Kaixo, Habr! Gure baten iruzkinetan irakurleek galdera interesgarri bat egin zuten: "Zergatik behar duzu hardware-enkriptatzea duen flash drive bat TrueCrypt eskuragarri dagoenean?" - eta kezka batzuk ere adierazi zituzten "Nola ziurtatu laster-markarik ez dagoela Kingston disko baten softwarean eta hardwarean". ?β Galdera horiei labur erantzun genien, baina gero erabaki genuen gaiak oinarrizko azterketa bat merezi zuela. Hau da post honetan egingo duguna.
AES hardware-enkriptatzea, software-enkriptatzea bezala, aspalditik dago, baina nola babesten ditu zehatz-mehatz datu sentikorrak flash unitateetan? Nork ziurtatzen ditu disko horiek, eta fida daitezke ziurtagiri horiek? Nork behar ditu horrelako flash drive "konplexuak" TrueCrypt edo BitLocker bezalako doako programak erabil ditzakezun. Ikusten duzuenez, iruzkinetan planteatzen den gaiak galdera asko sortzen ditu benetan. Saia gaitezen dena asmatzen.
Zertan desberdintzen da hardware-enkriptatzea software-enkriptatzearekin?
Flash unitateen kasuan (baita HDDak eta SSDak ere), gailuaren zirkuitu plakan kokatutako txip berezi bat erabiltzen da hardwarearen datuen enkriptatzea ezartzeko. Zifratze-gakoak sortzen dituen ausazko zenbaki-sorgailu bat du. Datuak automatikoki enkriptatzen dira eta berehala deszifratzen dira erabiltzailearen pasahitza sartzen duzunean. Egoera honetan, ia ezinezkoa da pasahitzik gabe datuetara sartzea.
Software enkriptatzea erabiltzean, diskoko datuak "blokeatzea" kanpoko software batek ematen du, eta horrek kostu baxuko alternatiba gisa jarduten du hardware enkriptatzeko metodoen aurrean. Software horren desabantailak aldizkako eguneratzeen eskakizun hutsala izan daiteke, etengabe hobetzen diren hacking teknikei erresistentzia eskaintzeko. Horrez gain, ordenagailuaren prozesu baten boterea (hardware txip bereizi baten ordez) datuak deszifratzeko erabiltzen da, eta, hain zuzen ere, ordenagailuaren babes-mailak unitatearen babes-maila zehazten du.
Hardware-enkriptatzea duten unitateen ezaugarri nagusia prozesadore kriptografiko bereizia da, eta horren presentziak esaten digu enkriptazio-gakoek ez dutela inoiz USB diskotik irteten, ordenagailuaren RAM edo disko gogorrean aldi baterako gorde daitezkeen software-gakoak ez bezala. Eta software enkriptatzea ordenagailuaren memoria erabiltzen denez saioa hasteko saiakera kopurua gordetzeko, ezin ditu pasahitz edo gako baten aurkako indar gordinaren erasoak gelditu. Saioa hasteko saiakeraren kontagailua etengabe berrezarri dezake erasotzaile batek pasahitza automatikoki hausteko programak nahi den konbinazioa aurkitzen duen arte.
Bide batez..., artikuluari egindako iruzkinetan β"Erabiltzaileek ere adierazi dute, adibidez, TrueCrypt programak funtzionamendu modu eramangarri bat duela. Hala ere, hau ez da abantaila handi bat. Kontua da kasu honetan zifratze-programa pendrivearen memorian gordetzen dela, eta horrek erasoen aurrean zaurgarriagoa egiten duela.
Beheko lerroa: softwarearen ikuspegiak ez du AES enkriptatzea bezain segurtasun mailarik ematen. Oinarrizko defentsa bat gehiago da. Bestalde, datu garrantzitsuen software-enkriptatzea oraindik hobea da enkriptatzea ez baino. Eta gertakari honek kriptografia mota hauek argi eta garbi bereizteko aukera ematen digu: pendriveen hardware-enkriptatzea beharrezkoa da, aitzitik, enpresa-sektorearentzat (adibidez, enpresako langileek lanean emandako diskoak erabiltzen dituztenean); eta softwarea egokiagoa da erabiltzailearen beharretarako.
