Pozdrav, Habr! U komentarima na jedan od naših čitatelji su postavili zanimljivo pitanje: "Zašto vam treba flash pogon s hardverskom enkripcijom kada je TrueCrypt dostupan?" - i čak izrazili zabrinutost u vezi s "Kako se možete uvjeriti da nema knjižnih oznaka u softveru i hardveru Kingston pogona ?" Na ta smo pitanja odgovorili jezgrovito, ali smo onda zaključili da tema zaslužuje temeljnu analizu. To je ono što ćemo učiniti u ovom postu.
AES hardverska enkripcija, kao i softverska enkripcija, postoji već dugo, ali kako točno štiti osjetljive podatke na flash pogonima? Tko certificira takve pogone i može li se tim certifikatima vjerovati? Kome trebaju tako "složeni" flash pogoni ako možete koristiti besplatne programe poput TrueCrypta ili BitLockera. Kao što možete vidjeti, tema postavljena u komentarima doista izaziva puno pitanja. Pokušajmo sve shvatiti.
Kako se hardverska enkripcija razlikuje od softverske?
U slučaju flash diskova (kao i HDD-ova i SSD-ova), poseban čip koji se nalazi na sklopnoj ploči uređaja koristi se za provedbu hardverske enkripcije podataka. Ima ugrađeni generator slučajnih brojeva koji generira ključeve za šifriranje. Podaci se automatski šifriraju i odmah dekriptiraju kada unesete svoju korisničku lozinku. U ovom scenariju, gotovo je nemoguće pristupiti podacima bez lozinke.
Kada koristite softversku enkripciju, "zaključavanje" podataka na pogonu omogućuje vanjski softver, koji djeluje kao jeftina alternativa hardverskim metodama šifriranja. Nedostaci takvog softvera mogu uključivati banalni zahtjev za redovitim ažuriranjem kako bi pružio otpor sve boljim tehnikama hakiranja. Osim toga, snaga računalnog procesa (a ne zasebnog hardverskog čipa) koristi se za dešifriranje podataka, a zapravo razina zaštite osobnog računala određuje razinu zaštite pogona.
Glavna značajka pogona s hardverskom enkripcijom je zaseban kriptografski procesor, čija nam prisutnost govori da ključevi za šifriranje nikada ne napuštaju USB disk, za razliku od softverskih ključeva koji se mogu privremeno pohraniti u RAM ili tvrdi disk računala. A budući da softverska enkripcija koristi memoriju računala za pohranjivanje broja pokušaja prijave, ne može zaustaviti brutalne napade na lozinku ili ključ. Napadač može stalno resetirati brojač pokušaja prijave sve dok program za automatsko probijanje lozinki ne pronađe željenu kombinaciju.
Usput..., u komentarima na članak ““Korisnici su također primijetili da, na primjer, program TrueCrypt ima prijenosni način rada. Međutim, to nije velika prednost. Činjenica je da je u ovom slučaju program za šifriranje pohranjen u memoriji flash pogona, što ga čini ranjivijim na napade.
Zaključak: softverski pristup ne pruža tako visoku razinu sigurnosti kao AES enkripcija. To je više osnovna obrana. S druge strane, softverska enkripcija važnih podataka ipak je bolja od nikakve enkripcije. I ova činjenica nam omogućuje da jasno razlikujemo ove vrste kriptografije: hardverska enkripcija flash diskova je prijeko potrebna za korporativni sektor (na primjer, kada zaposlenici tvrtke koriste pogone izdane na poslu); a softver je prikladniji za potrebe korisnika.
Međutim, Kingston svoje pogonske modele (primjerice IronKey S1000) dijeli na Basic i Enterprise verziju. Što se tiče funkcionalnosti i zaštitnih svojstava, oni su gotovo identični jedni drugima, ali korporativna verzija nudi mogućnost upravljanja pogonom pomoću SafeConsole/IronKey EMS softvera. S ovim softverom, disk radi ili s oblakom ili s lokalnim poslužiteljima za daljinsko provođenje zaštite lozinkom i pravila pristupa. Korisnicima se daje mogućnost oporaviti izgubljene lozinke, a administratori mogu prebaciti diskove koji se više ne koriste na nove zadatke.
Kako rade Kingston flash diskovi s AES enkripcijom?
Kingston koristi 256-bitnu AES-XTS hardversku enkripciju (pomoću dodatnog ključa pune duljine) za sve svoje sigurne diskove. Kao što smo gore napomenuli, flash pogoni u svojoj bazi komponenti sadrže zasebni čip za šifriranje i dešifriranje podataka, koji djeluje kao stalno aktivan generator slučajnih brojeva.
