¡Hola Habr! En los comentarios a uno de nuestros Los lectores hicieron una pregunta interesante: "¿Por qué necesita una unidad flash con cifrado de hardware cuando TrueCrypt está disponible?" - e incluso expresaron algunas preocupaciones sobre "¿Cómo puede asegurarse de que no haya marcadores en el software y el hardware de una unidad Kingston?" ?” Respondimos estas preguntas de manera sucinta, pero luego decidimos que el tema merecía un análisis fundamental. Esto es lo que haremos en este post.
El cifrado de hardware AES, al igual que el cifrado de software, existe desde hace mucho tiempo, pero ¿cómo protege exactamente los datos confidenciales en las unidades flash? ¿Quién certifica dichas unidades? ¿Se puede confiar en estas certificaciones? ¿Quién necesita unidades flash tan "complejas" si puede utilizar programas gratuitos como TrueCrypt o BitLocker? Como puede ver, el tema planteado en los comentarios realmente plantea muchas preguntas. Intentemos resolverlo todo.
¿En qué se diferencia el cifrado por hardware del cifrado por software?
En el caso de las unidades flash (así como de los HDD y SSD), se utiliza un chip especial ubicado en la placa de circuito del dispositivo para implementar el cifrado de datos por hardware. Tiene un generador de números aleatorios incorporado que genera claves de cifrado. Los datos se cifran automáticamente y se descifran instantáneamente cuando ingresa su contraseña de usuario. En este escenario, es casi imposible acceder a los datos sin una contraseña.
Cuando se utiliza cifrado de software, el "bloqueo" de los datos en la unidad lo proporciona un software externo, que actúa como una alternativa de bajo costo a los métodos de cifrado de hardware. Las desventajas de este tipo de software pueden incluir la banal necesidad de actualizaciones periódicas para ofrecer resistencia a las técnicas de piratería en constante mejora. Además, se utiliza la potencia de un proceso informático (en lugar de un chip de hardware independiente) para descifrar datos y, de hecho, el nivel de protección de la PC determina el nivel de protección de la unidad.
La característica principal de las unidades con cifrado de hardware es un procesador criptográfico independiente, cuya presencia nos indica que las claves de cifrado nunca salen de la unidad USB, a diferencia de las claves de software que pueden almacenarse temporalmente en la RAM o el disco duro de la computadora. Y debido a que el cifrado de software utiliza la memoria de la PC para almacenar el número de intentos de inicio de sesión, no puede detener los ataques de fuerza bruta a una contraseña o clave. Un atacante puede restablecer continuamente el contador de intentos de inicio de sesión hasta que el programa automático de descifrado de contraseñas encuentre la combinación deseada.
Por cierto..., en los comentarios al artículo ““Los usuarios también notaron que, por ejemplo, el programa TrueCrypt tiene un modo de funcionamiento portátil. Sin embargo, esto no es una gran ventaja. El hecho es que en este caso el programa de cifrado se almacena en la memoria de la unidad flash, lo que la hace más vulnerable a los ataques.
En pocas palabras: el enfoque de software no proporciona un nivel de seguridad tan alto como el cifrado AES. Es más una defensa básica. Por otro lado, el cifrado por software de datos importantes sigue siendo mejor que ningún cifrado. Y este hecho nos permite distinguir claramente entre estos tipos de criptografía: el cifrado por hardware de las unidades flash es una necesidad, más bien, para el sector empresarial (por ejemplo, cuando los empleados de la empresa utilizan unidades entregadas en el trabajo); y el software es más adecuado a las necesidades del usuario.
Sin embargo, Kingston divide sus modelos de unidades (por ejemplo, IronKey S1000) en versiones Básica y Empresarial. En términos de funcionalidad y propiedades de protección, son casi idénticos entre sí, pero la versión corporativa ofrece la posibilidad de administrar la unidad mediante el software SafeConsole/IronKey EMS. Con este software, la unidad funciona con servidores locales o en la nube para aplicar de forma remota políticas de acceso y protección con contraseña. Los usuarios tienen la oportunidad de recuperar contraseñas perdidas y los administradores pueden cambiar las unidades que ya no están en uso para nuevas tareas.
¿Cómo funcionan las unidades flash Kingston con cifrado AES?