Hala ere, Kingston-ek bere unitate-ereduak (adibidez, IronKey S1000) oinarrizko eta Enterprise bertsioetan banatzen ditu. Funtzionalitateei eta babes-propietateei dagokienez, ia berdinak dira elkarren artean, baina bertsio korporatiboak diskoa SafeConsole/IronKey EMS softwarea erabiliz kudeatzeko gaitasuna eskaintzen du. Software honekin, diskoak hodeiko edo tokiko zerbitzariekin funtzionatzen du urrunetik pasahitza babesteko eta sarbide-politikak ezartzeko. Erabiltzaileei galdutako pasahitzak berreskuratzeko aukera ematen zaie, eta administratzaileek jada erabiltzen ez diren unitateak zeregin berrietara alda ditzakete.
Nola funtzionatzen dute AES enkriptatzea duten Kingston flash unitateek?
Kingston-ek 256 biteko AES-XTS hardware enkriptatzea erabiltzen du (luze osoko gako aukerakoa erabiliz) bere unitate seguru guztietarako. Goian adierazi dugun bezala, flash unitateek beren osagaien oinarrian datuak enkriptatzeko eta deszifratzeko txip bereizi bat dute, etengabe aktibo ausazko zenbaki-sorgailu gisa jarduten duena.
Gailu bat USB ataka batera lehen aldiz konektatzen duzunean, hasierako konfigurazio morroiak pasahitz nagusi bat ezartzeko gailuan sartzeko eskatzen dizu. Unitatea aktibatu ondoren, enkriptazio-algoritmoak automatikoki hasiko dira funtzionatzen erabiltzailearen hobespenen arabera.
Aldi berean, erabiltzailearentzat, flash drive-aren funtzionamendu-printzipioa aldatu gabe geratuko da; hala ere, fitxategiak deskargatu eta gailuaren memorian jarri ahal izango ditu, ohiko USB flash drive batekin lan egiten denean bezala. Desberdintasun bakarra da flash drivea ordenagailu berri batera konektatzen duzunean, ezarritako pasahitza sartu beharko duzula zure informazioa atzitzeko.
Zergatik eta nork behar ditu hardware enkriptatutako flash unitateak?
Datu sentikorrak negozioaren parte diren erakundeentzat (finantza, osasungintza edo gobernua), enkriptatzea da babes-bide fidagarriena. AES hardware enkriptatzea edozein konpainiak erabil dezakeen soluzio eskalagarria da: partikularrek eta enpresa txikiek korporazio handietara, baita militarrak eta gobernuak ere. Arazo hau zehatzago aztertzeko, beharrezkoa da enkriptatutako USB unitateak erabiltzea:
- Enpresaren isilpeko datuen segurtasuna bermatzeko
- Bezeroaren informazioa babesteko
- Enpresak irabazien galeratik eta bezeroen leialtasunetik babesteko
Aipatzekoa da flash unitate seguruen fabrikatzaile batzuek (Kingston barne) bezeroen behar eta helburuei erantzuteko diseinatutako soluzio pertsonalizatuak eskaintzen dizkietela korporazioei. Baina masiboki ekoitzitako lerroek (DataTraveler flash unitateak barne) ezin hobeto aurre egiten diete beren zereginei eta korporazio mailako segurtasuna eskaintzeko gai dira.
1. Enpresaren isilpeko datuen segurtasuna bermatzea
2017an, Londresko bizilagun batek USB disko bat aurkitu zuen parkeetako batean, pasahitzez babestuta ez zegoen informazioa zuen Heathrow aireportuko segurtasunarekin lotutako informazioa, zaintza kameren kokapena barne eta segurtasun neurriei buruzko informazio zehatza barne. goi karguak. Era berean, pendriveak aireportuko eremu mugatuetarako abonu elektronikoei eta sarbide-kodeei buruzko datuak zituen.
