Tere, Habr! Kommentaarides ühele meie lugejad esitasid huvitava küsimuse: "Miks vajate riistvara krüptimisega välkmäluseadet, kui TrueCrypt on saadaval?" - ja väljendasid isegi muret teemal "Kuidas saate veenduda, et Kingstoni draivi tarkvaras ja riistvaras pole järjehoidjaid ?” Vastasime neile küsimustele lühidalt, kuid otsustasime siis, et teema väärib põhjapanevat analüüsi. Seda me selles postituses teemegi.
AES-i riistvarakrüptimine, nagu ka tarkvaraline krüptimine, on olnud kasutusel juba pikka aega, kuid kuidas see täpselt kaitseb tundlikke andmeid välkmäluseadmetel? Kes selliseid draive sertifitseerib ja kas neid sertifikaate saab usaldada? Kellele selliseid "keerulisi" välkmäluseadmeid vaja on, kui saate kasutada tasuta programme nagu TrueCrypt või BitLocker. Nagu näete, tekitab kommentaarides esitatud teema tõesti palju küsimusi. Proovime seda kõike välja mõelda.
Mille poolest erineb riistvaraline krüptimine tarkvara krüptimisest?
Välkmälupulkade (nagu ka kõvaketaste ja SSD-de) puhul kasutatakse riistvaraandmete krüptimiseks spetsiaalset kiipi, mis asub seadme trükkplaadil. Sellel on sisseehitatud juhuslike arvude generaator, mis genereerib krüpteerimisvõtmeid. Andmed krüpteeritakse automaatselt ja dekrüpteeritakse koheselt, kui sisestate oma kasutajaparooli. Selle stsenaariumi korral on andmetele ligipääs ilma paroolita peaaegu võimatu.
Tarkvarakrüptimise kasutamisel tagab draivil olevate andmete “lukustamise” väline tarkvara, mis toimib riistvaralise krüptimise meetodite odava alternatiivina. Sellise tarkvara puudused võivad hõlmata banaalset regulaarsete värskenduste nõuet, et pakkuda vastupanu üha paranevatele häkkimistehnikatele. Lisaks kasutatakse andmete dekrüpteerimiseks arvutiprotsessi (mitte eraldi riistvarakiibi) võimsust ja tegelikult määrab arvuti kaitse tase draivi kaitsetaseme.
Riistvaralise krüptimisega draivide põhiomaduseks on eraldiseisev krüptograafiline protsessor, mille olemasolu ütleb, et krüpteerimisvõtmed ei lahku kunagi USB-draivilt, erinevalt tarkvaravõtmetest, mida saab ajutiselt salvestada arvuti RAM-i või kõvakettale. Ja kuna tarkvara krüpteerimine kasutab sisselogimiskatsete arvu salvestamiseks arvutimälu, ei saa see peatada parooli või võtme vastu suunatud toore jõu rünnakuid. Ründaja saab sisselogimiskatsete loendurit pidevalt lähtestada, kuni automaatne paroolimurdmise programm leiab soovitud kombinatsiooni.
Muide..., kommentaarides artiklile “«Samuti märkisid kasutajad, et näiteks programmil TrueCrypt on kaasaskantav töörežiim. See pole aga suur eelis. Fakt on see, et sel juhul salvestatakse krüpteerimisprogramm välkmälu mällu ja see muudab selle rünnakute suhtes haavatavamaks.
Alumine rida: tarkvaraline lähenemine ei paku nii kõrget turvalisuse taset kui AES-krüptimine. See on pigem elementaarne kaitse. Teisest küljest on oluliste andmete tarkvaraline krüpteerimine siiski parem kui krüptimata jätmine. Ja see asjaolu võimaldab meil selgelt eristada seda tüüpi krüptograafiat: mälupulkade riistvaraline krüpteerimine on pigem ettevõtete sektori jaoks vajalik (näiteks kui ettevõtte töötajad kasutavad tööl välja antud draive); ja tarkvara on kasutajate vajadustele sobivam.
