Hei, Habr! Kommenteissa yhdelle meistä lukijat kysyivät mielenkiintoisen kysymyksen: "Miksi tarvitset flash-aseman laitteistosalauksella, kun TrueCrypt on saatavilla?" - ja jopa ilmaisivat huolensa "Kuinka voit varmistaa, että Kingston-aseman ohjelmistossa ja laitteistossa ei ole kirjanmerkkejä ?” Vastasimme näihin kysymyksiin ytimekkäästi, mutta päätimme sitten, että aihe ansaitsi perusteellisen analyysin. Näin teemme tässä postauksessa.
AES-laitteistosalaus, kuten ohjelmistosalaus, on ollut olemassa jo pitkään, mutta kuinka se tarkalleen suojaa arkaluonteisia tietoja flash-asemilla? Kuka sertifioi tällaiset asemat, ja voidaanko näihin sertifikaatteihin luottaa? Kuka tarvitsee tällaisia "monimutkaisia" flash-asemia, jos voit käyttää ilmaisia ohjelmia, kuten TrueCrypt tai BitLocker. Kuten näette, kommenteissa kysytty aihe herättää todella paljon kysymyksiä. Yritetään selvittää se kaikki.
Miten laitteistosalaus eroaa ohjelmistosalauksesta?
Flash-asemien (sekä HDD- ja SSD-levyjen) tapauksessa käytetään laitteen piirilevyllä olevaa erityistä sirua laitteistotietojen salauksen toteuttamiseen. Siinä on sisäänrakennettu satunnaislukugeneraattori, joka luo salausavaimia. Tiedot salataan automaattisesti ja salaus puretaan välittömästi, kun annat käyttäjän salasanan. Tässä tilanteessa on lähes mahdotonta päästä käsiksi tietoihin ilman salasanaa.
Ohjelmistosalausta käytettäessä aseman tietojen "lukitus" tarjoaa ulkoinen ohjelmisto, joka toimii edullisena vaihtoehtona laitteistosalauksille. Tällaisten ohjelmistojen haittoja voivat olla säännölliset päivitykset, jotta ne voivat vastustaa jatkuvasti kehittyviä hakkerointitekniikoita. Lisäksi tietojen salauksen purkamiseen käytetään tietokoneprosessin tehoa (erillisen laitteistosirun sijaan), ja itse asiassa tietokoneen suojaustaso määrittää aseman suojaustason.
Laitteistosalauksella varustettujen asemien pääominaisuus on erillinen kryptografinen prosessori, jonka olemassaolo kertoo, että salausavaimet eivät koskaan poistu USB-asemasta, toisin kuin ohjelmistoavaimet, jotka voidaan tallentaa tilapäisesti tietokoneen RAM-muistiin tai kiintolevylle. Ja koska ohjelmiston salaus käyttää tietokoneen muistia kirjautumisyritysten lukumäärän tallentamiseen, se ei voi pysäyttää raakoja hyökkäyksiä salasanaan tai avaimeen. Hyökkääjä voi jatkuvasti nollata sisäänkirjautumisyrityslaskuria, kunnes automaattinen salasanamurto-ohjelma löytää halutun yhdistelmän.
Muuten..., artikkelin kommenteissa "”Käyttäjät totesivat myös, että esimerkiksi TrueCrypt-ohjelmassa on kannettava käyttötila. Tämä ei kuitenkaan ole suuri etu. Tosiasia on, että tässä tapauksessa salausohjelma tallennetaan flash-aseman muistiin, mikä tekee siitä alttiimman hyökkäyksille.
Bottom line: Ohjelmistolähestymistapa ei tarjoa yhtä korkeaa suojaustasoa kuin AES-salaus. Se on enemmän peruspuolustus. Toisaalta tärkeiden tietojen ohjelmistosalaus on silti parempi kuin salaamatta jättäminen. Ja tämä tosiasia antaa meille mahdollisuuden erottaa selkeästi nämä salaustyypit: flash-asemien laitteistosalaus on pikemminkin välttämättömyys yrityssektorille (esimerkiksi kun yrityksen työntekijät käyttävät työssä myönnettyjä asemia); ja ohjelmistot sopivat paremmin käyttäjien tarpeisiin.