Analistek diote horrelako egoeren arrazoia enpresako langileen ziber-analfabetismoa dela, eta datu sekretuak euren arduragabekeriaz Β«isuriΒ» ditzakete. Hardware-enkriptatzea duten flash-unitateek arazo hau partzialki konpontzen dute, zeren eta disko hori galtzen bada, ezin izango dituzu bertako datuak sartu segurtasun-arduradun beraren pasahitz nagusirik gabe. Edonola ere, horrek ez du ukatzen langileak flash drive-ak maneiatzeko trebatu behar direnik, enkriptazio bidez babestutako gailuez ari bagara ere.
2. Bezeroen informazioa babestea
Are garrantzitsuagoa den edozein erakunderentzat bezeroen datuak zaintzea da, eta horiek ez lukete arriskuaren menpe egon behar. Bide batez, informazio hori da negozio-sektore ezberdinen artean gehien transferitzen dena eta, oro har, isilpekoa: adibidez, finantza-transakzioei buruzko datuak, historia medikoa, etab.
3. Irabazien galeraren eta bezeroen leialtasunaren aurkako babesa
Hardware enkriptatutako USB gailuak erabiltzeak erakundeentzako ondorio latzak saihesten lagun dezake. Datu pertsonalak babesteko legeak urratzen dituzten enpresei isun handiak jaso ditzakete. Horregatik, galdera egin behar da: merezi al du informazioa babestu gabe partekatzeko arriskua hartzea?
Eragin ekonomikoa kontuan hartu gabe ere, gertatzen diren segurtasun-akatsak zuzentzen gastatutako denbora eta baliabideak bezain garrantzitsuak izan daitezke. Gainera, datu-hauste batek bezeroen datuak arriskuan jartzen baditu, konpainiak markaren leialtasuna arriskuan jartzen du, batez ere antzeko produktu edo zerbitzu bat eskaintzen duten lehiakideak dauden merkatuetan.
Nork bermatzen du fabrikatzailearen "laster-markak" ez egotea hardware enkriptatutako flash unitateak erabiltzean?
Planteatu dugun gaian galdera hau da agian nagusietako bat. Kingston DataTraveler unitateei buruzko artikuluari egindako iruzkinen artean, beste galdera interesgarri bat topatu dugu: "Zure gailuek hirugarren aditu independenteen auditoriak dituzte?" Beno... interes logikoa da: erabiltzaileek ziurtatu nahi dute gure USB unitateek ohiko akatsik ez dutela eduki, hala nola enkriptazio ahula edo pasahitza saihesteko gaitasuna. Eta artikuluaren zati honetan Kingston unitateek benetan seguru dauden flash unitateen egoera jaso aurretik zer ziurtagiri-prozedurei buruz hitz egingo dugu.
Nork bermatzen du fidagarritasuna? Badirudi ondo esan genezakeela: "Kingston-ek egin zuen - bermatzen du". Baina kasu honetan, adierazpen hori okerra izango da, fabrikatzailea interesatua baita. Hori dela eta, produktu guztiak esperientzia independentea duen hirugarren batek probatzen ditu. Bereziki, Kingston hardware-enkriptatutako unitateak (DTLPG3 izan ezik) Cryptographic Module Validation Program (CMVP) parte hartzen dute eta Federal Information Processing Standard (FIPS) ziurtagiria dute. Unitateak GLBA, HIPPA, HITECH, PCI eta GTSA estandarren arabera ere ziurtatuta daude.
1. Modulu kriptografikoak baliozkotzeko programa
CMVP programa Estatu Batuetako Merkataritza Saileko Estandar eta Teknologia Institutu Nazionalaren eta Kanadako Zibersegurtasun Zentroaren baterako proiektu bat da. Proiektuaren helburua da frogatutako gailu kriptografikoen eskaria suspertzea eta ekipamenduen erosketan erabiltzen diren agentzia federalei eta industria arautuei (adibidez, finantza- eta osasun-erakundeei) segurtasun-neurriak eskaintzea.
