چرا به درایوهای فلش با رمزگذاری سخت افزاری نیاز داریم؟

سلام، هابر! در نظرات به یکی از ما مطالبی در مورد درایوهای فلش خوانندگان سؤال جالبی پرسیدند: "چرا وقتی TrueCrypt در دسترس است به یک درایو فلش با رمزگذاری سخت افزاری نیاز دارید؟" - و حتی نگرانی هایی در مورد "چگونه می توانید مطمئن شوید که هیچ نشانک در نرم افزار و سخت افزار درایو Kingston وجود ندارد" ؟" ما به این سؤالات به اختصار پاسخ دادیم، اما سپس به این نتیجه رسیدیم که موضوع مستحق یک تحلیل اساسی است. این کاری است که در این پست انجام خواهیم داد.

رمزگذاری سخت‌افزاری AES، مانند رمزگذاری نرم‌افزار، مدت‌هاست که وجود داشته است، اما دقیقاً چگونه از داده‌های حساس روی درایوهای فلش محافظت می‌کند؟ چه کسی چنین درایوهایی را تأیید می کند و آیا می توان به این گواهینامه ها اعتماد کرد؟ اگر بتوانید از برنامه های رایگان مانند TrueCrypt یا BitLocker استفاده کنید، چه کسی به چنین درایوهای فلش "پیچیده" نیاز دارد. همانطور که می بینید موضوعی که در نظرات پرسیده می شود واقعاً سؤالات زیادی را ایجاد می کند. بیایید سعی کنیم همه چیز را بفهمیم.

رمزگذاری سخت افزاری چه تفاوتی با رمزگذاری نرم افزاری دارد؟

در مورد درایوهای فلش (همچنین هارد دیسک ها و SSD ها)، یک تراشه ویژه که بر روی برد مدار دستگاه قرار دارد برای اجرای رمزگذاری داده های سخت افزاری استفاده می شود. دارای یک مولد اعداد تصادفی داخلی است که کلیدهای رمزگذاری را تولید می کند. هنگامی که رمز عبور کاربری خود را وارد می کنید، داده ها به طور خودکار رمزگذاری می شوند و بلافاصله رمزگشایی می شوند. در این سناریو، دسترسی به داده ها بدون رمز عبور تقریبا غیرممکن است.

هنگام استفاده از رمزگذاری نرم افزاری، "قفل کردن" داده ها روی درایو توسط نرم افزار خارجی ارائه می شود که به عنوان یک جایگزین کم هزینه برای روش های رمزگذاری سخت افزاری عمل می کند. معایب چنین نرم افزاری ممکن است شامل نیاز پیش پا افتاده برای به روز رسانی منظم به منظور مقاومت در برابر تکنیک های هک در حال بهبود باشد. علاوه بر این، از قدرت یک فرآیند کامپیوتری (به جای یک تراشه سخت افزاری جداگانه) برای رمزگشایی داده ها استفاده می شود و در واقع، سطح حفاظت رایانه شخصی، سطح محافظت از درایو را تعیین می کند.

ویژگی اصلی درایوهای دارای رمزگذاری سخت افزاری یک پردازنده رمزنگاری مجزا است که وجود آن به ما می گوید که کلیدهای رمزگذاری هرگز از درایو USB خارج نمی شوند، برخلاف کلیدهای نرم افزاری که می توانند به طور موقت در حافظه رم یا هارد کامپیوتر ذخیره شوند. و از آنجا که رمزگذاری نرم‌افزار از حافظه رایانه شخصی برای ذخیره تعداد تلاش‌های ورود به سیستم استفاده می‌کند، نمی‌تواند حملات brute force به رمز عبور یا کلید را متوقف کند. شمارنده تلاش برای ورود به سیستم می تواند به طور مداوم توسط یک مهاجم بازنشانی شود تا زمانی که برنامه شکستن رمز عبور خودکار ترکیب مورد نظر را پیدا کند.