Kingston utiliza cifrado de hardware AES-XTS de 256 bits (mediante una clave completa opcional) para todas sus unidades seguras. Como señalamos anteriormente, las unidades flash contienen en su base de componentes un chip separado para cifrar y descifrar datos, que actúa como un generador de números aleatorios constantemente activo.
Cuando conecta un dispositivo a un puerto USB por primera vez, el Asistente de configuración de inicialización le solicita que establezca una contraseña maestra para acceder al dispositivo. Después de activar la unidad, los algoritmos de cifrado comenzarán a funcionar automáticamente de acuerdo con las preferencias del usuario.
Al mismo tiempo, para el usuario, el principio de funcionamiento de la unidad flash permanecerá sin cambios: aún podrá descargar y colocar archivos en la memoria del dispositivo, como cuando trabaja con una unidad flash USB normal. La única diferencia es que cuando conecta la unidad flash a una computadora nueva, deberá ingresar la contraseña establecida para obtener acceso a su información.
¿Por qué y quién necesita unidades flash con cifrado de hardware?
Para las organizaciones donde los datos confidenciales forman parte del negocio (ya sea financiero, sanitario o gubernamental), el cifrado es el medio de protección más fiable. El cifrado de hardware AES es una solución escalable que puede utilizar cualquier empresa: desde particulares y pequeñas empresas hasta grandes corporaciones, así como organizaciones militares y gubernamentales. Para analizar este problema de forma un poco más específica, es necesario utilizar unidades USB cifradas:
- Para garantizar la seguridad de los datos confidenciales de la empresa.
- Para proteger la información del cliente
- Proteger a las empresas de la pérdida de beneficios y de la fidelidad de los clientes.
Vale la pena señalar que algunos fabricantes de unidades flash seguras (incluido Kingston) brindan a las corporaciones soluciones personalizadas diseñadas para satisfacer las necesidades y objetivos de los clientes. Pero las líneas producidas en masa (incluidas las unidades flash DataTraveler) cumplen perfectamente con sus tareas y son capaces de brindar seguridad de clase corporativa.
1. Garantizar la seguridad de los datos confidenciales de la empresa
En 2017, un residente de Londres descubrió una unidad USB en uno de los parques que contenía información no protegida con contraseña relacionada con la seguridad del aeropuerto de Heathrow, incluida la ubicación de las cámaras de vigilancia e información detallada sobre las medidas de seguridad en caso de la llegada de funcionarios de alto rango. La unidad flash también contenía datos sobre pases electrónicos y códigos de acceso a áreas restringidas del aeropuerto.
Los analistas dicen que la razón de estas situaciones es el analfabetismo cibernético de los empleados de la empresa, que pueden "filtrar" datos secretos por su propia negligencia. Las unidades flash con cifrado de hardware resuelven parcialmente este problema, porque si se pierde dicha unidad, no podrá acceder a los datos que contiene sin la contraseña maestra del mismo oficial de seguridad. En cualquier caso, esto no niega el hecho de que los empleados deben estar capacitados para manejar unidades flash, incluso si hablamos de dispositivos protegidos mediante cifrado.
2. Proteger la información del cliente
Una tarea aún más importante para cualquier organización es cuidar los datos de los clientes, que no deben estar sujetos al riesgo de verse comprometidos. Por cierto, es esta información la que se transfiere con mayor frecuencia entre diferentes sectores comerciales y, por regla general, es confidencial: por ejemplo, puede contener datos sobre transacciones financieras, historial médico, etc.
3. Protección contra lucro cesante y fidelización de clientes
El uso de dispositivos USB con cifrado de hardware puede ayudar a prevenir consecuencias devastadoras para las organizaciones. Las empresas que violen las leyes de protección de datos personales pueden recibir multas con grandes sumas. Por tanto, cabe preguntarse: ¿vale la pena correr el riesgo de compartir información sin la protección adecuada?
Incluso sin tener en cuenta el impacto financiero, la cantidad de tiempo y recursos dedicados a corregir los errores de seguridad que se producen pueden ser igualmente importantes. Además, si una filtración de datos compromete los datos de los clientes, la empresa corre el riesgo de lealtad a la marca, especialmente en mercados donde hay competidores que ofrecen un producto o servicio similar.
¿Quién garantiza la ausencia de "marcadores" del fabricante cuando se utilizan unidades flash con cifrado de hardware?