Kingston kuitenkin jakaa käyttömallinsa (esimerkiksi IronKey S1000) Basic- ja Enterprise-versioihin. Toimivuuden ja suojausominaisuuksien suhteen ne ovat lähes identtisiä keskenään, mutta yritysversio tarjoaa mahdollisuuden hallita asemaa SafeConsole/IronKey EMS -ohjelmistolla. Tämän ohjelmiston avulla asema toimii joko pilvipalvelimien tai paikallisten palvelimien kanssa salasanasuojauksen ja pääsykäytäntöjen etävalmiiksi. Käyttäjille annetaan mahdollisuus palauttaa kadonneet salasanat, ja järjestelmänvalvojat voivat vaihtaa käyttämättömät asemat uusiin tehtäviin.
Kuinka Kingstonin flash-asemat AES-salauksella toimivat?
Kingston käyttää 256-bittistä AES-XTS-laitteistosalausta (käyttäen valinnaista täyspitkää avainta) kaikissa suojatuissa asemissaan. Kuten edellä totesimme, flash-asemat sisältävät komponenttipohjassaan erillisen sirun tietojen salaamista ja salauksen purkamista varten, joka toimii jatkuvasti aktiivisena satunnaislukugeneraattorina.
Kun liität laitteen USB-porttiin ensimmäistä kertaa, ohjattu alustusasetus pyytää sinua asettamaan pääsalasanan laitteen käyttöä varten. Kun asema on aktivoitu, salausalgoritmit alkavat toimia automaattisesti käyttäjän asetusten mukaisesti.
Samanaikaisesti käyttäjälle flash-aseman toimintaperiaate pysyy ennallaan - hän voi silti ladata ja sijoittaa tiedostoja laitteen muistiin, kuten työskennellessään tavallisen USB-muistitikun kanssa. Ainoa ero on, että kun liität flash-aseman uuteen tietokoneeseen, sinun on syötettävä asetettu salasana päästäksesi käsiksi tietoihisi.
Miksi ja kuka tarvitsee laitteistosalauksella varustettuja flash-asemia?
Organisaatioille, joissa arkaluontoiset tiedot ovat osa liiketoimintaa (olipa sitten talous-, terveydenhuolto- tai hallitus), salaus on luotettavin suojakeino. AES-laitteiston salaus on skaalautuva ratkaisu, jota voivat käyttää kaikki yritykset: yksityishenkilöistä ja pienyrityksistä suuriin yrityksiin sekä armeijan ja valtion organisaatioihin. Jos haluat tarkastella tätä ongelmaa hieman tarkemmin, salattujen USB-asemien käyttö on välttämätöntä:
- Yrityksen luottamuksellisten tietojen turvallisuuden varmistamiseksi
- Asiakastietojen suojaamiseksi
- Suojaamaan yrityksiä voittojen ja asiakasuskollisuuden menetyksiltä
On syytä huomata, että jotkut suojattujen flash-asemien valmistajat (mukaan lukien Kingston) tarjoavat yrityksille räätälöityjä ratkaisuja, jotka on suunniteltu vastaamaan asiakkaiden tarpeita ja tavoitteita. Mutta massatuotetut linjat (mukaan lukien DataTraveler-flash-asemat) selviävät tehtävistään täydellisesti ja pystyvät tarjoamaan yritystason turvallisuutta.
1. Yritysten luottamuksellisten tietojen turvallisuuden varmistaminen
Lontoon asukas löysi vuonna 2017 yhdestä puistosta USB-aseman, joka sisälsi salasanalla suojaamattomia Heathrow'n lentokentän turvallisuuteen liittyviä tietoja, mukaan lukien valvontakameroiden sijainnit ja yksityiskohtaiset tiedot turvatoimista lentokentän saapuessa. korkea-arvoisia virkamiehiä. Flash-asemassa oli myös tietoja sähköisistä kulkulupaista ja pääsykoodeista lentoaseman rajoitettuille alueille.
