سلام، هابر! در نظرات به یکی از ما
رمزگذاری سختافزاری AES، مانند رمزگذاری نرمافزار، مدتهاست که وجود داشته است، اما دقیقاً چگونه از دادههای حساس روی درایوهای فلش محافظت میکند؟ چه کسی چنین درایوهایی را تأیید می کند و آیا می توان به این گواهینامه ها اعتماد کرد؟ اگر بتوانید از برنامه های رایگان مانند TrueCrypt یا BitLocker استفاده کنید، چه کسی به چنین درایوهای فلش "پیچیده" نیاز دارد. همانطور که می بینید موضوعی که در نظرات پرسیده می شود واقعاً سؤالات زیادی را ایجاد می کند. بیایید سعی کنیم همه چیز را بفهمیم.
رمزگذاری سخت افزاری چه تفاوتی با رمزگذاری نرم افزاری دارد؟
در مورد درایوهای فلش (همچنین هارد دیسک ها و SSD ها)، یک تراشه ویژه که بر روی برد مدار دستگاه قرار دارد برای اجرای رمزگذاری داده های سخت افزاری استفاده می شود. دارای یک مولد اعداد تصادفی داخلی است که کلیدهای رمزگذاری را تولید می کند. هنگامی که رمز عبور کاربری خود را وارد می کنید، داده ها به طور خودکار رمزگذاری می شوند و بلافاصله رمزگشایی می شوند. در این سناریو، دسترسی به داده ها بدون رمز عبور تقریبا غیرممکن است.
هنگام استفاده از رمزگذاری نرم افزاری، "قفل کردن" داده ها روی درایو توسط نرم افزار خارجی ارائه می شود که به عنوان یک جایگزین کم هزینه برای روش های رمزگذاری سخت افزاری عمل می کند. معایب چنین نرم افزاری ممکن است شامل نیاز پیش پا افتاده برای به روز رسانی منظم به منظور مقاومت در برابر تکنیک های هک در حال بهبود باشد. علاوه بر این، از قدرت یک فرآیند کامپیوتری (به جای یک تراشه سخت افزاری جداگانه) برای رمزگشایی داده ها استفاده می شود و در واقع، سطح حفاظت رایانه شخصی، سطح محافظت از درایو را تعیین می کند.
ویژگی اصلی درایوهای دارای رمزگذاری سخت افزاری یک پردازنده رمزنگاری مجزا است که وجود آن به ما می گوید که کلیدهای رمزگذاری هرگز از درایو USB خارج نمی شوند، برخلاف کلیدهای نرم افزاری که می توانند به طور موقت در حافظه رم یا هارد کامپیوتر ذخیره شوند. و از آنجا که رمزگذاری نرمافزار از حافظه رایانه شخصی برای ذخیره تعداد تلاشهای ورود به سیستم استفاده میکند، نمیتواند حملات brute force به رمز عبور یا کلید را متوقف کند. شمارنده تلاش برای ورود به سیستم می تواند به طور مداوم توسط یک مهاجم بازنشانی شود تا زمانی که برنامه شکستن رمز عبور خودکار ترکیب مورد نظر را پیدا کند.
به هر حال ...، در نظرات به مقاله “
خط آخر: رویکرد نرم افزاری به اندازه رمزگذاری AES سطح امنیتی بالایی را ارائه نمی دهد. این بیشتر یک دفاع اساسی است. از سوی دیگر، رمزگذاری نرمافزاری دادههای مهم هنوز بهتر از بدون رمزگذاری است. و این واقعیت به ما امکان می دهد به وضوح بین این نوع رمزنگاری تمایز قائل شویم: رمزگذاری سخت افزاری درایوهای فلش یک ضرورت است، بلکه برای بخش شرکتی (به عنوان مثال، زمانی که کارکنان شرکت از درایوهای صادر شده در محل کار استفاده می کنند). و نرم افزار برای نیازهای کاربر مناسب تر است.