Kingston jagab aga oma ajamite mudelid (näiteks IronKey S1000) Basic ja Enterprise versioonideks. Funktsionaalsuse ja kaitseomaduste poolest on need peaaegu identsed, kuid ettevõtte versioon pakub võimalust juhtida draivi SafeConsole/IronKey EMS tarkvara abil. Selle tarkvaraga töötab draiv kas pilve- või kohalike serveritega, et jõustada paroolikaitse ja juurdepääsupoliitika kaugjuhtimisega. Kasutajatele antakse võimalus kaotatud paroolid taastada ja administraatorid saavad enam kasutusel olevad kettad vahetada uute ülesannete vastu.
Kuidas AES-krüptimisega Kingstoni mälupulgad töötavad?
Kingston kasutab kõigi oma turvaliste draivide jaoks 256-bitist AES-XTS riistvarakrüptimist (kasutades valikulist täispikka võtit). Nagu eespool märkisime, sisaldavad välkmälupulgad oma komponentide baasis eraldi kiipi andmete krüptimiseks ja dekrüpteerimiseks, mis toimib pidevalt aktiivse juhuslike numbrite generaatorina.
Kui ühendate seadme esimest korda USB-porti, palub lähtestamise häälestusviisard määrata seadmele juurdepääsuks peaparool. Pärast draivi aktiveerimist hakkavad krüpteerimisalgoritmid automaatselt töötama vastavalt kasutaja eelistustele.
Samal ajal jääb kasutaja jaoks välkmäluseadme tööpõhimõte muutumatuks - ta saab endiselt faile seadme mällu alla laadida ja paigutada, nagu tavalise USB-mälupulgaga töötades. Ainus erinevus seisneb selles, et kui ühendate mälupulga uue arvutiga, peate oma teabele juurdepääsu saamiseks sisestama määratud parooli.
Miks ja kes vajab riistvaralise krüptimisega mälupulka?
Organisatsioonide jaoks, kus tundlikud andmed on osa äritegevusest (olgu see siis finants-, tervishoid või valitsus), on krüptimine kõige usaldusväärsem kaitsevahend. AES riistvara krüptimine on skaleeritav lahendus, mida saavad kasutada kõik ettevõtted: eraisikutest ja väikeettevõtetest suurkorporatsioonideni, aga ka sõjaväe- ja valitsusasutusteni. Selle probleemi täpsemaks vaatamiseks on vaja kasutada krüptitud USB-draive.
- Ettevõtte konfidentsiaalsete andmete turvalisuse tagamiseks
- Klientide teabe kaitsmiseks
- Kaitsta ettevõtteid saamata jäänud kasumi ja klientide lojaalsuse eest
Väärib märkimist, et mõned turvaliste välkmäluseadmete tootjad (sh Kingston) pakuvad ettevõtetele kohandatud lahendusi, mis on loodud vastama klientide vajadustele ja eesmärkidele. Kuid masstoodetud liinid (sealhulgas DataTraveleri mälupulgad) saavad oma ülesannetega suurepäraselt hakkama ja on võimelised pakkuma ettevõtteklassi turvalisust.
1. Ettevõtte konfidentsiaalsete andmete turvalisuse tagamine
2017. aastal avastas Londoni elanik ühest pargist USB-draivi, mis sisaldas parooliga kaitsmata Heathrow lennujaama turvalisusega seotud teavet, sealhulgas valvekaamerate asukohta ja üksikasjalikku teavet turvameetmete kohta, kui lennujaama saabub. kõrged ametnikud. Mälupulk sisaldas ka andmeid elektrooniliste pääsmete ja juurdepääsukoodide kohta lennujaama piirangualadele.