به هر حال ...، در نظرات به مقاله “Kingston DataTraveler: نسل جدیدی از درایوهای فلش ایمن«کاربران همچنین خاطرنشان کردند که، برای مثال، برنامه TrueCrypt یک حالت عملیاتی قابل حمل دارد. با این حال، این یک مزیت بزرگ نیست. واقعیت این است که در این حالت برنامه رمزگذاری در حافظه فلش درایو ذخیره می شود و این باعث می شود که در برابر حملات آسیب پذیرتر شود.

خط آخر: رویکرد نرم افزاری به اندازه رمزگذاری AES سطح امنیتی بالایی را ارائه نمی دهد. این بیشتر یک دفاع اساسی است. از سوی دیگر، رمزگذاری نرم‌افزاری داده‌های مهم هنوز بهتر از بدون رمزگذاری است. و این واقعیت به ما امکان می دهد به وضوح بین این نوع رمزنگاری تمایز قائل شویم: رمزگذاری سخت افزاری درایوهای فلش یک ضرورت است، بلکه برای بخش شرکتی (به عنوان مثال، زمانی که کارکنان شرکت از درایوهای صادر شده در محل کار استفاده می کنند). و نرم افزار برای نیازهای کاربر مناسب تر است.

با این حال، کینگستون مدل های درایو خود (به عنوان مثال، IronKey S1000) را به نسخه های Basic و Enterprise تقسیم می کند. از نظر عملکرد و ویژگی های حفاظتی، آنها تقریباً با یکدیگر یکسان هستند، اما نسخه شرکتی توانایی مدیریت درایو را با استفاده از نرم افزار SafeConsole/IronKey EMS ارائه می دهد. با استفاده از این نرم افزار، درایو با سرورهای ابری یا محلی کار می کند تا از راه دور حفاظت از رمز عبور و سیاست های دسترسی را اعمال کند. به کاربران این فرصت داده می شود تا رمزهای عبور گم شده را بازیابی کنند و مدیران می توانند درایوهایی را که دیگر استفاده نمی شوند به کارهای جدید تغییر دهند.

درایوهای فلش کینگستون با رمزگذاری AES چگونه کار می کنند؟

کینگستون از رمزگذاری سخت افزاری 256 بیتی AES-XTS (با استفاده از یک کلید تمام قد اختیاری) برای همه درایوهای امن خود استفاده می کند. همانطور که در بالا اشاره کردیم، درایوهای فلش در پایه اجزای خود یک تراشه جداگانه برای رمزگذاری و رمزگشایی داده ها دارند که به عنوان یک تولید کننده اعداد تصادفی دائما فعال عمل می کند.

هنگامی که دستگاهی را برای اولین بار به درگاه USB متصل می کنید، برنامه Initialization Setup Wizard از شما می خواهد که یک رمز عبور اصلی برای دسترسی به دستگاه تنظیم کنید. پس از فعال سازی درایو، الگوریتم های رمزگذاری به طور خودکار مطابق با تنظیمات کاربر شروع به کار می کنند.

در عین حال، برای کاربر، اصل عملکرد درایو فلش بدون تغییر باقی می ماند - او همچنان می تواند مانند هنگام کار با یک درایو فلش USB معمولی، فایل ها را بارگیری و در حافظه دستگاه قرار دهد. تنها تفاوت این است که وقتی فلش مموری را به رایانه جدیدی متصل می کنید، برای دسترسی به اطلاعات خود باید رمز عبور تعیین شده را وارد کنید.

