Ola, Habr! Nos comentarios a un dos nosos os lectores fixeron unha pregunta interesante: "Por que necesitas unha unidade flash con cifrado de hardware cando TrueCrypt está dispoñible?" - e mesmo expresaron algunhas preocupacións sobre "Como podes asegurarte de que non hai marcadores no software e no hardware dunha unidade Kingston". ?" Respondemos a estas preguntas de forma sucinta, pero logo decidimos que o tema merecía unha análise fundamental. Isto é o que faremos nesta publicación.
O cifrado de hardware AES, como o cifrado de software, existe desde hai moito tempo, pero como protexe exactamente os datos confidenciais das unidades flash? Quen certifica tales unidades e pódese confiar nestas certificacións? Quen necesita unidades flash tan "complexas" se pode usar programas gratuítos como TrueCrypt ou BitLocker. Como podes ver, o tema preguntado nos comentarios realmente suscita moitas preguntas. Intentemos descifralo todo.
En que se diferencia o cifrado de hardware do cifrado de software?
No caso das unidades flash (así como HDD e SSD), utilízase un chip especial situado na placa de circuíto do dispositivo para implementar o cifrado de datos de hardware. Ten un xerador de números aleatorios integrado que xera claves de cifrado. Os datos son cifrados automaticamente e descifrados ao instante cando introduces o teu contrasinal de usuario. Neste escenario, é case imposible acceder aos datos sen un contrasinal.
Cando se utiliza o cifrado de software, o "bloqueo" dos datos na unidade é proporcionado por un software externo, que actúa como unha alternativa de baixo custo aos métodos de cifrado de hardware. As desvantaxes deste software poden incluír a banal esixencia de actualizacións regulares para ofrecer resistencia ás técnicas de hackeo en constante mellora. Ademais, a potencia dun proceso informático (en lugar dun chip de hardware separado) úsase para descifrar datos e, de feito, o nivel de protección do PC determina o nivel de protección da unidade.
A principal característica das unidades con cifrado de hardware é un procesador criptográfico separado, cuxa presenza nos indica que as claves de cifrado nunca saen da unidade USB, a diferenza das claves de software que se poden almacenar temporalmente na memoria RAM ou no disco duro do ordenador. E debido a que o cifrado de software usa a memoria do PC para almacenar o número de intentos de inicio de sesión, non pode deter os ataques de forza bruta contra un contrasinal ou clave. O contador de intentos de inicio de sesión pode ser reiniciado continuamente por un atacante ata que o programa de descifrado automático de contrasinais atope a combinación desexada.
Por certo..., nos comentarios ao artigo “"Os usuarios tamén notaron que, por exemplo, o programa TrueCrypt ten un modo operativo portátil. Non obstante, esta non é unha gran vantaxe. O caso é que neste caso o programa de cifrado almacénase na memoria da unidade flash, o que fai que sexa máis vulnerable aos ataques.
Conclusión: o enfoque do software non proporciona un nivel de seguridade tan alto como o cifrado AES. É máis unha defensa básica. Por outra banda, o cifrado de software de datos importantes aínda é mellor que ningún cifrado. E este feito permítenos distinguir claramente entre estes tipos de criptografía: o cifrado de hardware das unidades flash é unha necesidade, máis ben, para o sector corporativo (por exemplo, cando os empregados da empresa usan unidades emitidas no traballo); e o software é máis axeitado para as necesidades dos usuarios.
Non obstante, Kingston divide os seus modelos de unidade (por exemplo, IronKey S1000) en versións Basic e Enterprise. En canto ás propiedades de funcionalidade e protección, son case idénticas entre si, pero a versión corporativa ofrece a posibilidade de xestionar a unidade mediante o software SafeConsole/IronKey EMS. Con este software, a unidade funciona con servidores locais ou na nube para aplicar de forma remota as políticas de acceso e protección por contrasinal. Os usuarios teñen a oportunidade de recuperar contrasinais perdidos e os administradores poden cambiar as unidades que xa non están en uso a novas tarefas.
Como funcionan as unidades flash Kingston con cifrado AES?
Kingston usa o cifrado de hardware AES-XTS de 256 bits (utilizando unha clave de lonxitude completa opcional) para todas as súas unidades seguras. Como sinalamos anteriormente, as unidades flash conteñen na súa base de compoñentes un chip separado para cifrar e descifrar datos, que actúa como un xerador de números aleatorios constantemente activo.