Analyytikot sanovat, että syynä tällaisiin tilanteisiin on yritysten työntekijöiden kyberlukutaidottomuus, jotka voivat "vuotaa" salaisia tietoja omasta huolimattomuudestaan. Laitteistosalauksella varustetut flash-asemat ratkaisevat osittain tämän ongelman, koska jos tällainen asema katoaa, et pääse käsiksi sen tietoihin ilman saman turvapäällikön pääsalasanaa. Joka tapauksessa tämä ei sulje pois sitä tosiasiaa, että työntekijät on koulutettava käsittelemään flash-asemia, vaikka puhuttaisiinkin salauksella suojatuista laitteista.
2. Asiakastietojen suojaaminen
Vielä tärkeämpi tehtävä mille tahansa organisaatiolle on huolehtia asiakastiedoista, joihin ei saa kohdistua kompromisseja. Muuten, juuri nämä tiedot siirretään useimmiten eri toimialojen välillä ja ovat pääsääntöisesti luottamuksellisia: ne voivat sisältää esimerkiksi tietoja taloustoimista, sairaushistoriasta jne.
3. Suoja voiton ja asiakasuskollisuuden menetyksiä vastaan
USB-laitteiden käyttäminen laitteistosalauksella voi auttaa estämään tuhoisat seuraukset organisaatioille. Yritykset, jotka rikkovat henkilötietolakeja, voivat saada suuria sakkoja. Siksi on kysyttävä: kannattaako ottaa riski jakaa tietoa ilman asianmukaista suojaa?
Vaikka taloudellisia vaikutuksia ei otettaisi huomioon, tietoturvavirheiden korjaamiseen käytetty aika ja resurssit voivat olla yhtä merkittäviä. Lisäksi, jos tietomurto vaarantaa asiakastiedot, yritys uhkaa brändiuskollisuutta erityisesti markkinoilla, joilla on kilpailijoita, jotka tarjoavat samanlaista tuotetta tai palvelua.
Kuka takaa, että valmistaja ei sisällä "kirjanmerkkejä", kun käytetään laitteistosalauksella varustettuja flash-asemia?
Esittelemässämme aiheessa tämä kysymys on ehkä yksi tärkeimmistä. Kingston DataTraveler -asemia käsittelevän artikkelin kommenteissa törmäsimme toiseen mielenkiintoiseen kysymykseen: "Onko laitteissasi tarkastuksia kolmansien osapuolien riippumattomilta asiantuntijoilta?" No... se on looginen etu: käyttäjät haluavat varmistaa, että USB-asemamme eivät sisällä yleisiä virheitä, kuten heikkoa salausta tai kykyä ohittaa salasanan syöttäminen. Ja tässä artikkelin osassa puhumme siitä, mitä sertifiointimenettelyjä Kingston-asemat käyvät läpi ennen kuin ne saavat todella turvallisten flash-asemien tilan.
Kuka takaa luotettavuuden? Vaikuttaa siltä, että voisimme hyvin sanoa, että "Kingston teki sen - se takaa sen." Mutta tässä tapauksessa tällainen lausunto on virheellinen, koska valmistaja on kiinnostunut osapuoli. Siksi kaikki tuotteet on testattu kolmannen osapuolen toimesta, jolla on riippumaton asiantuntemus. Erityisesti Kingstonin laitteistosalatut asemat (DTLPG3:a lukuun ottamatta) ovat Cryptographic Module Validation -ohjelman (CMVP) osallistujia ja niillä on liittovaltion tietojenkäsittelystandardin (FIPS) mukainen sertifikaatti. Asemat on myös sertifioitu GLBA-, HIPPA-, HITECH-, PCI- ja GTSA-standardien mukaisesti.
1. Salausmoduulin validointiohjelma
CMVP-ohjelma on Yhdysvaltain kauppaministeriön National Institute of Standards and Technology -instituutin ja Kanadan kyberturvallisuuskeskuksen yhteinen projekti. Projektin tavoitteena on stimuloida todistettujen salauslaitteiden kysyntää ja tarjota tietoturvamittareita liittovaltion virastoille ja säännellyille teollisuudenaloille (kuten rahoitus- ja terveydenhuoltolaitoksille), joita käytetään laitehankinnassa.