En el tema que hemos planteado, esta cuestión es quizás una de las principales. Entre los comentarios al artículo sobre las unidades Kingston DataTraveler, nos encontramos con otra pregunta interesante: "¿Sus dispositivos cuentan con auditorías realizadas por especialistas independientes?" Bueno... es un interés lógico: los usuarios quieren asegurarse de que nuestras unidades USB no contengan errores comunes, como un cifrado débil o la capacidad de omitir el ingreso de contraseña. Y en esta parte del artículo hablaremos sobre los procedimientos de certificación que se someten a las unidades Kingston antes de recibir el estado de unidades flash verdaderamente seguras.
¿Quién garantiza la fiabilidad? Parecería que bien podríamos decir que “Kingston lo logró, lo garantiza”. Pero en este caso tal afirmación será incorrecta, ya que el fabricante es la parte interesada. Por lo tanto, todos los productos son probados por un tercero con experiencia independiente. En particular, las unidades cifradas por hardware de Kingston (con la excepción de DTLPG3) participan en el Programa de validación de módulos criptográficos (CMVP) y están certificadas según el Estándar federal de procesamiento de información (FIPS). Las unidades también están certificadas según los estándares GLBA, HIPPA, HITECH, PCI y GTSA.
1. Programa de validación del módulo criptográfico
El programa CMVP es un proyecto conjunto del Instituto Nacional de Estándares y Tecnología del Departamento de Comercio de EE. UU. y el Centro Canadiense de Seguridad Cibernética. El objetivo del proyecto es estimular la demanda de dispositivos criptográficos probados y proporcionar métricas de seguridad a agencias federales e industrias reguladas (como instituciones financieras y de atención médica) que se utilizan en la adquisición de equipos.
Los dispositivos se prueban según un conjunto de requisitos criptográficos y de seguridad por laboratorios independientes de pruebas de seguridad y criptografía acreditados por el Programa Nacional Voluntario de Acreditación de Laboratorios (NVLAP). Al mismo tiempo, se verifica que cada informe de laboratorio cumpla con el Estándar federal de procesamiento de información (FIPS) 140-2 y el CMVP lo confirma.
Se recomienda el uso de los módulos verificados como compatibles con FIPS 140-2 por parte de las agencias federales de EE. UU. y Canadá hasta el 22 de septiembre de 2026. Después de esto, se incluirán en la lista de archivos, aunque aún se podrán utilizar. El 22 de septiembre de 2020 finalizó la aceptación de solicitudes de validación según el estándar FIPS 140-3. Una vez que los dispositivos pasen las comprobaciones, pasarán a la lista activa de dispositivos probados y confiables durante cinco años. Si un dispositivo criptográfico no pasa la verificación, no se recomienda su uso en agencias gubernamentales de Estados Unidos y Canadá.
2. ¿Qué requisitos de seguridad impone la certificación FIPS?
Hackear datos incluso desde una unidad cifrada no certificada es difícil y pocas personas pueden hacerlo, por lo que al elegir una unidad de consumo para uso doméstico con certificación, no tiene que preocuparse. En el sector empresarial la situación es diferente: a la hora de elegir unidades USB seguras, las empresas suelen dar importancia a los niveles de certificación FIPS. Sin embargo, no todo el mundo tiene una idea clara de lo que significan estos niveles.
El estándar FIPS 140-2 actual define cuatro niveles de seguridad diferentes que pueden cumplir las unidades flash. El primer nivel proporciona un conjunto moderado de características de seguridad. El cuarto nivel implica requisitos estrictos para la autoprotección de los dispositivos. Los niveles dos y tres proporcionan una gradación de estos requisitos y forman una especie de punto medio dorado.
- Seguridad de nivel XNUMX: las unidades USB certificadas de nivel XNUMX requieren al menos un algoritmo de cifrado u otra característica de seguridad.
- El segundo nivel de seguridad: aquí se requiere que la unidad no solo proporcione protección criptográfica, sino también para detectar intrusiones no autorizadas a nivel de firmware si alguien intenta abrir la unidad.
- El tercer nivel de seguridad: implica prevenir la piratería mediante la destrucción de las “claves” de cifrado. Es decir, se requiere una respuesta a los intentos de penetración. Además, el tercer nivel garantiza un mayor nivel de protección contra interferencias electromagnéticas: es decir, leer datos de una unidad flash mediante dispositivos de piratería inalámbricos no funcionará.
