Bonjour Habr! Dans les commentaires à l'un de nos les lecteurs ont posé une question intéressante : "Pourquoi avez-vous besoin d'un lecteur flash avec cryptage matériel alors que TrueCrypt est disponible ?" - et ont même exprimé quelques inquiétudes quant à "Comment pouvez-vous vous assurer qu'il n'y a pas de signets dans le logiciel et le matériel d'un lecteur Kingston ?" Nous avons répondu succinctement à ces questions, mais avons ensuite décidé que le sujet méritait une analyse fondamentale. C'est ce que nous ferons dans cet article.
Le cryptage matériel AES, tout comme le cryptage logiciel, existe depuis longtemps, mais comment protège-t-il exactement les données sensibles sur les clés USB ? Qui certifie ces disques, et peut-on faire confiance à ces certifications ? Qui a besoin de lecteurs flash aussi « complexes » si vous pouvez utiliser des programmes gratuits comme TrueCrypt ou BitLocker. Comme vous pouvez le constater, le sujet abordé dans les commentaires soulève vraiment beaucoup de questions. Essayons de tout comprendre.
En quoi le chiffrement matériel diffère-t-il du chiffrement logiciel ?
Dans le cas des lecteurs flash (ainsi que des disques durs et SSD), une puce spéciale située sur le circuit imprimé de l'appareil est utilisée pour mettre en œuvre le cryptage matériel des données. Il dispose d'un générateur de nombres aléatoires intégré qui génère des clés de cryptage. Les données sont automatiquement cryptées et décryptées instantanément lorsque vous saisissez votre mot de passe utilisateur. Dans ce scénario, il est presque impossible d’accéder aux données sans mot de passe.
Lorsque vous utilisez le cryptage logiciel, le « verrouillage » des données sur le disque est assuré par un logiciel externe, qui constitue une alternative peu coûteuse aux méthodes de cryptage matériel. Les inconvénients de tels logiciels peuvent inclure l’exigence banale de mises à jour régulières afin d’offrir une résistance aux techniques de piratage en constante amélioration. De plus, la puissance d'un processus informatique (plutôt qu'une puce matérielle distincte) est utilisée pour décrypter les données et, en fait, le niveau de protection du PC détermine le niveau de protection du lecteur.
La principale caractéristique des lecteurs avec cryptage matériel est un processeur cryptographique distinct, dont la présence nous indique que les clés de cryptage ne quittent jamais la clé USB, contrairement aux clés logicielles qui peuvent être temporairement stockées dans la RAM ou le disque dur de l'ordinateur. Et comme le cryptage logiciel utilise la mémoire du PC pour stocker le nombre de tentatives de connexion, il ne peut pas arrêter les attaques par force brute sur un mot de passe ou une clé. Le compteur de tentatives de connexion peut être réinitialisé en permanence par un attaquant jusqu'à ce que le programme de piratage automatique de mot de passe trouve la combinaison souhaitée.
D'ailleurs..., dans les commentaires de l'article «« Les utilisateurs ont également noté que, par exemple, le programme TrueCrypt dispose d'un mode de fonctionnement portable. Cependant, ce n’est pas un gros avantage. Le fait est que dans ce cas, le programme de cryptage est stocké dans la mémoire du lecteur flash, ce qui le rend plus vulnérable aux attaques.
En résumé : l’approche logicielle n’offre pas un niveau de sécurité aussi élevé que le cryptage AES. Il s'agit plutôt d'une défense de base. D’un autre côté, le cryptage logiciel des données importantes est toujours préférable à l’absence de cryptage du tout. Et ce fait nous permet de distinguer clairement ces types de cryptographie : le cryptage matériel des clés USB est plutôt une nécessité pour le secteur des entreprises (par exemple, lorsque les employés de l'entreprise utilisent les clés délivrées au travail) ; et le logiciel est plus adapté aux besoins des utilisateurs.
Cependant, Kingston divise ses modèles de disques (par exemple, IronKey S1000) en versions Basic et Enterprise. En termes de fonctionnalités et de propriétés de protection, ils sont presque identiques les uns aux autres, mais la version entreprise offre la possibilité de gérer le lecteur à l'aide du logiciel SafeConsole/IronKey EMS. Avec ce logiciel, le lecteur fonctionne avec des serveurs cloud ou locaux pour appliquer à distance la protection par mot de passe et les politiques d'accès. Les utilisateurs ont la possibilité de récupérer les mots de passe perdus et les administrateurs peuvent basculer les lecteurs qui ne sont plus utilisés vers de nouvelles tâches.
Comment fonctionnent les clés USB Kingston avec cryptage AES ?