Kansallisen vapaaehtoisen laboratorioiden akkreditointiohjelman (NVLAP) akkreditoimat riippumattomat salaus- ja turvatestauslaboratoriot testaavat laitteet tiettyjen salaus- ja turvallisuusvaatimusten mukaisesti. Samanaikaisesti jokainen laboratorioraportti tarkastetaan liittovaltion tietojenkäsittelystandardin (FIPS) 140-2:n noudattamisen suhteen ja CMVP vahvistaa sen.
Yhdysvaltain ja Kanadan liittovaltion virastot suosittelevat FIPS 140-2 -yhteensopiviksi vahvistettuja moduuleja 22. syyskuuta 2026 asti. Tämän jälkeen ne sisällytetään arkistoluetteloon, vaikka niitä voidaan edelleen käyttää. 22 FIPS 2020-140 -standardin mukaisten validointihakemusten vastaanottaminen päättyi. Kun laitteet läpäisevät tarkastukset, ne siirretään aktiiviselle testattujen ja luotettujen laitteiden listalle viideksi vuodeksi. Jos salauslaite ei läpäise varmennusta, sen käyttöä Yhdysvaltojen ja Kanadan valtion virastoissa ei suositella.
2. Mitä turvallisuusvaatimuksia FIPS-sertifiointi asettaa?
Tietojen hakkerointi jopa sertifioimattomalta salatulta asemalta on vaikeaa ja harvat siihen pystyvät, joten kun valitset sertifioidun kuluttajalevyn kotikäyttöön, sinun ei tarvitse vaivautua. Yrityssektorilla tilanne on toinen: turvallisia USB-asemia valitessaan yritykset kiinnittävät usein huomiota FIPS-sertifiointitasoihin. Kaikilla ei kuitenkaan ole selkeää käsitystä siitä, mitä nämä tasot tarkoittavat.
Nykyinen FIPS 140-2 -standardi määrittelee neljä erilaista suojaustasoa, jotka flash-asemat voivat täyttää. Ensimmäinen taso tarjoaa kohtuullisen suojausominaisuuksia. Neljäs taso edellyttää tiukkoja vaatimuksia laitteiden itsesuojaukselle. Tasot XNUMX ja XNUMX tarjoavat näiden vaatimusten porrastuksen ja muodostavat eräänlaisen kultaisen keskikohdan.
- Tason XNUMX suojaus: Tason XNUMX sertifioidut USB-asemat vaativat vähintään yhden salausalgoritmin tai muun suojausominaisuuden.
- Toinen suojaustaso: tässä asemaa ei vaadita vain salaussuojauksen tarjoamiseksi, vaan myös luvattoman tunkeutumisen havaitsemiseksi laiteohjelmistotasolla, jos joku yrittää avata aseman.
- Kolmas turvallisuustaso: sisältää hakkeroinnin estämisen tuhoamalla salausavaimia. Toisin sanoen vaaditaan vastaus tunkeutumisyrityksiin. Kolmas taso takaa myös korkeamman suojan sähkömagneettisia häiriöitä vastaan: eli tietojen lukeminen flash-asemalta langattomien hakkerointilaitteiden avulla ei toimi.
- Neljäs suojaustaso: korkein taso, joka sisältää täydellisen salausmoduulin suojauksen, joka tarjoaa suurimman todennäköisyyden havaita ja estää luvattoman käyttäjän luvattoman pääsyn yrityksiin. Neljännen tason sertifikaatin saaneet flash-asemat sisältävät myös suojausvaihtoehtoja, jotka eivät salli hakkerointia jännitettä ja ympäristön lämpötilaa muuttamalla.
Seuraavat Kingston-asemat on sertifioitu FIPS 140-2 Level 2000 -standardin mukaan: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. Näiden asemien tärkein ominaisuus on niiden kyky vastata tunkeutumisyritykseen: jos salasana syötetään väärin XNUMX kertaa, aseman tiedot tuhoutuvat.
Mitä muuta Kingstonin flash-asemat voivat tehdä salauksen lisäksi?
Kun kyse on täydellisestä tietoturvasta, sekä flash-asemien laitteistosalaus, sisäänrakennetut virustorjuntaohjelmat, suojaus ulkoisilta vaikutuksilta, synkronointi henkilökohtaisten pilvien kanssa ja muut ominaisuudet, joista keskustelemme alla, tulevat apuun. Ohjelmistosalauksella varustetuissa flash-asemissa ei ole suuria eroja. Paholainen on yksityiskohdissa. Ja tässä mitä.