با این حال، کینگستون مدل های درایو خود (به عنوان مثال، IronKey S1000) را به نسخه های Basic و Enterprise تقسیم می کند. از نظر عملکرد و ویژگی های حفاظتی، آنها تقریباً با یکدیگر یکسان هستند، اما نسخه شرکتی توانایی مدیریت درایو را با استفاده از نرم افزار SafeConsole/IronKey EMS ارائه می دهد. با استفاده از این نرم افزار، درایو با سرورهای ابری یا محلی کار می کند تا از راه دور حفاظت از رمز عبور و سیاست های دسترسی را اعمال کند. به کاربران این فرصت داده می شود تا رمزهای عبور گم شده را بازیابی کنند و مدیران می توانند درایوهایی را که دیگر استفاده نمی شوند به کارهای جدید تغییر دهند.
درایوهای فلش کینگستون با رمزگذاری AES چگونه کار می کنند؟
کینگستون از رمزگذاری سخت افزاری 256 بیتی AES-XTS (با استفاده از یک کلید تمام قد اختیاری) برای همه درایوهای امن خود استفاده می کند. همانطور که در بالا اشاره کردیم، درایوهای فلش در پایه اجزای خود یک تراشه جداگانه برای رمزگذاری و رمزگشایی داده ها دارند که به عنوان یک تولید کننده اعداد تصادفی دائما فعال عمل می کند.
هنگامی که دستگاهی را برای اولین بار به درگاه USB متصل می کنید، برنامه Initialization Setup Wizard از شما می خواهد که یک رمز عبور اصلی برای دسترسی به دستگاه تنظیم کنید. پس از فعال سازی درایو، الگوریتم های رمزگذاری به طور خودکار مطابق با تنظیمات کاربر شروع به کار می کنند.
در عین حال، برای کاربر، اصل عملکرد درایو فلش بدون تغییر باقی می ماند - او همچنان می تواند مانند هنگام کار با یک درایو فلش USB معمولی، فایل ها را بارگیری و در حافظه دستگاه قرار دهد. تنها تفاوت این است که وقتی فلش مموری را به رایانه جدیدی متصل می کنید، برای دسترسی به اطلاعات خود باید رمز عبور تعیین شده را وارد کنید.
چرا و چه کسی به درایوهای فلش با رمزگذاری سخت افزاری نیاز دارد؟
برای سازمانهایی که دادههای حساس بخشی از تجارت هستند (اعم از مالی، مراقبتهای بهداشتی یا دولتی)، رمزگذاری مطمئنترین ابزار حفاظتی است.
- برای اطمینان از امنیت اطلاعات محرمانه شرکت
- برای محافظت از اطلاعات مشتری
- برای محافظت از شرکت ها در برابر از دست دادن سود و وفاداری مشتریان
شایان ذکر است که برخی از تولید کنندگان درایوهای فلش ایمن (از جمله کینگستون) راه حل های سفارشی شده ای را برای شرکت ها ارائه می دهند که برای رفع نیازها و اهداف مشتریان طراحی شده اند. اما خطوط تولید انبوه (از جمله درایوهای فلش DataTraveler) به خوبی از عهده وظایف خود بر می آیند و می توانند امنیت در سطح شرکتی را فراهم کنند.
1. تضمین امنیت داده های محرمانه شرکت
در سال 2017، یکی از ساکنان لندن یک درایو USB را در یکی از پارکها کشف کرد که حاوی اطلاعات بدون رمز عبور مربوط به امنیت فرودگاه هیترو، از جمله مکان دوربینهای نظارتی و اطلاعات دقیق در مورد اقدامات امنیتی در صورت ورود فرودگاه هیترو بود. مقامات عالی رتبه درایو فلش همچنین حاوی داده هایی در مورد گذرنامه های الکترونیکی و کدهای دسترسی به مناطق ممنوعه فرودگاه بود.