Kada prvi put spojite uređaj na USB priključak, čarobnjak za postavljanje inicijalizacije od vas traži da postavite glavnu lozinku za pristup uređaju. Nakon aktivacije pogona, algoritmi za šifriranje će automatski početi raditi u skladu s korisničkim postavkama.
U isto vrijeme, za korisnika, princip rada flash pogona ostat će nepromijenjen - on će i dalje moći preuzimati i postavljati datoteke u memoriju uređaja, kao kada radi s običnim USB flash pogonom. Jedina razlika je u tome što kada spojite flash pogon na novo računalo, morat ćete unijeti postavljenu lozinku da biste dobili pristup svojim podacima.
Zašto i kome trebaju flash diskovi s hardverskom enkripcijom?
Za organizacije u kojima su osjetljivi podaci dio poslovanja (bilo financijske, zdravstvene ili državne), enkripcija je najpouzdaniji način zaštite. AES hardverska enkripcija je skalabilno rješenje koje može koristiti svaka tvrtka: od pojedinaca i malih tvrtki do velikih korporacija, kao i vojnih i vladinih organizacija. Da bismo malo konkretnije pogledali ovaj problem, potrebno je koristiti šifrirane USB pogone:
- Kako bismo osigurali sigurnost povjerljivih podataka tvrtke
- Za zaštitu podataka o kupcima
- Za zaštitu tvrtki od gubitka profita i lojalnosti kupaca
Vrijedno je napomenuti da neki proizvođači sigurnih flash diskova (uključujući Kingston) daju korporacijama prilagođena rješenja dizajnirana da zadovolje potrebe i ciljeve kupaca. Ali masovno proizvedene linije (uključujući DataTraveler flash pogone) savršeno se nose sa svojim zadacima i sposobne su pružiti sigurnost korporativne klase.
1. Osiguravanje sigurnosti povjerljivih podataka tvrtke
U 2017. stanovnik Londona otkrio je USB disk u jednom od parkova koji je sadržavao informacije nezaštićene lozinkom vezane uz sigurnost zračne luke Heathrow, uključujući lokaciju nadzornih kamera i detaljne informacije o sigurnosnim mjerama u slučaju dolaska visoki dužnosnici. Flash disk također je sadržavao podatke o elektroničkim propusnicama i pristupnim kodovima za zabranjena područja zračne luke.
Analitičari kažu da je razlog za takve situacije cyber nepismenost zaposlenika tvrtke, koji vlastitim nemarom mogu "procuriti" tajne podatke. Flash diskovi s hardverskom enkripcijom djelomično rješavaju ovaj problem, jer ako se takav disk izgubi, nećete moći pristupiti podacima na njemu bez glavne lozinke istog službenika sigurnosti. U svakom slučaju, to ne poništava činjenicu da zaposlenici moraju biti obučeni za rukovanje flash diskovima, čak i ako je riječ o uređajima zaštićenim enkripcijom.
2. Zaštita podataka o kupcima
Još važnija zadaća svake organizacije je briga o podacima korisnika koji ne bi smjeli biti izloženi riziku kompromitacije. Inače, upravo se te informacije najčešće prenose između različitih poslovnih sektora i u pravilu su povjerljive: na primjer, mogu sadržavati podatke o financijskim transakcijama, povijesti bolesti itd.
3. Zaštita od gubitka dobiti i lojalnosti kupaca
Korištenje USB uređaja s hardverskom enkripcijom može spriječiti razorne posljedice za organizacije. Tvrtke koje krše zakone o zaštiti osobnih podataka mogu biti kažnjene velikim iznosima. Stoga se mora postaviti pitanje: isplati li se riskirati dijeljenje informacija bez odgovarajuće zaštite?
Čak i bez uzimanja u obzir financijski učinak, količina vremena i resursa utrošenih na ispravljanje sigurnosnih grešaka koje se pojave mogu biti jednako značajni. Osim toga, ako povreda podataka ugrozi podatke korisnika, tvrtka riskira lojalnost brendu, posebno na tržištima gdje postoje konkurenti koji nude sličan proizvod ili uslugu.
Tko jamči odsutnost "oznaka" od proizvođača pri korištenju flash pogona s hardverskom enkripcijom?
