Szia Habr! A megjegyzésekben egyikünkhöz Az olvasók érdekes kérdést tettek fel: „Miért van szüksége hardveres titkosítással rendelkező flash meghajtóra, ha elérhető a TrueCrypt?” – és még aggodalmát fejezték ki azzal kapcsolatban, hogy „Hogyan lehet meggyőződni arról, hogy a Kingston meghajtó szoftverében és hardverében nincsenek könyvjelzők ?” Ezekre a kérdésekre tömören válaszoltunk, de aztán úgy döntöttünk, hogy a téma alapos elemzést érdemel. Ebben a bejegyzésben ezt fogjuk tenni.
Az AES hardveres titkosítás, akárcsak a szoftveres titkosítás, már régóta létezik, de pontosan hogyan védi meg a flash meghajtókon lévő érzékeny adatokat? Ki tanúsítja az ilyen meghajtókat, és ezekben a tanúsítványokban megbízhat? Kinek kellenek ilyen „bonyolult” pendrive-ok, ha használhatunk olyan ingyenes programokat, mint a TrueCrypt vagy a BitLocker. Mint látható, a kommentekben feltett téma valóban sok kérdést vet fel. Próbáljuk meg kitalálni az egészet.
Miben különbözik a hardveres titkosítás a szoftveres titkosítástól?
A flash meghajtók (valamint a HDD-k és SSD-k) esetében az eszköz áramköri lapján található speciális chipet használják a hardveres adattitkosítás megvalósítására. Beépített véletlenszám-generátorral rendelkezik, amely titkosítási kulcsokat generál. Az adatok automatikusan titkosításra kerülnek, és azonnal visszafejtésre kerülnek, amikor megadja felhasználói jelszavát. Ebben a forgatókönyvben szinte lehetetlen hozzáférni az adatokhoz jelszó nélkül.
Szoftveres titkosítás használatakor a meghajtón lévő adatok „zárolását” külső szoftver biztosítja, amely a hardveres titkosítási módszerek olcsó alternatívájaként működik. Az ilyen szoftverek hátrányai közé tartozik a rendszeres frissítés banális követelménye, hogy ellenálljanak a folyamatosan fejlődő hackelési technikáknak. Ezenkívül egy számítógépes folyamat (nem pedig egy külön hardveres chip) erejét használják fel az adatok visszafejtésére, és valójában a számítógép védelmi szintje határozza meg a meghajtó védelmi szintjét.
A hardveres titkosítással rendelkező meghajtók fő jellemzője egy különálló kriptográfiai processzor, amelynek jelenléte azt jelzi, hogy a titkosítási kulcsok soha nem hagyják el az USB-meghajtót, ellentétben a szoftveres kulcsokkal, amelyeket ideiglenesen a számítógép RAM-jában vagy merevlemezében tárolhatunk. És mivel a szoftveres titkosítás a számítógép memóriáját használja a bejelentkezési kísérletek számának tárolására, nem tudja megállítani a jelszó vagy kulcs elleni brutális erőszakos támadásokat. A bejelentkezési kísérlet számlálóját a támadó folyamatosan nullázhatja, amíg az automatikus jelszótörő program meg nem találja a kívánt kombinációt.
Mellesleg..., a cikkhez fűzött megjegyzésekben "„A felhasználók azt is megjegyezték, hogy például a TrueCrypt program hordozható üzemmóddal rendelkezik. Ez azonban nem nagy előny. A helyzet az, hogy ebben az esetben a titkosító program a flash meghajtó memóriájában tárolódik, és ez sebezhetőbbé teszi a támadásokkal szemben.
A lényeg: a szoftveres megközelítés nem nyújt olyan magas szintű biztonságot, mint az AES titkosítás. Ez inkább egy alapvető védekezés. Másrészt a fontos adatok szoftveres titkosítása még mindig jobb, mint a titkosítás hiánya. És ez a tény lehetővé teszi számunkra, hogy világosan megkülönböztessük ezeket a titkosítási típusokat: a flash meghajtók hardveres titkosítása inkább a vállalati szektor számára szükséges (például amikor a vállalati alkalmazottak munkahelyükön kiadott meghajtókat használnak); a szoftver pedig jobban megfelel a felhasználói igényeknek.