Kingston utilise un cryptage matériel AES-XTS 256 bits (à l'aide d'une clé complète en option) pour tous ses disques sécurisés. Comme nous l'avons noté ci-dessus, les lecteurs flash contiennent dans leur base de composants une puce distincte pour le cryptage et le déchiffrement des données, qui agit comme un générateur de nombres aléatoires constamment actif.
Lorsque vous connectez un périphérique à un port USB pour la première fois, l'assistant de configuration d'initialisation vous invite à définir un mot de passe principal pour accéder au périphérique. Après avoir activé le lecteur, les algorithmes de cryptage commenceront automatiquement à fonctionner conformément aux préférences de l'utilisateur.
Dans le même temps, pour l'utilisateur, le principe de fonctionnement de la clé USB restera inchangé : il pourra toujours télécharger et placer des fichiers dans la mémoire de l'appareil, comme lorsqu'il travaille avec une clé USB ordinaire. La seule différence est que lorsque vous connectez la clé USB à un nouvel ordinateur, vous devrez saisir le mot de passe défini pour accéder à vos informations.
Pourquoi et qui a besoin de clés USB avec cryptage matériel ?
Pour les organisations où des données sensibles font partie de leurs activités (qu'elles soient financières, de santé ou gouvernementales), le cryptage est le moyen de protection le plus fiable. Le chiffrement matériel AES est une solution évolutive qui peut être utilisée par n'importe quelle entreprise : des particuliers et petites entreprises aux grandes entreprises, en passant par les organisations militaires et gouvernementales. Pour examiner ce problème un peu plus spécifiquement, l’utilisation de clés USB cryptées est nécessaire :
- Pour assurer la sécurité des données confidentielles de l’entreprise
- Pour protéger les informations des clients
- Pour protéger les entreprises des pertes de profits et de fidélisation des clients
Il convient de noter que certains fabricants de clés USB sécurisées (dont Kingston) proposent aux entreprises des solutions personnalisées conçues pour répondre aux besoins et aux objectifs des clients. Mais les lignes produites en série (y compris les lecteurs flash DataTraveler) s'acquittent parfaitement de leurs tâches et sont capables d'assurer une sécurité de classe entreprise.
1. Assurer la sécurité des données confidentielles de l'entreprise
En 2017, un résident de Londres a découvert dans l'un des parcs une clé USB contenant des informations non protégées par mot de passe liées à la sécurité de l'aéroport d'Heathrow, notamment l'emplacement des caméras de surveillance et des informations détaillées sur les mesures de sécurité en cas d'arrivée de hauts fonctionnaires. La clé USB contenait également des données sur les laissez-passer électroniques et les codes d'accès aux zones réglementées de l'aéroport.
Selon les analystes, de telles situations s’expliquent par le cyberanalphabétisme des employés de l’entreprise, qui peuvent « divulguer » des données secrètes par leur propre négligence. Les lecteurs flash avec cryptage matériel résolvent en partie ce problème, car si un tel lecteur est perdu, vous ne pourrez pas accéder aux données qu'il contient sans le mot de passe principal du même responsable de la sécurité. Dans tous les cas, cela n'empêche pas les employés d'être formés à la manipulation des clés USB, même s'il s'agit d'appareils protégés par cryptage.
2. Protection des informations client
Une tâche encore plus importante pour toute organisation est de prendre soin des données clients, qui ne doivent pas être soumises à un risque de compromission. D'ailleurs, ce sont ces informations qui sont le plus souvent transférées entre différents secteurs d'activité et, en règle générale, sont confidentielles : elles peuvent par exemple contenir des données sur des transactions financières, des antécédents médicaux, etc.
3. Protection contre la perte de profit et la fidélisation de la clientèle
L’utilisation de périphériques USB dotés d’un chiffrement matériel peut contribuer à éviter des conséquences dévastatrices pour les organisations. Les entreprises qui enfreignent les lois sur la protection des données personnelles peuvent se voir infliger de lourdes amendes. Dès lors, la question doit être posée : vaut-il la peine de prendre le risque de partager des informations sans protection adéquate ?
Même sans prendre en compte l’impact financier, le temps et les ressources consacrés à la correction des bugs de sécurité qui surviennent peuvent être tout aussi importants. De plus, si une violation de données compromet les données des clients, l'entreprise risque de fidéliser sa marque, en particulier sur les marchés où des concurrents proposent un produit ou un service similaire.
Qui garantit l'absence de « signets » du fabricant lors de l'utilisation de clés USB avec cryptage matériel ?
