-gradon de protekto kontraŭ akvo kaj polvo (surprize, Kingston ne deklaras tion ie ajn nek sur la pakaĵo aŭ en la specifoj en la oficiala retejo).
Estas 2000mAh litia polimera baterio ene de la DataTraveler 40, kaj Kingston konsilas al aĉetantoj ŝtopi la diskon en USB-havenon dum almenaŭ unu horo antaŭ ol uzi ĝin por permesi al la kuirilaro ŝargi. Cetere, en unu el la antaŭaj materialoj : Ne estas kialo por zorgi - la poŝmemoro ne estas aktivigita en la ŝargilo ĉar ne estas petoj al la regilo de la sistemo. Tial neniu ŝtelos viajn datumojn per sendrataj entrudiĝoj.
2. Kingston DataTraveler Locker+ G3
Se ni parolas pri la modelo Kingston – ĝi altiras atenton per la kapablo agordi datumojn sekurkopion de poŝmemorilo al Google-nuba stokado, OneDrive, Amazon Cloud aŭ Dropbox. Datumsinkronigado kun ĉi tiuj servoj ankaŭ estas disponigita.
Unu el la demandoj, kiujn niaj legantoj demandas al ni, estas: "Sed kiel preni ĉifritajn datumojn de sekurkopio?" Tre simpla. Fakte, kiam sinkronigas kun la nubo, la informo estas malĉifrita, kaj la protekto de sekurkopio sur la nubo dependas de la kapabloj de la nubo mem. Tial tiaj proceduroj estas faritaj nur laŭ la bontrovo de la uzanto. Sen lia permeso, neniuj datumoj estos alŝutitaj al la nubo.
3. Kingston DataTraveler Vault Privateco 3.0
Sed la Kingston-aparatoj Ili ankaŭ venas kun enkonstruita Drive Security-antiviruso de ESET. Ĉi-lasta protektas datumojn kontraŭ invado de USB-disko fare de virusoj, spionprogramoj, trojanoj, vermoj, rootkits kaj konekto al aliuloj komputiloj, oni povus diri, ĝi ne timas. La antiviruso tuj avertos la posedanton de la disko pri eblaj minacoj, se iuj estas detektitaj. En ĉi tiu kazo, la uzanto ne bezonas mem instali kontraŭvirusan programaron kaj pagi por ĉi tiu opcio. ESET Drive Security estas antaŭinstalita sur flash drive kun kvinjara permesilo.
Kingston DT Vault Privateco 3.0 estas dizajnita kaj celita ĉefe al IT-profesiuloj. Ĝi permesas al administrantoj uzi ĝin kiel memstara stirado aŭ aldoni ĝin kiel parton de centralizita administrada solvo, kaj ankaŭ povas esti uzata por agordi aŭ malproksime restarigi pasvortojn kaj agordi aparatajn politikojn. Kingston eĉ aldonis USB 3.0, kiu permesas vin transdoni sekurajn datumojn multe pli rapide ol USB 2.0.
Ĝenerale, DT Vault Privateco 3.0 estas bonega elekto por la kompania sektoro kaj organizoj, kiuj postulas maksimuman protekton de siaj datumoj. Ĝi ankaŭ povas esti rekomendita al ĉiuj uzantoj, kiuj uzas komputilojn situantajn en publikaj retoj.
Por pliaj informoj pri Kingston-produktoj, kontaktu .
fonto: www.habr.com