U temi koju smo pokrenuli ovo je pitanje možda jedno od glavnih. Među komentarima na članak o Kingston DataTraveler pogonima naišli smo na još jedno zanimljivo pitanje: “Imaju li vaši uređaji revizije neovisnih stručnjaka treće strane?” Pa... to je logičan interes: korisnici žele biti sigurni da naši USB pogoni ne sadrže uobičajene pogreške, poput slabe enkripcije ili mogućnosti zaobilaženja unosa lozinke. U ovom ćemo dijelu članka govoriti o tome koje postupke certificiranja Kingston pogoni prolaze prije nego što dobiju status istinski sigurnih flash pogona.
Tko jamči pouzdanost? Čini se da bismo mogli reći: "Kingston je to napravio - to jamči." Ali u ovom slučaju takva će izjava biti netočna, jer je proizvođač zainteresirana strana. Stoga sve proizvode testira treća strana s neovisnim stručnim znanjem. Konkretno, Kingston hardverski šifrirani diskovi (s izuzetkom DTLPG3) sudionici su u Programu provjere valjanosti kriptografskih modula (CMVP) i certificirani su prema Federalnom standardu za obradu informacija (FIPS). Pogoni su također certificirani prema standardima GLBA, HIPPA, HITECH, PCI i GTSA.
1. Program za provjeru valjanosti kriptografskog modula
Program CMVP zajednički je projekt Nacionalnog instituta za standarde i tehnologiju američkog Ministarstva trgovine i Kanadskog centra za kibernetičku sigurnost. Cilj projekta je potaknuti potražnju za dokazanim kriptografskim uređajima i osigurati sigurnosne metrike saveznim agencijama i reguliranim industrijama (kao što su financijske i zdravstvene ustanove) koje se koriste u nabavi opreme.
Uređaji su testirani prema nizu kriptografskih i sigurnosnih zahtjeva od strane nezavisnih laboratorija za testiranje kriptografije i sigurnosti akreditiranih od strane Nacionalnog programa akreditacije dobrovoljnih laboratorija (NVLAP). U isto vrijeme, svaki laboratorijski izvještaj se provjerava na sukladnost sa Federalnim standardom za obradu informacija (FIPS) 140-2 i potvrđuje CMVP.
Moduli potvrđeni kao sukladni sa standardom FIPS 140-2 preporučuju se za korištenje američkim i kanadskim saveznim agencijama do 22. rujna 2026. Nakon toga bit će uvršteni u arhivski popis, ali će se i dalje moći koristiti. Dana 22. rujna 2020. godine završio je prijem zahtjeva za validaciju prema standardu FIPS 140-3. Nakon što uređaji prođu provjere, bit će premješteni na aktivnu listu testiranih i pouzdanih uređaja na pet godina. Ako kriptografski uređaj ne prođe provjeru, ne preporučuje se njegova uporaba u vladinim agencijama u Sjedinjenim Državama i Kanadi.
2. Koje sigurnosne zahtjeve nameće FIPS certifikacija?
Hakiranje podataka čak i s necertificiranog šifriranog pogona teško je i malo ljudi to može učiniti, pa se ne morate mučiti pri odabiru potrošačkog pogona za kućnu upotrebu s certifikatom. U korporativnom sektoru situacija je drugačija: pri odabiru sigurnih USB diskova, tvrtke često pridaju važnost razinama FIPS certifikata. Međutim, nemaju svi jasnu predodžbu o tome što te razine znače.
Trenutačni standard FIPS 140-2 definira četiri različite sigurnosne razine koje flash pogoni mogu zadovoljiti. Prva razina pruža umjeren skup sigurnosnih značajki. Četvrta razina podrazumijeva stroge zahtjeve za samozaštitu uređaja. Razine dva i tri daju gradaciju ovih zahtjeva i čine neku vrstu zlatne sredine.
- Sigurnost razine XNUMX: USB diskovi s certifikatom razine XNUMX zahtijevaju najmanje jedan algoritam šifriranja ili drugu sigurnosnu značajku.
- Druga razina sigurnosti: ovdje se od pogona zahtijeva ne samo kriptografska zaštita, već i otkrivanje neovlaštenih upada na razini firmvera ako netko pokuša otvoriti pogon.
- Treća razina sigurnosti: uključuje sprječavanje hakiranja uništavanjem "ključeva" enkripcije. Odnosno, potreban je odgovor na pokušaje prodora. Također, treća razina jamči višu razinu zaštite od elektromagnetskih smetnji: to jest, čitanje podataka s flash pogona pomoću bežičnih uređaja za hakiranje neće raditi.