چرا و چه کسی به درایوهای فلش با رمزگذاری سخت افزاری نیاز دارد؟

برای سازمان‌هایی که داده‌های حساس بخشی از تجارت هستند (اعم از مالی، مراقبت‌های بهداشتی یا دولتی)، رمزگذاری مطمئن‌ترین ابزار حفاظتی است. در این راستا، درایوهای فلش از 256 بیت پشتیبانی می کنند رمزگذاری سخت افزاری AES یک راه حل مقیاس پذیر است که می تواند توسط هر شرکتی استفاده شود: از افراد و مشاغل کوچک گرفته تا شرکت های بزرگ و همچنین سازمان های نظامی و دولتی. برای نگاه دقیق تر به این موضوع، استفاده از درایوهای USB رمزگذاری شده ضروری است:

• برای اطمینان از امنیت اطلاعات محرمانه شرکت
• برای محافظت از اطلاعات مشتری
• برای محافظت از شرکت ها در برابر از دست دادن سود و وفاداری مشتریان

شایان ذکر است که برخی از تولید کنندگان درایوهای فلش ایمن (از جمله کینگستون) راه حل های سفارشی شده ای را برای شرکت ها ارائه می دهند که برای رفع نیازها و اهداف مشتریان طراحی شده اند. اما خطوط تولید انبوه (از جمله درایوهای فلش DataTraveler) به خوبی از عهده وظایف خود بر می آیند و می توانند امنیت در سطح شرکتی را فراهم کنند.

1. تضمین امنیت داده های محرمانه شرکت

در سال 2017، یکی از ساکنان لندن یک درایو USB را در یکی از پارک‌ها کشف کرد که حاوی اطلاعات بدون رمز عبور مربوط به امنیت فرودگاه هیترو، از جمله مکان دوربین‌های نظارتی و اطلاعات دقیق در مورد اقدامات امنیتی در صورت ورود فرودگاه هیترو بود. مقامات عالی رتبه درایو فلش همچنین حاوی داده هایی در مورد گذرنامه های الکترونیکی و کدهای دسترسی به مناطق ممنوعه فرودگاه بود.

تحلیلگران می گویند دلیل چنین شرایطی بی سوادی سایبری کارمندان شرکت است که می توانند با سهل انگاری خود اطلاعات محرمانه را "نشت" کنند. درایوهای فلش با رمزگذاری سخت افزاری تا حدی این مشکل را حل می کنند، زیرا در صورت گم شدن چنین درایوی، بدون رمز عبور اصلی همان افسر امنیتی، نمی توانید به داده های موجود در آن دسترسی پیدا کنید. در هر صورت، این واقعیت را نفی نمی کند که کارمندان باید برای کار با درایوهای فلش آموزش ببینند، حتی اگر در مورد دستگاه هایی صحبت کنیم که با رمزگذاری محافظت می شوند.

2. حفاظت از اطلاعات مشتری

وظیفه مهم‌تر برای هر سازمان مراقبت از داده‌های مشتری است که نباید در معرض خطر به خطر افتادن باشد. به هر حال، این اطلاعات است که اغلب بین بخش های مختلف تجاری منتقل می شود و، به عنوان یک قاعده، محرمانه است: به عنوان مثال، ممکن است حاوی داده هایی در مورد تراکنش های مالی، تاریخچه پزشکی و غیره باشد.

3. محافظت در برابر از دست دادن سود و وفاداری مشتری

استفاده از دستگاه های USB با رمزگذاری سخت افزاری می تواند به جلوگیری از عواقب مخرب برای سازمان ها کمک کند. شرکت‌هایی که قوانین حفاظت از داده‌های شخصی را نقض می‌کنند، می‌توانند با مبالغ هنگفتی جریمه شوند. بنابراین، باید این سوال مطرح شود: آیا ارزش به اشتراک گذاری اطلاعات بدون حفاظت مناسب را دارد؟

حتی بدون در نظر گرفتن تأثیر مالی، مقدار زمان و منابع صرف شده برای تصحیح اشکالات امنیتی که رخ می دهند می تواند به همان اندازه قابل توجه باشد. علاوه بر این، اگر نقض داده‌ها داده‌های مشتری را به خطر بیندازد، شرکت وفاداری به برند را به خطر می‌اندازد، به‌ویژه در بازارهایی که رقبای وجود دارند که محصول یا خدمات مشابهی را ارائه می‌دهند.