Analüütikud ütlevad, et selliste olukordade põhjuseks on ettevõtte töötajate küberkirjaoskamatus, kes võivad oma hooletusest salajasi andmeid "lekitada". Riistvaralise krüptimisega mälupulgad lahendavad selle probleemi osaliselt, sest sellise draivi kaotsimineku korral ei pääse te ilma sama turvatöötaja peaparoolita ligi sellel olevatele andmetele. Igal juhul ei muuda see olematuks tõsiasja, et töötajad peavad olema koolitatud mälupulkadega hakkama saama, isegi kui me räägime krüpteerimisega kaitstud seadmetest.
2. Kliendiinfo kaitsmine
Veelgi olulisem ülesanne iga organisatsiooni jaoks on hoolitseda kliendiandmete eest, mille puhul ei tohiks ohtu sattuda. Muide, just see teave liigub kõige sagedamini erinevate ärisektorite vahel ja on reeglina konfidentsiaalne: näiteks võib see sisaldada andmeid finantstehingute, haigusloo jms kohta.
3. Kaitse saamata jäänud kasumi ja klientide lojaalsuse eest
Riistvaralise krüptimisega USB-seadmete kasutamine võib aidata vältida laastavaid tagajärgi organisatsioonidele. Ettevõtteid, kes rikuvad isikuandmete kaitse seadusi, võidakse trahvida suurte summadega. Seetõttu tuleb esitada küsimus: kas tasub riskida teabe jagamisega ilma korraliku kaitseta?
Isegi ilma finantsmõju arvesse võtmata võib esinevate turbevigade parandamiseks kulutatud aeg ja ressurss olla sama märkimisväärne. Lisaks, kui andmetega seotud rikkumine ohustab klientide andmeid, riskib ettevõte kaubamärgilojaalsusega, eriti turgudel, kus on konkurendid, kes pakuvad sarnast toodet või teenust.
Kes garanteerib riistvaralise krüptimisega mälupulkade kasutamisel tootja „järjehoidjate” puudumise?
Meie tõstatatud teemas on see küsimus võib-olla üks peamisi. Kingston DataTraveleri draive käsitleva artikli kommentaaride hulgas leidsime veel ühe huvitava küsimuse: "Kas teie seadmetel on auditid kolmandate osapoolte sõltumatute spetsialistide poolt?" Noh... see on loogiline huvi: kasutajad tahavad veenduda, et meie USB-draivid ei sisaldaks levinud vigu, nagu nõrk krüptimine või võimalus parooli sisestamisest mööda minna. Ja artikli selles osas räägime sellest, millised sertifitseerimisprotseduurid Kingstoni draivid läbivad enne tõeliselt ohutute välkmäluseadmete oleku saamist.
Kes tagab usaldusväärsuse? Näib, et võiksime hästi öelda: "Kingston sai hakkama - see garanteerib selle." Kuid sel juhul on selline väide vale, kuna tootja on huvitatud pool. Seetõttu testib kõiki tooteid sõltumatute ekspertiisidega kolmas osapool. Eelkõige osalevad Kingstoni riistvaraga krüptitud draivid (välja arvatud DTLPG3) krüptograafilise mooduli valideerimisprogrammis (CMVP) ja on sertifitseeritud vastavalt föderaalsele teabetöötlusstandardile (FIPS). Draivid on sertifitseeritud ka GLBA, HIPPA, HITECH, PCI ja GTSA standardite järgi.
1. Krüptograafilise mooduli valideerimisprogramm
CMVP programm on USA kaubandusministeeriumi riikliku standardite ja tehnoloogia instituudi ja Kanada küberturvalisuse keskuse ühisprojekt. Projekti eesmärk on stimuleerida nõudlust tõestatud krüptoseadmete järele ja pakkuda turvamõõdikuid föderaalasutustele ja reguleeritud tööstusharudele (nt finants- ja tervishoiuasutused), mida kasutatakse seadmete hankimisel.