Gailuak Borondatezko Laborategiak Egiaztatzeko Programa Nazionalak (NVLAP) akreditatutako kriptografia eta segurtasun probako laborategi independenteek kriptografi eta segurtasun eskakizun multzo baten arabera probatzen dituzte. Aldi berean, laborategiko txosten bakoitza Federal Information Processing Standard (FIPS) 140-2 betetzen dela egiaztatzen da eta CMVP-k berresten du.
FIPS 140-2 betetzen dutela egiaztatutako moduluak AEBetako eta Kanadako agentzia federalek 22ko irailaren 2026ra arte erabiltzeko gomendatzen dute. Horren ostean, artxiboen zerrendan sartuko dira, nahiz eta oraindik erabili ahal izango diren. 22ko irailaren 2020an, FIPS 140-3 estandarraren arabera baliozkotzeko eskaerak onartzea amaitu zen. Gailuek egiaztapenak gainditzen dituztenean, probatutako eta konfiantzazko gailuen zerrenda aktibora eramango dira bost urtez. Gailu kriptografiko batek egiaztapena gainditzen ez badu, ez da gomendagarria Estatu Batuetako eta Kanadako gobernu agentzietan erabiltzea.
2. Zer segurtasun-baldintza ezartzen ditu FIPS ziurtagiriak?
Ziurtagiririk gabeko disko enkriptatutako datuak pirateatzea zaila da eta jende gutxik egin dezake, beraz, ziurtagiriarekin etxeko erabilerarako kontsumitzaileen disko bat aukeratzerakoan, ez duzu trabarik izan behar. Enpresen sektorean, egoera bestelakoa da: USB unitate seguruak aukeratzerakoan, askotan, enpresek garrantzia ematen diete FIPS ziurtagiri mailei. Hala ere, denek ez dute argi maila hauek zer esan nahi duten.
Egungo FIPS 140-2 estandarrak flash unitateek bete ditzaketen lau segurtasun maila desberdin definitzen ditu. Lehen mailak segurtasun-eginbide multzo moderatua eskaintzen du. Laugarren mailak gailuen autobabeserako baldintza zorrotzak dakartza. Bigarren eta hiru mailak eskakizun horien mailaketa ematen dute eta urrezko bitarteko moduko bat osatzen dute.
- XNUMX. mailako segurtasuna: XNUMX. maila ziurtatutako USB unitateek gutxienez enkriptazio-algoritmo bat edo beste segurtasun-eginbide bat behar dute.
- Bigarren segurtasun-maila: hemen diskoa behar da babes kriptografikoa eskaintzeko ez ezik, firmware mailan baimenik gabeko intrusioak detektatzeko ere norbaitek diskoa irekitzen saiatzen bada.
- Hirugarren segurtasun-maila: hacking-a prebenitzea dakar enkriptazio "gakoak" suntsituz. Hau da, sartze-saiakerei erantzuna eman behar zaie. Gainera, hirugarren mailak interferentzia elektromagnetikoen aurkako babes maila handiagoa bermatzen du: hau da, haririk gabeko hacking gailuak erabiliz flash drive bateko datuak irakurtzeak ez du funtzionatuko.
- Laugarren segurtasun-maila: maila gorena, modulu kriptografikoaren erabateko babesa dakarrena, baimenik gabeko erabiltzaile batek baimendu gabeko sarbide-saiakerari detektatzeko eta aurre egiteko probabilitaterik handiena eskaintzen duena. Laugarren mailako ziurtagiria jaso duten flash unitateek tentsioa eta giro-tenperatura aldatuz pirateatzea onartzen ez duten babes-aukerak ere baditu.
Kingston unitate hauek FIPS 140-2 2000. mailarekin ziurtatuta daude: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. Unitate hauen ezaugarri nagusia intrusio-saiakerari erantzuteko gaitasuna da: pasahitza gaizki sartzen bada XNUMX aldiz, diskoko datuak suntsitu egingo dira.
Zer gehiago egin dezakete Kingston flash unitateek enkriptatzeaz gain?
Datuen segurtasun osoari dagokionez, flash unitateen hardware enkriptatzearekin batera, birusen aurkako integratuak, kanpoko eraginetatik babestea, hodei pertsonalekin sinkronizatzea eta jarraian eztabaidatuko ditugun beste funtzio batzuk salbatzen dira. Ez dago alde handirik software enkriptatzea duten flash unitateetan. Deabrua xehetasunetan dago. Eta hona zer.