چه کسی عدم وجود "نشانک" از سازنده را هنگام استفاده از درایوهای فلش با رمزگذاری سخت افزار تضمین می کند؟

در موضوعی که مطرح کردیم، شاید این سوال یکی از اصلی ترین ها باشد. در میان نظرات مقاله در مورد درایوهای Kingston DataTraveler، با سوال جالب دیگری مواجه شدیم: "آیا دستگاه های شما ممیزی از متخصصان مستقل شخص ثالث دارند؟" خوب... این یک علاقه منطقی است: کاربران می خواهند مطمئن شوند که درایوهای USB ما حاوی خطاهای رایجی مانند رمزگذاری ضعیف یا امکان دور زدن ورود رمز عبور نیستند. و در این قسمت از مقاله در مورد مراحل صدور گواهینامه درایوهای Kingston قبل از دریافت وضعیت درایوهای فلش واقعا ایمن صحبت خواهیم کرد.

چه کسی قابلیت اطمینان را تضمین می کند؟ به نظر می رسد که ما به خوبی می توانیم بگوییم، "کینگستون آن را ساخته است - آن را تضمین می کند." اما در این مورد، چنین بیانیه ای نادرست خواهد بود، زیرا سازنده یک طرف علاقه مند است. بنابراین تمامی محصولات توسط شخص ثالث با تخصص مستقل تست می شوند. به طور خاص، درایوهای رمزگذاری شده با سخت افزار کینگستون (به استثنای DTLPG3) در برنامه اعتبارسنجی ماژول رمزنگاری (CMVP) شرکت می کنند و دارای گواهی استاندارد پردازش اطلاعات فدرال (FIPS) هستند. درایوها همچنین بر اساس استانداردهای GLBA، HIPPA، HITECH، PCI و GTSA گواهی می‌شوند.

1. برنامه اعتبارسنجی ماژول رمزنگاری

برنامه CMVP پروژه مشترک موسسه ملی استاندارد و فناوری وزارت بازرگانی ایالات متحده و مرکز امنیت سایبری کانادا است. هدف این پروژه تحریک تقاضا برای دستگاه های رمزنگاری اثبات شده و ارائه معیارهای امنیتی به آژانس های فدرال و صنایع تحت نظارت (مانند موسسات مالی و مراقبت های بهداشتی) است که در تهیه تجهیزات استفاده می شود.

دستگاه‌ها در برابر مجموعه‌ای از الزامات رمزنگاری و امنیتی توسط آزمایشگاه‌های مستقل رمزنگاری و تست امنیت که توسط برنامه ملی تأیید اعتبار آزمایشگاهی داوطلبانه (NVLAP) معتبر هستند، آزمایش می‌شوند. در همان زمان، هر گزارش آزمایشگاهی برای انطباق با استاندارد پردازش اطلاعات فدرال (FIPS) 140-2 بررسی می شود و توسط CMVP تأیید می شود.

ماژول‌هایی که مطابق با FIPS 140-2 تأیید شده‌اند، برای استفاده توسط آژانس‌های فدرال ایالات متحده و کانادا تا 22 سپتامبر 2026 توصیه می‌شوند. پس از این، آنها در لیست بایگانی قرار می گیرند، اگرچه هنوز هم می توان از آنها استفاده کرد. در 22 سپتامبر 2020، پذیرش درخواست ها برای اعتبار سنجی طبق استاندارد FIPS 140-3 به پایان رسید. به محض اینکه دستگاه ها بررسی ها را گذراندند، به مدت پنج سال به لیست فعال دستگاه های آزمایش شده و قابل اعتماد منتقل می شوند. اگر دستگاه رمزنگاری تأیید را تأیید نکند، استفاده از آن در سازمان‌های دولتی در ایالات متحده و کانادا توصیه نمی‌شود.

2. گواهینامه FIPS چه الزامات امنیتی را اعمال می کند؟

هک کردن داده‌ها حتی از یک درایو رمزگذاری‌شده تایید نشده دشوار است و افراد کمی می‌توانند این کار را انجام دهند، بنابراین هنگام انتخاب یک درایو مصرف‌کننده برای مصارف خانگی همراه با گواهی، نیازی به زحمت نیست. در بخش شرکتی، وضعیت متفاوت است: هنگام انتخاب درایوهای USB ایمن، شرکت ها اغلب به سطوح گواهینامه FIPS اهمیت می دهند. با این حال، همه نمی دانند که این سطوح به چه معنا هستند.