A Kingston azonban meghajtó modelljeit (például IronKey S1000) Basic és Enterprise verziókra osztja. Funkcionalitásukat és védelmi tulajdonságait tekintve szinte teljesen megegyeznek egymással, de a vállalati verzió lehetőséget kínál a meghajtó kezelésére a SafeConsole/IronKey EMS szoftverrel. Ezzel a szoftverrel a meghajtó felhőalapú vagy helyi szerverekkel működik, hogy távolról kényszerítse ki a jelszavas védelmet és a hozzáférési házirendeket. A felhasználók lehetőséget kapnak az elveszett jelszavak helyreállítására, a rendszergazdák pedig átválthatják a már nem használt meghajtókat új feladatokra.
Hogyan működnek az AES titkosítással rendelkező Kingston flash meghajtók?
A Kingston 256 bites AES-XTS hardveres titkosítást használ (opcionális teljes hosszúságú kulcs használatával) minden biztonságos meghajtójához. Ahogy fentebb megjegyeztük, a flash meghajtók alkatrészbázisukban külön chipet tartalmaznak az adatok titkosítására és visszafejtésére, amely folyamatosan aktív véletlenszám-generátorként működik.
Amikor először csatlakoztat egy eszközt egy USB-porthoz, az Initialization Setup Wizard felkéri, hogy állítson be egy fő jelszót az eszköz eléréséhez. A meghajtó aktiválása után a titkosítási algoritmusok automatikusan működni kezdenek a felhasználói preferenciáknak megfelelően.
Ugyanakkor a felhasználó számára a flash meghajtó működési elve változatlan marad - továbbra is képes lesz letölteni és elhelyezni a fájlokat az eszköz memóriájában, mint amikor egy normál USB flash meghajtóval dolgozik. Az egyetlen különbség az, hogy amikor a flash meghajtót egy új számítógéphez csatlakoztatja, meg kell adnia a beállított jelszót, hogy hozzáférjen adataihoz.
Miért és kinek van szüksége hardveres titkosítású flash meghajtókra?
Azon szervezetek számára, ahol az érzékeny adatok az üzleti tevékenység részét képezik (akár pénzügyi, egészségügyi vagy kormányzati), a titkosítás a legmegbízhatóbb védelmi eszköz. Az AES hardveres titkosítás egy méretezhető megoldás, amelyet bármely cég használhat: magánszemélyektől és kisvállalkozásoktól a nagyvállalatokig, valamint katonai és kormányzati szervezetekig. A probléma részletesebb vizsgálatához titkosított USB-meghajtók használata szükséges:
- A bizalmas vállalati adatok biztonságának biztosítása érdekében
- Az ügyfelek adatainak védelme érdekében
- Megvédeni a vállalatokat a nyereségvesztéstől és a vásárlói hűségtől
Érdemes megjegyezni, hogy a biztonságos flash meghajtók egyes gyártói (beleértve a Kingstont is) testreszabott megoldásokat kínálnak a vállalatok számára, amelyek megfelelnek az ügyfelek igényeinek és céljainak. De a sorozatgyártású sorozatok (beleértve a DataTraveler flash meghajtókat is) tökéletesen megbirkóznak a feladataikkal, és képesek vállalati szintű biztonságot nyújtani.
1. A bizalmas cégadatok biztonságának biztosítása
2017-ben egy londoni lakos egy USB-meghajtót fedezett fel az egyik parkban, amely a Heathrow repülőtér biztonságával kapcsolatos, jelszóval nem védett információkat tartalmazott, beleértve a térfigyelő kamerák elhelyezkedését és a biztonsági intézkedésekről szóló részletes információkat a repülőtér érkezése esetén. magas rangú tisztviselők. A pendrive a repülőtér korlátozott területeire vonatkozó elektronikus belépők és belépési kódok adatait is tartalmazta.