تحلیلگران می گویند دلیل چنین شرایطی بی سوادی سایبری کارمندان شرکت است که می توانند با سهل انگاری خود اطلاعات محرمانه را "نشت" کنند. درایوهای فلش با رمزگذاری سخت افزاری تا حدی این مشکل را حل می کنند، زیرا در صورت گم شدن چنین درایوی، بدون رمز عبور اصلی همان افسر امنیتی، نمی توانید به داده های موجود در آن دسترسی پیدا کنید. در هر صورت، این واقعیت را نفی نمی کند که کارمندان باید برای کار با درایوهای فلش آموزش ببینند، حتی اگر در مورد دستگاه هایی صحبت کنیم که با رمزگذاری محافظت می شوند.
2. حفاظت از اطلاعات مشتری
وظیفه مهمتر برای هر سازمان مراقبت از دادههای مشتری است که نباید در معرض خطر به خطر افتادن باشد. به هر حال، این اطلاعات است که اغلب بین بخش های مختلف تجاری منتقل می شود و، به عنوان یک قاعده، محرمانه است: به عنوان مثال، ممکن است حاوی داده هایی در مورد تراکنش های مالی، تاریخچه پزشکی و غیره باشد.
3. محافظت در برابر از دست دادن سود و وفاداری مشتری
استفاده از دستگاه های USB با رمزگذاری سخت افزاری می تواند به جلوگیری از عواقب مخرب برای سازمان ها کمک کند. شرکتهایی که قوانین حفاظت از دادههای شخصی را نقض میکنند، میتوانند با مبالغ هنگفتی جریمه شوند. بنابراین، باید این سوال مطرح شود: آیا ارزش به اشتراک گذاری اطلاعات بدون حفاظت مناسب را دارد؟
حتی بدون در نظر گرفتن تأثیر مالی، مقدار زمان و منابع صرف شده برای تصحیح اشکالات امنیتی که رخ می دهند می تواند به همان اندازه قابل توجه باشد. علاوه بر این، اگر نقض دادهها دادههای مشتری را به خطر بیندازد، شرکت وفاداری به برند را به خطر میاندازد، بهویژه در بازارهایی که رقبای وجود دارند که محصول یا خدمات مشابهی را ارائه میدهند.
چه کسی عدم وجود "نشانک" از سازنده را هنگام استفاده از درایوهای فلش با رمزگذاری سخت افزار تضمین می کند؟
در موضوعی که مطرح کردیم، شاید این سوال یکی از اصلی ترین ها باشد. در میان نظرات مقاله در مورد درایوهای Kingston DataTraveler، با سوال جالب دیگری مواجه شدیم: "آیا دستگاه های شما ممیزی از متخصصان مستقل شخص ثالث دارند؟" خوب... این یک علاقه منطقی است: کاربران می خواهند مطمئن شوند که درایوهای USB ما حاوی خطاهای رایجی مانند رمزگذاری ضعیف یا امکان دور زدن ورود رمز عبور نیستند. و در این قسمت از مقاله در مورد مراحل صدور گواهینامه درایوهای Kingston قبل از دریافت وضعیت درایوهای فلش واقعا ایمن صحبت خواهیم کرد.
چه کسی قابلیت اطمینان را تضمین می کند؟ به نظر می رسد که ما به خوبی می توانیم بگوییم، "کینگستون آن را ساخته است - آن را تضمین می کند." اما در این مورد، چنین بیانیه ای نادرست خواهد بود، زیرا سازنده یک طرف علاقه مند است. بنابراین تمامی محصولات توسط شخص ثالث با تخصص مستقل تست می شوند. به طور خاص، درایوهای رمزگذاری شده با سخت افزار کینگستون (به استثنای DTLPG3) در برنامه اعتبارسنجی ماژول رمزنگاری (CMVP) شرکت می کنند و دارای گواهی استاندارد پردازش اطلاعات فدرال (FIPS) هستند. درایوها همچنین بر اساس استانداردهای GLBA، HIPPA، HITECH، PCI و GTSA گواهی میشوند.