Dans le sujet que nous avons évoqué, cette question est peut-être l'une des principales. Parmi les commentaires sur l'article sur les disques Kingston DataTraveler, nous sommes tombés sur une autre question intéressante : « Vos appareils font-ils l'objet d'audits par des spécialistes tiers indépendants ? Eh bien... c'est un intérêt logique : les utilisateurs veulent s'assurer que nos clés USB ne contiennent pas d'erreurs courantes, comme un cryptage faible ou la possibilité de contourner la saisie d'un mot de passe. Et dans cette partie de l'article, nous parlerons des procédures de certification que subissent les disques Kingston avant de recevoir le statut de lecteurs flash véritablement sûrs.
Qui garantit la fiabilité ? Il semblerait que nous pourrions très bien dire : « Kingston a réussi – il le garantit ». Mais dans ce cas, une telle affirmation sera incorrecte, puisque le fabricant est une partie intéressée. C'est pourquoi tous les produits sont testés par un tiers disposant d'une expertise indépendante. En particulier, les disques chiffrés matériels Kingston (à l'exception du DTLPG3) participent au programme de validation du module cryptographique (CMVP) et sont certifiés selon la norme fédérale de traitement de l'information (FIPS). Les disques sont également certifiés selon les normes GLBA, HIPPA, HITECH, PCI et GTSA.
1. Programme de validation du module cryptographique
Le programme CMVP est un projet conjoint du National Institute of Standards and Technology du département américain du Commerce et du Centre canadien de cybersécurité. L'objectif du projet est de stimuler la demande de dispositifs cryptographiques éprouvés et de fournir des mesures de sécurité aux agences fédérales et aux secteurs réglementés (tels que les institutions financières et de santé) qui sont utilisés dans l'achat d'équipements.
Les appareils sont testés par rapport à un ensemble d'exigences cryptographiques et de sécurité par des laboratoires indépendants de tests de cryptographie et de sécurité accrédités par le Programme national d'accréditation des laboratoires volontaires (NVLAP). Dans le même temps, la conformité de chaque rapport de laboratoire à la norme FIPS (Federal Information Processing Standard) 140-2 est vérifiée et confirmée par le CMVP.
Les modules vérifiés comme étant conformes à la norme FIPS 140-2 sont recommandés pour une utilisation par les agences fédérales américaines et canadiennes jusqu'au 22 septembre 2026. Après cela, ils seront inclus dans la liste des archives, mais ils pourront toujours être utilisés. Le 22 septembre 2020, l'acceptation des demandes de validation selon la norme FIPS 140-3 a pris fin. Une fois les contrôles réussis, les appareils seront déplacés vers la liste active des appareils testés et fiables pendant cinq ans. Si un dispositif cryptographique échoue à la vérification, son utilisation dans les agences gouvernementales aux États-Unis et au Canada n'est pas recommandée.
2. Quelles exigences de sécurité la certification FIPS impose-t-elle ?
Le piratage de données, même à partir d'un disque crypté non certifié, est difficile et peu de gens peuvent le faire. Ainsi, lorsque vous choisissez un disque grand public pour un usage domestique avec certification, vous n'avez pas à vous en soucier. Dans le secteur des entreprises, la situation est différente : lorsqu'elles choisissent des clés USB sécurisées, les entreprises attachent souvent de l'importance aux niveaux de certification FIPS. Cependant, tout le monde n’a pas une idée claire de ce que signifient ces niveaux.
La norme FIPS 140-2 actuelle définit quatre niveaux de sécurité différents auxquels les lecteurs flash peuvent répondre. Le premier niveau fournit un ensemble modéré de fonctionnalités de sécurité. Le quatrième niveau implique des exigences strictes en matière d'autoprotection des appareils. Les niveaux deux et trois fournissent une gradation de ces exigences et forment une sorte de juste milieu.
- Sécurité de niveau XNUMX : les clés USB certifiées de niveau XNUMX nécessitent au moins un algorithme de cryptage ou une autre fonctionnalité de sécurité.
- Le deuxième niveau de sécurité : ici, le disque doit non seulement assurer une protection cryptographique, mais également détecter les intrusions non autorisées au niveau du firmware si quelqu'un tente d'ouvrir le disque.
- Le troisième niveau de sécurité : consiste à empêcher le piratage en détruisant les « clés » de chiffrement. Autrement dit, une réponse aux tentatives de pénétration est requise. De plus, le troisième niveau garantit un niveau de protection plus élevé contre les interférences électromagnétiques : c'est-à-dire que la lecture des données d'une clé USB à l'aide de dispositifs de piratage sans fil ne fonctionnera pas.