1. Kingston DataTraveler 2000
Har dezagun USB disko bat adibidez. . Hau hardware enkriptatzea duten flash unitateetako bat da, baina, aldi berean, teklatu fisiko propioa duen kasuan bakarra. 11 botoidun teklatu honek DT2000 sistema ostalarietatik guztiz independentea egiten du (DataTraveler 2000 erabiltzeko, Tekla botoia sakatu behar duzu, ondoren pasahitza sartu eta berriro Tekla botoia sakatu). Gainera, pendrive honek uraren eta hautsaren aurkako IP57 babes-maila du (harrigarria bada ere, Kingston-ek ez du hori inon adierazten ez ontzian ez webgune ofizialeko zehaztapenetan).
DataTraveler 2000-ren barruan 40 mAh-ko litio-polimeroko bateria bat dago, eta Kingston-ek erosleei gomendatzen die erosleei diskoa USB ataka batean konektatzeko gutxienez ordubetez erabili aurretik, bateria kargatu ahal izateko. Bide batez, aurreko materialetako batean : Ez dago kezkatzeko arrazoirik - flash-unitatea ez dago aktibatuta kargagailuan, sistemak ez baitu kontroladoreari eskaerarik egiten. Hori dela eta, inork ez ditu zure datuak lapurtuko haririk gabeko intrusioen bidez.
2. Kingston DataTraveler Locker+ G3
Kingston ereduaz hitz egiten badugu - arreta erakartzen du flash drive batetik datuen babeskopia Google hodeiko biltegiratze, OneDrive, Amazon Cloud edo Dropboxera konfiguratzeko gaitasunarekin. Zerbitzu hauekin datuen sinkronizazioa ere eskaintzen da.
Gure irakurleek egiten diguten galderetako bat hau da: "Baina nola hartu enkriptatutako datuak babeskopi batetik?" Oso sinplea. Izan ere, hodeiarekin sinkronizatzean, informazioa deszifratzen da eta hodeian babeskopien babesa hodeiaren beraren gaitasunen araberakoa da. Hori dela eta, prozedura horiek erabiltzailearen erabakiaren arabera egiten dira. Haren baimenik gabe, ez da daturik igoko hodeira.
3. Kingston DataTraveler Vault Pribatutasuna 3.0
Baina Kingston gailuak ESET-en Drive Security antibirus bateratua ere badatoz. Azken honek birusek, spywareek, troiarrek, zizareek, rootkit-ek eta besteen ordenagailuekiko konexiotik babesten ditu datuak USB disko baten inbasiotik, esan liteke ez duela beldurrik. Antibirusak berehala ohartaraziko dio unitatearen jabeari balizko mehatxuei buruz, halakorik hautematen bada. Kasu honetan, erabiltzaileak ez du birusen aurkako softwarerik berak instalatu eta aukera hori ordaindu beharrik. ESET Drive Security aurrez instalatuta dago bost urteko lizentzia duen pendrive batean.
Kingston DT Vault Privacy 3.0 informatikako profesionalei zuzenduta dago batez ere. Administratzaileei disko autonomo gisa erabiltzeko edo kudeaketa zentralizatuko soluzio baten parte gisa gehitzeko aukera ematen die, eta pasahitzak konfiguratzeko edo urrunetik berrezartzeko eta gailuaren politikak konfiguratzeko ere erabil daiteke. Kingston-ek USB 3.0 ere gehitu zuen, eta horrek datu seguruak USB 2.0 baino askoz azkarrago transferitzeko aukera ematen du.
Oro har, DT Vault Privacy 3.0 aukera bikaina da euren datuen babesik handiena eskatzen duten enpresen sektorerako eta erakundeentzat. Sare publikoetan kokatutako ordenagailuak erabiltzen dituzten erabiltzaile guztiei ere gomenda daiteke.
Kingston produktuei buruzko informazio gehiago lortzeko, jarri harremanetan .
Iturria: www.habr.com