Cando conecta un dispositivo a un porto USB por primeira vez, o Asistente de configuración de inicialización solicita que estableza un contrasinal principal para acceder ao dispositivo. Despois de activar a unidade, os algoritmos de cifrado comezarán a funcionar automaticamente de acordo coas preferencias do usuario.
Ao mesmo tempo, para o usuario, o principio de funcionamento da unidade flash permanecerá inalterado: aínda poderá descargar e colocar ficheiros na memoria do dispositivo, como cando se traballa cunha unidade flash USB normal. A única diferenza é que cando conectes a unidade flash a un novo ordenador, terás que introducir o contrasinal definido para acceder á túa información.
Por que e quen necesita unidades flash con cifrado de hardware?
Para as organizacións nas que os datos confidenciais forman parte do negocio (xa sexan financeiros, sanitarios ou gobernamentais), o cifrado é o medio de protección máis fiable. O cifrado de hardware AES é unha solución escalable que pode ser utilizada por calquera empresa: desde particulares e pequenas empresas ata grandes corporacións, así como organizacións militares e gobernamentais. Para ver este problema un pouco máis específicamente, é necesario usar unidades USB cifradas:
- Para garantir a seguridade dos datos confidenciais da empresa
- Para protexer a información do cliente
- Para protexer as empresas da perda de beneficios e da fidelización dos clientes
Cabe destacar que algúns fabricantes de unidades flash seguras (incluído Kingston) ofrecen ás empresas solucións personalizadas deseñadas para satisfacer as necesidades e obxectivos dos clientes. Pero as liñas producidas en masa (incluídas as unidades flash DataTraveler) fan fronte ás súas tarefas perfectamente e son capaces de proporcionar seguridade de clase corporativa.
1. Garantir a seguridade dos datos confidenciais da empresa
En 2017, un veciño de Londres descubriu nun dos parques unha unidade USB que contiña información non protexida con contrasinal relacionada coa seguridade do aeroporto de Heathrow, incluída a localización das cámaras de vixilancia e información detallada sobre medidas de seguridade en caso de chegada de altos cargos. O pendrive tamén contiña datos sobre pases electrónicos e códigos de acceso a zonas restrinxidas do aeroporto.
Os analistas din que a razón de tales situacións é o ciberanalfabetismo dos empregados da empresa, que poden "filtrar" datos secretos pola súa propia neglixencia. As unidades flash con cifrado de hardware solucionan parcialmente este problema, xa que se se perde unha unidade deste tipo, non poderás acceder aos datos nela sen o contrasinal mestre do mesmo responsable de seguridade. En calquera caso, isto non anula que os empregados deban estar formados para manexar as unidades flash, aínda que esteamos a falar de dispositivos protexidos mediante cifrado.
2. Protexer a información do cliente
Unha tarefa aínda máis importante para calquera organización é coidar os datos dos clientes, que non deben estar suxeitos ao risco de compromiso. Por certo, é esta información a que se transfire máis a miúdo entre diferentes sectores comerciais e, por regra xeral, é confidencial: por exemplo, pode conter datos sobre transaccións financeiras, historial médico, etc.
3. Protección contra a perda de beneficios e fidelización dos clientes
Usar dispositivos USB con cifrado de hardware pode axudar a evitar consecuencias devastadoras para as organizacións. As empresas que violen as leis de protección de datos persoais poden ser multadas con grandes cantidades. Polo tanto, hai que facerse a pregunta: paga a pena correr o risco de compartir información sen a debida protección?
Aínda sen ter en conta o impacto financeiro, a cantidade de tempo e recursos destinados a corrixir erros de seguridade que se producen poden ser igual de importantes. Ademais, se unha violación de datos compromete os datos dos clientes, a empresa corre o risco de fidelizar á marca, especialmente nos mercados nos que hai competidores que ofrecen un produto ou servizo similar.
Quen garante a ausencia de "marcadores" do fabricante cando se usan unidades flash con cifrado de hardware?