1. Kingston DataTraveler 2000
Otetaan esimerkiksi USB-asema. . Tämä on yksi laitteistosalauksella varustetuista flash-asemista, mutta samalla ainoa, jossa on oma fyysinen näppäimistö kotelossa. Tämä 11-painikkeinen näppäimistö tekee DT2000:sta täysin riippumattoman isäntäjärjestelmistä (DataTraveler 2000:n käyttämiseksi sinun on painettava avainpainiketta, syötettävä salasana ja painettava Avain-painiketta uudelleen). Lisäksi tällä flash-asemalla on IP57-suojausaste vettä ja pölyä vastaan (yllättävää kyllä, Kingston ei mainitse tätä missään pakkauksessa tai virallisen verkkosivuston teknisissä tiedoissa).
DataTraveler 2000:n sisällä on 40 mAh:n litiumpolymeeriakku, ja Kingston neuvoo ostajia kytkemään aseman USB-porttiin vähintään tunnin ajaksi ennen käyttöä, jotta akku latautuu. Muuten, yhdessä aiemmista materiaaleista : Ei ole syytä huoleen - flash-asema ei ole aktivoitu laturissa, koska järjestelmä ei ole pyytänyt ohjainyksikköä. Siksi kukaan ei varasta tietojasi langattomien tunkeutumisten kautta.
2. Kingston DataTraveler Locker+ G3
Jos puhumme Kingstonin mallista – Se herättää huomion mahdollisuudella konfiguroida tietojen varmuuskopiointi flash-asemasta Googlen pilvitallennustilaan, OneDriveen, Amazon Cloudiin tai Dropboxiin. Tietojen synkronointi näiden palvelujen kanssa on myös saatavilla.
Yksi lukijoidemme meille esittämistä kysymyksistä on: "Mutta kuinka ottaa salattua tietoa varmuuskopiosta?" Erittäin yksinkertainen. Tosiasia on, että synkronoitaessa pilven kanssa tietojen salaus puretaan, ja pilven varmuuskopion suojaus riippuu itse pilven ominaisuuksista. Siksi tällaiset toimenpiteet suoritetaan yksinomaan käyttäjän harkinnan mukaan. Ilman hänen lupaansa tietoja ei ladata pilveen.
3. Kingston DataTraveler Vault -tietosuoja 3.0
Mutta Kingstonin laitteet Niissä on myös sisäänrakennettu ESETin Drive Security -virustorjunta. Jälkimmäinen suojaa tietoja viruksilta, vakoiluohjelmilta, troijalaisilta, madoilta, rootkit-ohjelmilta ja yhteydeltä muiden tietokoneisiin, voisi sanoa, että se ei pelkää. Viruksentorjunta varoittaa välittömästi aseman omistajaa mahdollisista uhista, jos sellaisia havaitaan. Tässä tapauksessa käyttäjän ei tarvitse itse asentaa virustorjuntaohjelmistoa ja maksaa tästä vaihtoehdosta. ESET Drive Security on esiasennettu flash-asemaan viiden vuoden lisenssillä.
Kingston DT Vault Privacy 3.0 on suunniteltu ja suunnattu ensisijaisesti IT-ammattilaisille. Sen avulla järjestelmänvalvojat voivat käyttää sitä itsenäisenä asemana tai lisätä sen osaksi keskitettyä hallintaratkaisua, ja sitä voidaan käyttää myös salasanojen määrittämiseen tai etäasetusten palauttamiseen ja laitekäytäntöjen määrittämiseen. Kingston lisäsi jopa USB 3.0:n, jonka avulla voit siirtää suojattuja tietoja paljon nopeammin kuin USB 2.0.
Kaiken kaikkiaan DT Vault Privacy 3.0 on erinomainen vaihtoehto yrityssektorille ja organisaatioille, jotka vaativat tietojensa maksimaalista suojaa. Sitä voidaan myös suositella kaikille käyttäjille, jotka käyttävät julkisissa verkoissa olevia tietokoneita.
Lisätietoja Kingstonin tuotteista saat ottamalla yhteyttä .
Lähde: will.com