Riikliku vabatahtliku labori akrediteerimisprogrammi (NVLAP) poolt akrediteeritud sõltumatud krüptograafia- ja turbetestimislaborid testivad seadmeid krüptograafiliste ja turvanõuete järgi. Samal ajal kontrollitakse iga laboriaruande vastavust föderaalsele teabetöötlusstandardile (FIPS) 140-2 ja CMVP kinnitab selle.
USA ja Kanada föderaalasutustel soovitatakse kasutada mooduleid, mis on kinnitatud kui FIPS 140-2 ühilduvusele kuni 22. septembrini 2026. Pärast seda lisatakse need arhiivinimekirja, kuigi neid saab endiselt kasutada. 22. septembril 2020 lõppes taotluste vastuvõtt FIPS 140-3 standardi järgi kinnitamiseks. Kui seadmed läbivad kontrolli, viiakse need viieks aastaks testitud ja usaldusväärsete seadmete aktiivsesse nimekirja. Kui krüptograafiline seade ei läbi kontrolli, ei ole selle kasutamine Ameerika Ühendriikide ja Kanada valitsusasutustes soovitatav.
2. Milliseid turvanõudeid esitab FIPS sertifikaat?
Andmete häkkimine isegi sertifitseerimata krüptitud draivilt on keeruline ja vähesed inimesed saavad sellega hakkama, nii et kui valite sertifikaadiga kodukasutuseks mõeldud draivi, ei pea te vaeva nägema. Ettevõtete sektoris on olukord erinev: turvaliste USB-draivide valimisel peavad ettevõtted sageli oluliseks FIPS sertifitseerimistasemeid. Kõigil pole aga selget ettekujutust, mida need tasemed tähendavad.
Praegune FIPS 140-2 standard määratleb neli erinevat turbetaset, millele välkmälupulgad võivad vastata. Esimene tase pakub mõõdukat turvafunktsioonide komplekti. Neljas tase eeldab rangeid nõudeid seadmete enesekaitsele. Teine ja kolmas tase annavad nende nõuete gradatsiooni ja moodustavad omamoodi kuldse keskmise.
- XNUMX. taseme turvalisus: XNUMX. taseme sertifikaadiga USB-draivid nõuavad vähemalt ühte krüpteerimisalgoritmi või muud turvafunktsiooni.
- Teine turvalisuse tase: siin ei nõuta draivi mitte ainult krüptokaitse pakkumist, vaid ka püsivara tasemel volitamata sissetungi tuvastamist, kui keegi proovib draivi avada.
- Kolmas turvatase: hõlmab häkkimise vältimist krüpteerimisvõtmete hävitamise teel. See tähendab, et tungimiskatsetele on vaja reageerida. Samuti tagab kolmas tase kõrgema kaitsetaseme elektromagnetiliste häirete eest: see tähendab, et mälupulgalt andmete lugemine traadita häkkimisseadmete abil ei tööta.
- Neljas turbetase: kõrgeim tase, mis hõlmab krüptomooduli täielikku kaitset, mis tagab volitamata kasutaja mis tahes volitamata juurdepääsukatse avastamise ja vastutegevuse maksimaalse tõenäosuse. Neljanda taseme sertifikaadi saanud mälupulgad sisaldavad ka kaitsevõimalusi, mis ei võimalda häkkimist pinge ja ümbritseva õhu temperatuuri muutmisega.
Järgmised Kingstoni draivid on sertifitseeritud FIPS 140-2 2000. tasemele: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. Nende draivide põhiomadus on nende võime reageerida sissetungikatsele: kui parool sisestatakse XNUMX korda valesti, siis draivil olevad andmed hävivad.
Mida Kingstoni mälupulgad peale krüptimise veel teha saavad?