- Le quatrième niveau de sécurité : le niveau le plus élevé, qui implique une protection complète du module cryptographique, qui offre la probabilité maximale de détection et de lutte contre toute tentative d'accès non autorisé par un utilisateur non autorisé. Les lecteurs flash ayant reçu un certificat de quatrième niveau incluent également des options de protection qui empêchent le piratage en modifiant la tension et la température ambiante.
Les disques Kingston suivants sont certifiés FIPS 140-2 niveau 2000 : DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. La principale caractéristique de ces disques est leur capacité à répondre à une tentative d'intrusion : si le mot de passe est mal saisi XNUMX fois, les données du disque seront détruites.
Que peuvent faire les clés USB Kingston en dehors du chiffrement ?
Lorsqu'il s'agit de sécurité complète des données, le cryptage matériel des lecteurs flash, les antivirus intégrés, la protection contre les influences externes, la synchronisation avec les cloud personnels et d'autres fonctionnalités dont nous parlerons ci-dessous viennent à la rescousse. Il n'y a pas de grande différence entre les clés USB avec cryptage logiciel. Le diable est dans les détails. Et voici quoi.
1. Kingston DataTraveler 2000
Prenons par exemple une clé USB. . Il s'agit de l'un des lecteurs flash dotés d'un cryptage matériel, mais en même temps du seul doté de son propre clavier physique sur le boîtier. Ce clavier à 11 boutons rend le DT2000 complètement indépendant des systèmes hôtes (pour utiliser le DataTraveler 2000, vous devez appuyer sur le bouton Clé, puis saisir votre mot de passe et appuyer à nouveau sur le bouton Clé). De plus, cette clé USB a un degré de protection IP57 contre l'eau et la poussière (étonnamment, Kingston ne l'indique nulle part ni sur l'emballage ni dans les spécifications du site officiel).
Il y a une batterie au lithium polymère de 2000 mAh à l'intérieur du DataTraveler 40, et Kingston conseille aux acheteurs de brancher le lecteur sur un port USB pendant au moins une heure avant de l'utiliser pour permettre à la batterie de se charger. À propos, dans l'un des documents précédents : Il n'y a aucune raison de s'inquiéter - la clé USB n'est pas activée dans le chargeur car le système ne demande aucune requête au contrôleur. Par conséquent, personne ne volera vos données via des intrusions sans fil.
2. Casier DataTraveler+ G3 de Kingston
Si nous parlons du modèle Kingston – il attire l'attention avec la possibilité de configurer la sauvegarde des données d'une clé USB vers le stockage cloud de Google, OneDrive, Amazon Cloud ou Dropbox. La synchronisation des données avec ces services est également fournie.
L’une des questions que nous posent nos lecteurs est : « Mais comment extraire des données cryptées d’une sauvegarde ? Très simple. Le fait est que lors de la synchronisation avec le cloud, les informations sont déchiffrées et la protection de la sauvegarde sur le cloud dépend des capacités du cloud lui-même. Par conséquent, ces procédures sont effectuées uniquement à la discrétion de l'utilisateur. Sans son autorisation, aucune donnée ne sera téléchargée sur le cloud.
3. Confidentialité du coffre-fort Kingston DataTraveler 3.0
Mais les appareils Kingston Ils sont également livrés avec l’antivirus Drive Security intégré d’ESET. Ce dernier protège les données de l'invasion d'une clé USB par des virus, des logiciels espions, des chevaux de Troie, des vers, des rootkits et de la connexion aux ordinateurs d'autrui, pourrait-on dire, il n'a pas peur. L'antivirus avertira instantanément le propriétaire du lecteur des menaces potentielles, le cas échéant. Dans ce cas, l'utilisateur n'a pas besoin d'installer lui-même un logiciel antivirus ni de payer pour cette option. ESET Drive Security est préinstallé sur une clé USB avec une licence de cinq ans.
Kingston DT Vault Privacy 3.0 est conçu et destiné principalement aux professionnels de l'informatique. Il permet aux administrateurs de l'utiliser comme lecteur autonome ou de l'ajouter dans le cadre d'une solution de gestion centralisée, et peut également être utilisé pour configurer ou réinitialiser à distance les mots de passe et configurer les politiques des appareils. Kingston a même ajouté l'USB 3.0, qui vous permet de transférer des données sécurisées beaucoup plus rapidement que l'USB 2.0.
Dans l'ensemble, DT Vault Privacy 3.0 est une excellente option pour le secteur des entreprises et les organisations qui nécessitent une protection maximale de leurs données. Il peut également être recommandé à tous les utilisateurs utilisant des ordinateurs situés sur des réseaux publics.
Pour plus d'informations sur les produits Kingston, contactez .
Source: habr.com