استاندارد فعلی FIPS 140-2 چهار سطح امنیتی مختلف را تعریف می کند که درایوهای فلش می توانند برآورده شوند. سطح اول مجموعه ای متوسط ​​از ویژگی های امنیتی را ارائه می دهد. سطح چهارم مستلزم الزامات سختگیرانه برای محافظت از خود دستگاه ها است. سطوح دو و سه درجه بندی این الزامات را ارائه می دهند و نوعی میانگین طلایی را تشکیل می دهند.

1. امنیت سطح XNUMX: درایوهای USB تأیید شده سطح XNUMX حداقل به یک الگوریتم رمزگذاری یا سایر ویژگی های امنیتی نیاز دارند.
2. سطح دوم امنیت: در اینجا درایو نه تنها برای ارائه حفاظت رمزنگاری لازم است، بلکه برای شناسایی نفوذهای غیرمجاز در سطح سیستم عامل در صورتی که شخصی سعی در باز کردن درایو داشته باشد.
3. سطح سوم امنیت: شامل جلوگیری از هک با از بین بردن "کلیدهای" رمزگذاری می شود. یعنی پاسخ به تلاش‌های نفوذ مورد نیاز است. همچنین، سطح سوم سطح بالاتری از محافظت در برابر تداخل الکترومغناطیسی را تضمین می کند: یعنی خواندن داده ها از درایو فلش با استفاده از دستگاه های هک بی سیم کار نخواهد کرد.
4. چهارمین سطح امنیتی: بالاترین سطح، که شامل حفاظت کامل از ماژول رمزنگاری است، که حداکثر احتمال شناسایی و مقابله با هرگونه تلاش برای دسترسی غیرمجاز توسط یک کاربر غیرمجاز را فراهم می کند. فلش درایوهایی که گواهینامه سطح چهارم دریافت کرده اند نیز دارای گزینه های حفاظتی هستند که با تغییر ولتاژ و دمای محیط اجازه هک را نمی دهند.

درایوهای Kingston زیر دارای گواهی FIPS 140-2 سطح 2000 هستند: DataTraveler DT4000، DataTraveler DT2G1000، IronKey S300، IronKey D10. ویژگی کلیدی این درایوها توانایی آنها در پاسخگویی به تلاش های نفوذ است: اگر رمز عبور XNUMX بار اشتباه وارد شود، داده های درایو از بین می رود.

درایوهای فلش کینگستون به جز رمزگذاری چه کارهای دیگری می توانند انجام دهند؟

وقتی صحبت از امنیت کامل داده ها می شود، به همراه رمزگذاری سخت افزاری درایوهای فلش، آنتی ویروس های داخلی، محافظت در برابر تأثیرات خارجی، همگام سازی با ابرهای شخصی و سایر ویژگی هایی که در زیر به آنها خواهیم پرداخت، به کمک می آیند. تفاوت زیادی در درایوهای فلش با رمزگذاری نرم افزار وجود ندارد. شیطان در جزئیات است. و در اینجا چیست.

1. Kingston DataTraveler 2000

به عنوان مثال یک درایو USB را در نظر بگیرید. Kingston Data Traveler 2000. این یکی از درایوهای فلش با رمزگذاری سخت افزاری است، اما در عین حال تنها دارای صفحه کلید فیزیکی خود روی کیس است. این صفحه کلید 11 دکمه ای DT2000 را کاملاً از سیستم های میزبان مستقل می کند (برای استفاده از DataTraveler 2000 باید دکمه Key را فشار دهید، سپس رمز عبور خود را وارد کنید و دوباره دکمه Key را فشار دهید). علاوه بر این، این فلش مموری دارای درجه حفاظت IP57 در برابر آب و گرد و غبار است (با کمال تعجب، کینگستون این موضوع را در هیچ کجای بسته بندی یا در مشخصات وب سایت رسمی ذکر نکرده است).