No tema que plantexamos, esta cuestión é quizais unha das principais. Entre os comentarios ao artigo sobre as unidades Kingston DataTraveler, atopamos outra pregunta interesante: "Os seus dispositivos teñen auditorías de especialistas independentes de terceiros?" Pois... é un interese lóxico: os usuarios queren asegurarse de que as nosas unidades USB non conteñan erros comúns, como un cifrado débil ou a posibilidade de evitar a entrada do contrasinal. E nesta parte do artigo falaremos sobre os procedementos de certificación aos que se someten as unidades Kingston antes de recibir o estado de unidades flash realmente seguras.
Quen garante a fiabilidade? Parece que ben poderiamos dicir que "Kingston fíxoo, o garante". Pero neste caso, tal afirmación será incorrecta, xa que o fabricante é unha parte interesada. Polo tanto, todos os produtos son probados por un terceiro con experiencia independente. En particular, as unidades cifradas por hardware de Kingston (a excepción do DTLPG3) participan no Programa de validación de módulos criptográficos (CMVP) e están certificadas polo Estándar Federal de Procesamento de Información (FIPS). As unidades tamén están certificadas segundo os estándares GLBA, HIPPA, HITECH, PCI e GTSA.
1. Programa de validación de módulos criptográficos
O programa CMVP é un proxecto conxunto do Instituto Nacional de Estándares e Tecnoloxía do Departamento de Comercio dos Estados Unidos e o Centro de Seguridade Cibernética canadense. O obxectivo do proxecto é estimular a demanda de dispositivos criptográficos comprobados e proporcionar métricas de seguridade ás axencias federais e ás industrias reguladas (como as institucións financeiras e sanitarias) que se utilizan na adquisición de equipos.
Os dispositivos son probados contra un conxunto de requisitos criptográficos e de seguridade por laboratorios independentes de criptografía e probas de seguridade acreditados polo Programa Nacional de Acreditación de Laboratorios Voluntarios (NVLAP). Ao mesmo tempo, compróbase cada informe de laboratorio para comprobar o cumprimento da Norma Federal de Procesamento de Información (FIPS) 140-2 e confirmado polo CMVP.
Recoméndase que os módulos verificados como conformes a FIPS 140-2 sexan utilizados polas axencias federais dos Estados Unidos e Canadá ata o 22 de setembro de 2026. Despois disto, incluiranse na lista de arquivos, aínda que aínda se poderán utilizar. O 22 de setembro de 2020 rematou a aceptación das solicitudes de validación segundo o estándar FIPS 140-3. Unha vez que os dispositivos superen as comprobacións, trasladaranse á lista activa de dispositivos probados e de confianza durante cinco anos. Se un dispositivo criptográfico non pasa a verificación, non se recomenda o seu uso nas axencias gobernamentais dos Estados Unidos e Canadá.
2. Que requisitos de seguridade impón a certificación FIPS?
Hackear datos incluso desde unha unidade cifrada sen certificación é difícil e poucas persoas poden facelo, polo que cando elixes unha unidade de consumo para uso doméstico con certificación, non tes que preocuparte. No sector corporativo, a situación é diferente: ao elixir unidades USB seguras, as empresas adoitan concederlle importancia aos niveis de certificación FIPS. Non obstante, non todos teñen unha idea clara do que significan estes niveis.
O estándar FIPS 140-2 actual define catro niveis de seguridade diferentes que poden cumprir as unidades flash. O primeiro nivel ofrece un conxunto moderado de funcións de seguridade. O cuarto nivel implica requisitos estritos para a autoprotección dos dispositivos. Os niveis dous e tres proporcionan unha gradación destes requisitos e forman unha especie de media dourada.
- Seguridade de nivel XNUMX: as unidades USB certificadas de nivel XNUMX requiren polo menos un algoritmo de cifrado ou outra función de seguranza.
- O segundo nivel de seguridade: aquí a unidade é necesaria non só para proporcionar protección criptográfica, senón tamén para detectar intrusións non autorizadas a nivel de firmware se alguén tenta abrir a unidade.
- O terceiro nivel de seguridade: consiste en previr a piratería mediante a destrución das "chaves" de cifrado. É dicir, é necesaria unha resposta aos intentos de penetración. Ademais, o terceiro nivel garante un maior nivel de protección contra as interferencias electromagnéticas: é dicir, non funcionará a lectura de datos dunha unidade flash usando dispositivos de piratería sen fíos.