1. برنامه اعتبارسنجی ماژول رمزنگاری
برنامه CMVP پروژه مشترک موسسه ملی استاندارد و فناوری وزارت بازرگانی ایالات متحده و مرکز امنیت سایبری کانادا است. هدف این پروژه تحریک تقاضا برای دستگاه های رمزنگاری اثبات شده و ارائه معیارهای امنیتی به آژانس های فدرال و صنایع تحت نظارت (مانند موسسات مالی و مراقبت های بهداشتی) است که در تهیه تجهیزات استفاده می شود.
دستگاهها در برابر مجموعهای از الزامات رمزنگاری و امنیتی توسط آزمایشگاههای مستقل رمزنگاری و تست امنیت که توسط برنامه ملی تأیید اعتبار آزمایشگاهی داوطلبانه (NVLAP) معتبر هستند، آزمایش میشوند. در همان زمان، هر گزارش آزمایشگاهی برای انطباق با استاندارد پردازش اطلاعات فدرال (FIPS) 140-2 بررسی می شود و توسط CMVP تأیید می شود.
ماژولهایی که مطابق با FIPS 140-2 تأیید شدهاند، برای استفاده توسط آژانسهای فدرال ایالات متحده و کانادا تا 22 سپتامبر 2026 توصیه میشوند. پس از این، آنها در لیست بایگانی قرار می گیرند، اگرچه هنوز هم می توان از آنها استفاده کرد. در 22 سپتامبر 2020، پذیرش درخواست ها برای اعتبار سنجی طبق استاندارد FIPS 140-3 به پایان رسید. به محض اینکه دستگاه ها بررسی ها را گذراندند، به مدت پنج سال به لیست فعال دستگاه های آزمایش شده و قابل اعتماد منتقل می شوند. اگر دستگاه رمزنگاری تأیید را تأیید نکند، استفاده از آن در سازمانهای دولتی در ایالات متحده و کانادا توصیه نمیشود.
2. گواهینامه FIPS چه الزامات امنیتی را اعمال می کند؟
هک کردن دادهها حتی از یک درایو رمزگذاریشده تایید نشده دشوار است و افراد کمی میتوانند این کار را انجام دهند، بنابراین هنگام انتخاب یک درایو مصرفکننده برای مصارف خانگی همراه با گواهی، نیازی به زحمت نیست. در بخش شرکتی، وضعیت متفاوت است: هنگام انتخاب درایوهای USB ایمن، شرکت ها اغلب به سطوح گواهینامه FIPS اهمیت می دهند. با این حال، همه نمی دانند که این سطوح به چه معنا هستند.
استاندارد فعلی FIPS 140-2 چهار سطح امنیتی مختلف را تعریف می کند که درایوهای فلش می توانند برآورده شوند. سطح اول مجموعه ای متوسط از ویژگی های امنیتی را ارائه می دهد. سطح چهارم مستلزم الزامات سختگیرانه برای محافظت از خود دستگاه ها است. سطوح دو و سه درجه بندی این الزامات را ارائه می دهند و نوعی میانگین طلایی را تشکیل می دهند.
- امنیت سطح XNUMX: درایوهای USB تأیید شده سطح XNUMX حداقل به یک الگوریتم رمزگذاری یا سایر ویژگی های امنیتی نیاز دارند.
- سطح دوم امنیت: در اینجا درایو نه تنها برای ارائه حفاظت رمزنگاری لازم است، بلکه برای شناسایی نفوذهای غیرمجاز در سطح سیستم عامل در صورتی که شخصی سعی در باز کردن درایو داشته باشد.
- سطح سوم امنیت: شامل جلوگیری از هک با از بین بردن "کلیدهای" رمزگذاری می شود. یعنی پاسخ به تلاشهای نفوذ مورد نیاز است. همچنین، سطح سوم سطح بالاتری از محافظت در برابر تداخل الکترومغناطیسی را تضمین می کند: یعنی خواندن داده ها از درایو فلش با استفاده از دستگاه های هک بی سیم کار نخواهد کرد.