- Četvrta razina sigurnosti: najviša razina, koja podrazumijeva potpunu zaštitu kriptografskog modula, koja pruža maksimalnu vjerojatnost detekcije i suprotstavljanja svakom pokušaju neovlaštenog pristupa od strane neovlaštenog korisnika. Flash diskovi koji su dobili certifikat četvrte razine također uključuju opcije zaštite koje ne dopuštaju hakiranje promjenom napona i temperature okoline.
Sljedeći Kingston diskovi certificirani su prema FIPS 140-2 Razina 2000: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. Ključna značajka ovih diskova je njihova sposobnost da odgovore na pokušaj upada: ako se lozinka netočno unese XNUMX puta, podaci na disku bit će uništeni.
Što još mogu Kingston flash diskovi osim enkripcije?
Kada je riječ o potpunoj sigurnosti podataka, uz hardversku enkripciju flash diskova, u pomoć priskaču ugrađeni antivirusi, zaštita od vanjskih utjecaja, sinkronizacija s osobnim oblakom i druge značajke o kojima ćemo govoriti u nastavku. Nema velike razlike u flash pogonima sa softverskom enkripcijom. Vrag je u detaljima. I evo što.
1. Kingston DataTraveler 2000
Uzmimo za primjer USB pogon. . Ovo je jedan od flash pogona s hardverskom enkripcijom, ali ujedno i jedini s vlastitom fizičkom tipkovnicom na kućištu. Ova tipkovnica s 11 tipki čini DT2000 potpuno neovisnim o host sustavima (da biste koristili DataTraveler 2000, morate pritisnuti tipku Key, zatim unijeti svoju lozinku i ponovno pritisnuti tipku Key). Osim toga, ovaj flash pogon ima IP57 stupanj zaštite od vode i prašine (začudo, Kingston to ne navodi nigdje ni na pakiranju ni u specifikacijama na službenoj web stranici).
Unutar DataTravelera 2000 nalazi se litij-polimerska baterija od 40 mAh, a Kingston savjetuje kupcima da pogon priključe na USB priključak najmanje sat vremena prije korištenja kako bi se baterija napunila. Usput, u jednom od prethodnih materijala : Nema razloga za brigu - flash pogon nije aktiviran u punjaču jer sustav nema zahtjeva prema kontroleru. Stoga nitko neće ukrasti vaše podatke putem bežičnih upada.
2. Kingston DataTraveler Locker+ G3
Ako govorimo o modelu Kingston – privlači pozornost mogućnošću konfiguriranja sigurnosne kopije podataka s flash diska na Google pohranu u oblaku, OneDrive, Amazon Cloud ili Dropbox. Omogućena je i sinkronizacija podataka s ovim uslugama.
Jedno od pitanja koje nam naši čitatelji postavljaju je: "Ali kako uzeti šifrirane podatke iz sigurnosne kopije?" Jako jednostavno. Činjenica je da se prilikom sinkronizacije s oblakom informacije dekriptiraju, a zaštita sigurnosne kopije na oblaku ovisi o mogućnostima samog oblaka. Stoga se takvi postupci provode isključivo prema nahođenju korisnika. Bez njegova dopuštenja nikakvi podaci neće biti učitani u oblak.
3. Privatnost Kingston DataTraveler Vault 3.0
Ali Kingston uređaji Također dolaze s ugrađenim antivirusnim programom Drive Security tvrtke ESET. Potonji štiti podatke od invazije na USB pogon virusa, spywarea, trojanaca, crva, rootkita, a povezivanja s tuđim računalima, reklo bi se, ne boji se. Antivirus će odmah upozoriti vlasnika pogona o mogućim prijetnjama, ako ih otkrije. U tom slučaju korisnik ne mora sam instalirati antivirusni softver i platiti ovu opciju. ESET Drive Security unaprijed je instaliran na flash disku s petogodišnjom licencom.
Kingston DT Vault Privacy 3.0 dizajniran je i prvenstveno namijenjen IT profesionalcima. Administratorima omogućuje da ga koriste kao samostalni pogon ili da ga dodaju kao dio rješenja za centralizirano upravljanje, a također se može koristiti za konfiguriranje ili daljinsko resetiranje lozinki i konfiguriranje pravila uređaja. Kingston je čak dodao USB 3.0, koji vam omogućuje prijenos sigurnih podataka puno brži od USB 2.0.
Sve u svemu, DT Vault Privacy 3.0 izvrsna je opcija za korporativni sektor i organizacije koje zahtijevaju maksimalnu zaštitu svojih podataka. Također se može preporučiti svim korisnicima koji koriste računala koja se nalaze na javnim mrežama.
Za više informacija o Kingston proizvodima, kontaktirajte .
Izvor: www.habr.com