- El cuarto nivel de seguridad: el nivel más alto, que implica una protección completa del módulo criptográfico, que proporciona la máxima probabilidad de detección y contrarrestación ante cualquier intento de acceso no autorizado por parte de un usuario no autorizado. Las unidades flash que han recibido un certificado de cuarto nivel también incluyen opciones de protección que no permiten la piratería cambiando el voltaje y la temperatura ambiente.
Las siguientes unidades Kingston están certificadas según FIPS 140-2 Nivel 2000: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. La característica clave de estas unidades es su capacidad de responder a un intento de intrusión: si la contraseña se ingresa incorrectamente XNUMX veces, los datos de la unidad se destruirán.
¿Qué más pueden hacer las unidades flash Kingston además del cifrado?
Cuando se trata de seguridad completa de los datos, junto con el cifrado de hardware de las unidades flash, los antivirus integrados, la protección contra influencias externas, la sincronización con nubes personales y otras características que analizaremos a continuación vienen al rescate. No existe una gran diferencia en las unidades flash con cifrado de software. El diablo está en los detalles. Y esto es lo que.
1. Kingston Data Traveller 2000
Tomemos como ejemplo una unidad USB. . Esta es una de las unidades flash con cifrado de hardware, pero al mismo tiempo la única que tiene su propio teclado físico en la carcasa. Este teclado de 11 botones hace que el DT2000 sea completamente independiente de los sistemas host (para usar el DataTraveler 2000, debe presionar el botón Clave, luego ingresar su contraseña y presionar el botón Clave nuevamente). Además, esta unidad flash tiene un grado de protección IP57 contra el agua y el polvo (sorprendentemente, Kingston no lo indica en ninguna parte ni en el embalaje ni en las especificaciones del sitio web oficial).
Hay una batería de polímero de litio de 2000 mAh dentro del DataTraveler 40, y Kingston recomienda a los compradores conectar la unidad a un puerto USB durante al menos una hora antes de usarla para permitir que la batería se cargue. Por cierto, en uno de los materiales anteriores. : No hay razón para preocuparse: la unidad flash no se activa en el cargador porque el sistema no recibe ninguna solicitud al controlador. Por lo tanto, nadie robará sus datos mediante intrusiones inalámbricas.
2. Casillero Kingston DataTraveler+ G3
Si hablamos del modelo Kingston – llama la atención por la capacidad de configurar la copia de seguridad de datos desde una unidad flash al almacenamiento en la nube de Google, OneDrive, Amazon Cloud o Dropbox. También se proporciona sincronización de datos con estos servicios.
Una de las preguntas que nos hacen nuestros lectores es: “¿Pero cómo sacar datos cifrados de una copia de seguridad?” Muy simple. El hecho es que cuando se sincroniza con la nube, la información se descifra y la protección de la copia de seguridad en la nube depende de las capacidades de la propia nube. Por lo tanto, dichos procedimientos se realizan únicamente a discreción del usuario. Sin su permiso, no se subirán datos a la nube.
3. Privacidad de Kingston DataTraveler Vault 3.0
Pero los dispositivos Kingston También vienen con el antivirus Drive Security integrado de ESET. Este último protege los datos de la invasión de una unidad USB por virus, software espía, troyanos, gusanos, rootkits y la conexión a computadoras ajenas, se podría decir, no tiene miedo. El antivirus advertirá instantáneamente al propietario de la unidad sobre posibles amenazas, si detecta alguna. En este caso, el usuario no necesita instalar él mismo el software antivirus ni pagar por esta opción. ESET Drive Security está preinstalado en una unidad flash con una licencia de cinco años.
Kingston DT Vault Privacy 3.0 está diseñado y dirigido principalmente a profesionales de TI. Permite a los administradores usarlo como una unidad independiente o agregarlo como parte de una solución de administración centralizada, y también se puede usar para configurar o restablecer contraseñas de forma remota y configurar políticas de dispositivos. Kingston incluso agregó USB 3.0, que le permite transferir datos seguros mucho más rápido que USB 2.0.
En general, DT Vault Privacy 3.0 es una excelente opción para el sector corporativo y las organizaciones que requieren la máxima protección de sus datos. También se puede recomendar a todos los usuarios que utilicen ordenadores ubicados en redes públicas.
Para obtener más información sobre los productos Kingston, comuníquese con .
Fuente: habr.com