- چهارمین سطح امنیتی: بالاترین سطح، که شامل حفاظت کامل از ماژول رمزنگاری است، که حداکثر احتمال شناسایی و مقابله با هرگونه تلاش برای دسترسی غیرمجاز توسط یک کاربر غیرمجاز را فراهم می کند. فلش درایوهایی که گواهینامه سطح چهارم دریافت کرده اند نیز دارای گزینه های حفاظتی هستند که با تغییر ولتاژ و دمای محیط اجازه هک را نمی دهند.
درایوهای Kingston زیر دارای گواهی FIPS 140-2 سطح 2000 هستند: DataTraveler DT4000، DataTraveler DT2G1000، IronKey S300، IronKey D10. ویژگی کلیدی این درایوها توانایی آنها در پاسخگویی به تلاش های نفوذ است: اگر رمز عبور XNUMX بار اشتباه وارد شود، داده های درایو از بین می رود.
درایوهای فلش کینگستون به جز رمزگذاری چه کارهای دیگری می توانند انجام دهند؟
وقتی صحبت از امنیت کامل داده ها می شود، به همراه رمزگذاری سخت افزاری درایوهای فلش، آنتی ویروس های داخلی، محافظت در برابر تأثیرات خارجی، همگام سازی با ابرهای شخصی و سایر ویژگی هایی که در زیر به آنها خواهیم پرداخت، به کمک می آیند. تفاوت زیادی در درایوهای فلش با رمزگذاری نرم افزار وجود ندارد. شیطان در جزئیات است. و در اینجا چیست.
1. Kingston DataTraveler 2000
به عنوان مثال یک درایو USB را در نظر بگیرید.
یک باتری لیتیوم پلیمری 2000 میلی آمپر ساعتی در داخل DataTraveler 40 وجود دارد و کینگستون به خریداران توصیه می کند قبل از استفاده از درایو حداقل یک ساعت به درایو USB متصل شوند تا باتری شارژ شود. به هر حال، در یکی از مواد قبلی
2. Kingston DataTraveler Locker+ G3
اگر در مورد مدل کینگستون صحبت کنیم
یکی از سوالاتی که خوانندگان ما از ما می پرسند این است: "اما چگونه داده های رمزگذاری شده را از یک نسخه پشتیبان بگیریم؟" بسیار ساده. واقعیت این است که هنگام همگام سازی با ابر، اطلاعات رمزگشایی می شوند و محافظت از پشتیبان گیری در ابر به قابلیت های خود ابر بستگی دارد. بنابراین، چنین رویه هایی صرفاً با صلاحدید کاربر انجام می شود. بدون اجازه او، هیچ داده ای در فضای ابری آپلود نخواهد شد.
3. Kingston DataTraveler Vault Privacy 3.0
اما دستگاه های کینگستون
Kingston DT Vault Privacy 3.0 عمدتاً برای متخصصان فناوری اطلاعات طراحی و مورد هدف قرار گرفته است. این به مدیران اجازه می دهد تا از آن به عنوان یک درایو مستقل استفاده کنند یا آن را به عنوان بخشی از یک راه حل مدیریت متمرکز اضافه کنند، و همچنین می تواند برای پیکربندی یا بازنشانی رمزهای عبور از راه دور و پیکربندی خط مشی های دستگاه استفاده شود. کینگستون حتی USB 3.0 را نیز اضافه کرد که به شما امکان می دهد اطلاعات ایمن را بسیار سریعتر از USB 2.0 انتقال دهید.
به طور کلی، DT Vault Privacy 3.0 یک گزینه عالی برای بخش شرکت ها و سازمان هایی است که به حداکثر محافظت از داده های خود نیاز دارند. همچنین می توان آن را به تمام کاربرانی که از رایانه های مستقر در شبکه های عمومی استفاده می کنند توصیه کرد.
برای اطلاعات بیشتر در مورد محصولات کینگستون تماس بگیرید
منبع: www.habr.com