Täieliku andmeturbe puhul tulevad appi välkmäluseadmete riistvaraline krüptimine, sisseehitatud viirusetõrjed, kaitse välismõjude eest, sünkroonimine isiklike pilvedega ja muud funktsioonid, mida me allpool käsitleme. Tarkvaralise krüptimisega mälupulkadel pole suurt vahet. Kurat peitub detailides. Ja siin on mis.
1. Kingston DataTraveler 2000
Võtame näiteks USB-draivi. . See on üks riistvaralise krüptimisega mälupulkadest, kuid samal ajal ainus, millel on korpusel oma füüsiline klaviatuur. See 11-nupuline klaviatuur muudab DT2000 hostsüsteemidest täiesti sõltumatuks (DataTraveler 2000 kasutamiseks peate vajutama nuppu Key, seejärel sisestama oma parooli ja vajutama uuesti nuppu Key). Lisaks on sellel mälupulgal IP57 kaitseaste vee ja tolmu eest (üllatuslikult ei märgi Kingston seda kuskil ei pakendil ega ametliku veebisaidi spetsifikatsioonides).
DataTraveler 2000 sees on 40 mAh liitiumpolümeeraku ja Kingston soovitab ostjatel ühendada draiv enne kasutamist vähemalt tunniks USB-porti, et aku saaks laadida. Muide, ühes eelnevatest materjalidest : Muretsemiseks pole põhjust - mälupulk pole laadijas aktiveeritud, kuna süsteem ei esita kontrollerile päringuid. Seetõttu ei varasta keegi teie andmeid traadita sissetungimise kaudu.
2. Kingston DataTraveler Locker+ G3
Kui me räägime Kingstoni mudelist – see tõmbab tähelepanu võimalusega seadistada andmete varundamine mälupulgalt Google'i pilvmällu, OneDrive'i, Amazon Cloudi või Dropboxi. Pakutakse ka andmete sünkroonimist nende teenustega.
Üks küsimusi, mida meie lugejad meile esitavad, on: "Aga kuidas võtta varukoopiast krüpteeritud andmeid?" Väga lihtne. Fakt on see, et pilvega sünkroonimisel teave dekrüpteeritakse ja pilves oleva varunduse kaitse sõltub pilve enda võimalustest. Seetõttu tehakse selliseid protseduure ainult kasutaja äranägemisel. Ilma tema loata andmeid pilve üles ei laeta.
3. Kingston DataTraveler Vaulti privaatsus 3.0
Aga Kingstoni seadmed Neil on ka ESET-i sisseehitatud Drive Security viirusetõrje. Viimane kaitseb andmeid viiruste, nuhkvara, troojalaste, usside, juurkomplektide sissetungi eest USB-draivi ja ühendamise eest teiste inimeste arvutitega, võib öelda, et see ei karda. Viirusetõrje hoiatab koheselt draivi omanikku võimalike ohtude eest, kui neid tuvastatakse. Sellisel juhul ei pea kasutaja ise viirusetõrjetarkvara installima ja selle võimaluse eest maksma. ESET Drive Security on viieaastase litsentsiga mälupulgale eelinstallitud.
Kingston DT Vault Privacy 3.0 on loodud ja suunatud peamiselt IT-professionaalidele. See võimaldab administraatoritel seda kasutada eraldiseisva draivina või lisada selle tsentraliseeritud halduslahenduse osana ning seda saab kasutada ka paroolide konfigureerimiseks või kauglähtestamiseks ja seadmepoliitikate konfigureerimiseks. Kingston lisas isegi USB 3.0, mis võimaldab edastada turvalisi andmeid palju kiiremini kui USB 2.0.
Üldiselt on DT Vault Privacy 3.0 suurepärane võimalus ettevõtetele ja organisatsioonidele, kes nõuavad oma andmete maksimaalset kaitset. Seda võib soovitada ka kõigile kasutajatele, kes kasutavad avalikes võrkudes asuvaid arvuteid.
Kingstoni toodete kohta lisateabe saamiseks võtke ühendust .
Allikas: www.habr.com