- O cuarto nivel de seguridade: o nivel máis alto, que implica a protección completa do módulo criptográfico, que proporciona a máxima probabilidade de detección e contrarrestamento ante calquera intento de acceso non autorizado por parte dun usuario non autorizado. As unidades flash que recibiron un certificado de cuarto nivel tamén inclúen opcións de protección que non permiten a piratería modificando a tensión e a temperatura ambiente.
As seguintes unidades de Kingston están certificadas conforme a FIPS 140-2 Nivel 2000: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. A característica principal destas unidades é a súa capacidade de responder a un intento de intrusión: se o contrasinal se introduce incorrectamente XNUMX veces, os datos da unidade serán destruídos.
Que máis poden facer as unidades flash Kingston ademais do cifrado?
Cando se trata de completa seguridade dos datos, xunto co cifrado de hardware das unidades flash, os antivirus incorporados, a protección contra influencias externas, a sincronización con nubes persoais e outras funcións que comentaremos a continuación veñen ao rescate. Non hai gran diferenza nas unidades flash con cifrado de software. O demo está nos detalles. E aquí está o que.
1. Kingston DataTraveler 2000
Poñamos por exemplo unha unidade USB. . Esta é unha das unidades flash con cifrado de hardware, pero ao mesmo tempo a única con teclado físico propio na carcasa. Este teclado de 11 botóns fai que o DT2000 sexa completamente independente dos sistemas anfitrións (para usar o DataTraveler 2000, debes premer o botón Chave, despois introducir o teu contrasinal e premer de novo o botón Chave). Ademais, esta unidade flash ten un grao de protección IP57 contra a auga e o po (sorprendentemente, Kingston non o indica en ningún lugar nin na embalaxe nin nas especificacións do sitio web oficial).
Dentro do DataTraveler 2000 hai unha batería de polímero de litio de 40 mAh e Kingston aconsella aos compradores que conecten a unidade a un porto USB durante polo menos unha hora antes de usala para que a batería se cargue. Por certo, nun dos materiais anteriores : Non hai motivos para preocuparse: a unidade flash non está activada no cargador porque non hai solicitudes ao controlador por parte do sistema. Polo tanto, ninguén roubará os teus datos mediante intrusións sen fíos.
2. Kingston DataTraveler Locker+ G3
Se falamos do modelo Kingston – chama a atención coa posibilidade de configurar a copia de seguridade de datos desde unha unidade flash ata o almacenamento na nube de Google, OneDrive, Amazon Cloud ou Dropbox. Tamén se ofrece a sincronización de datos con estes servizos.
Unha das preguntas que nos fan os nosos lectores é: "Pero como sacar datos cifrados dunha copia de seguridade?" Moi sinxelo. O caso é que ao sincronizar coa nube, a información decífrase e a protección da copia de seguridade na nube depende das capacidades da propia nube. Polo tanto, tales procedementos realízanse exclusivamente ao criterio do usuario. Sen o seu permiso, non se subirán datos á nube.
3. Kingston DataTraveler Vault Privacidade 3.0
Pero os dispositivos de Kingston Tamén inclúen o antivirus Drive Security integrado de ESET. Este último protexe os datos da invasión dunha unidade USB por virus, spyware, troianos, gusanos, rootkits e conexión a ordenadores alleos, poderíase dicir, non ten medo. O antivirus avisará instantáneamente ao propietario da unidade sobre posibles ameazas, se se detectan. Neste caso, o usuario non necesita instalar software antivirus por si mesmo e pagar por esta opción. ESET Drive Security está preinstalado nunha unidade flash cunha licenza de cinco anos.
Kingston DT Vault Privacy 3.0 está deseñado e dirixido principalmente a profesionais de TI. Permite aos administradores usalo como unidade autónoma ou engadilo como parte dunha solución de xestión centralizada, e tamén se pode usar para configurar ou restablecer contrasinais de forma remota e configurar políticas de dispositivos. Kingston incluso engadiu USB 3.0, que lle permite transferir datos seguros moito máis rápido que USB 2.0.
En xeral, DT Vault Privacy 3.0 é unha excelente opción para o sector corporativo e as organizacións que requiren a máxima protección dos seus datos. Tamén se pode recomendar a todos os usuarios que utilicen ordenadores situados en redes públicas.
Para obter máis información sobre os produtos de Kingston, póñase en contacto .
Fonte: www.habr.com