یک باتری لیتیوم پلیمری 2000 میلی آمپر ساعتی در داخل DataTraveler 40 وجود دارد و کینگستون به خریداران توصیه می کند قبل از استفاده از درایو حداقل یک ساعت به درایو USB متصل شوند تا باتری شارژ شود. به هر حال، در یکی از مواد قبلی ما به شما گفتیم که چه اتفاقی برای فلش مموری می افتد که از پاوربانک شارژ می شود: دلیلی برای نگرانی وجود ندارد - درایو فلش در شارژر فعال نمی شود زیرا هیچ درخواستی از کنترلر توسط سیستم وجود ندارد. بنابراین، هیچ کس اطلاعات شما را از طریق نفوذ بی سیم به سرقت نخواهد برد.

2. Kingston DataTraveler Locker+ G3

اگر در مورد مدل کینگستون صحبت کنیم DataTraveler Locker + G3 - با قابلیت پیکربندی پشتیبان گیری از اطلاعات از یک درایو فلش به فضای ذخیره سازی ابری Google، OneDrive، Amazon Cloud یا Dropbox توجه را به خود جلب می کند. همگام سازی داده ها با این خدمات نیز ارائه شده است.

یکی از سوالاتی که خوانندگان ما از ما می پرسند این است: "اما چگونه داده های رمزگذاری شده را از یک نسخه پشتیبان بگیریم؟" بسیار ساده. واقعیت این است که هنگام همگام سازی با ابر، اطلاعات رمزگشایی می شوند و محافظت از پشتیبان گیری در ابر به قابلیت های خود ابر بستگی دارد. بنابراین، چنین رویه هایی صرفاً با صلاحدید کاربر انجام می شود. بدون اجازه او، هیچ داده ای در فضای ابری آپلود نخواهد شد.

3. Kingston DataTraveler Vault Privacy 3.0

اما دستگاه های کینگستون DataTraveler Vault Privacy 3.0 آنها همچنین با آنتی ویروس Drive Security داخلی ESET عرضه می شوند. دومی داده ها را از تهاجم درایو USB توسط ویروس ها، جاسوس افزارها، تروجان ها، کرم ها، روت کیت ها و اتصال به رایانه های دیگران محافظت می کند، شاید بتوان گفت ترسی ندارد. در صورت شناسایی تهدیدات احتمالی، آنتی ویروس فوراً به صاحب درایو هشدار می دهد. در این صورت کاربر نیازی به نصب نرم افزار آنتی ویروس و پرداخت هزینه این گزینه ندارد. ESET Drive Security از قبل روی فلش مموری با مجوز پنج ساله نصب شده است.

Kingston DT Vault Privacy 3.0 عمدتاً برای متخصصان فناوری اطلاعات طراحی و مورد هدف قرار گرفته است. این به مدیران اجازه می دهد تا از آن به عنوان یک درایو مستقل استفاده کنند یا آن را به عنوان بخشی از یک راه حل مدیریت متمرکز اضافه کنند، و همچنین می تواند برای پیکربندی یا بازنشانی رمزهای عبور از راه دور و پیکربندی خط مشی های دستگاه استفاده شود. کینگستون حتی USB 3.0 را نیز اضافه کرد که به شما امکان می دهد اطلاعات ایمن را بسیار سریعتر از USB 2.0 انتقال دهید.

به طور کلی، DT Vault Privacy 3.0 یک گزینه عالی برای بخش شرکت ها و سازمان هایی است که به حداکثر محافظت از داده های خود نیاز دارند. همچنین می توان آن را به تمام کاربرانی که از رایانه های مستقر در شبکه های عمومی استفاده می کنند توصیه کرد.

برای اطلاعات بیشتر در مورد محصولات کینگستون تماس بگیرید وب سایت رسمی شرکت.

منبع: www.habr.com