Elemzők szerint az ilyen helyzetek oka a vállalati alkalmazottak kibertudatlansága, akik saját hanyagságukból „kiszivárogtathatnak” titkos adatokat. A hardveres titkosítással ellátott flash meghajtók részben megoldják ezt a problémát, mert ha egy ilyen meghajtó elveszik, akkor ugyanazon biztonsági tiszt főjelszava nélkül nem férhet hozzá a rajta lévő adatokhoz. Ez mindenesetre nem zárja ki azt a tényt, hogy a dolgozókat ki kell képezni a pendrive-ok kezelésére, még akkor is, ha titkosítással védett eszközökről beszélünk.
2. Az ügyfelek adatainak védelme
Minden szervezet számára még fontosabb feladat az ügyfelek adatainak gondozása, amelyek nem lehetnek kitéve a kompromisszumok kockázatának. Egyébként ezeket az információkat leggyakrabban a különböző üzleti szektorok között továbbítják, és általában bizalmasak: például tartalmazhatnak adatokat pénzügyi tranzakciókról, kórtörténetről stb.
3. Védelem a nyereségveszteség és a vásárlói hűség ellen
Az USB-eszközök hardveres titkosítással történő használata segíthet megelőzni a szervezetek pusztító következményeit. A személyes adatok védelmére vonatkozó törvényeket megsértő cégeket nagy összegű pénzbírsággal sújthatják. Ezért fel kell tenni a kérdést: megéri-e vállalni a kockázatot az információmegosztás megfelelő védelem nélkül?
Még a pénzügyi hatások figyelembevétele nélkül is ugyanolyan jelentős lehet az előforduló biztonsági hibák kijavítására fordított idő és erőforrás. Ezenkívül, ha egy adatvédelmi incidens veszélyezteti az ügyfelek adatait, a vállalat kockáztatja a márkahűséget, különösen azokon a piacokon, ahol hasonló terméket vagy szolgáltatást kínáló versenytársak.
Ki garantálja a „könyvjelzők” hiányát a gyártótól, ha hardveres titkosítással rendelkező flash meghajtókat használ?
Az általunk felvetett témában ez a kérdés talán az egyik fő kérdés. A Kingston DataTraveler meghajtókkal kapcsolatos cikkhez fűzött megjegyzések között találkoztunk egy másik érdekes kérdéssel is: „Részesülnek-e az Ön eszközei külső független szakértők által végzett auditok?” Nos... ez egy logikus érdeklődés: a felhasználók meg akarnak győződni arról, hogy USB-meghajtóink nem tartalmaznak olyan gyakori hibákat, mint például a gyenge titkosítás vagy a jelszóbevitel megkerülésének lehetősége. A cikk ezen részében arról fogunk beszélni, hogy a Kingston meghajtók milyen tanúsítási eljárásokon mennek keresztül, mielőtt megkapják a valóban biztonságos flash meghajtók állapotát.
Ki garantálja a megbízhatóságot? Úgy tűnik, nyugodtan mondhatjuk, hogy „Kingston sikerült – ez garantálja.” De ebben az esetben egy ilyen állítás helytelen lesz, mivel a gyártó érdekelt fél. Ezért minden terméket független szakértelemmel rendelkező harmadik fél tesztel. A Kingston hardveres titkosítású meghajtói (a DTLPG3 kivételével) a Cryptographic Module Validation Program (CMVP) résztvevői, és a Szövetségi Információfeldolgozási Szabvány (FIPS) szerint tanúsítottak. A meghajtók a GLBA, HIPPA, HITECH, PCI és GTSA szabványok szerint is tanúsítottak.
1. Kriptográfiai modul érvényesítő program
A CMVP program az Egyesült Államok Kereskedelmi Minisztériumának Nemzeti Szabványügyi és Technológiai Intézetének és a Kanadai Kiberbiztonsági Központnak a közös projektje. A projekt célja, hogy ösztönözze a bevált kriptográfiai eszközök iránti keresletet, és biztonsági mutatókat biztosítson a szövetségi ügynökségeknek és a szabályozott iparágaknak (például pénzügyi és egészségügyi intézményeknek), amelyeket a berendezések beszerzésében használnak.
Az eszközöket a Nemzeti Önkéntes Laboratóriumi Akkreditációs Program (NVLAP) által akkreditált független kriptográfiai és biztonsági tesztelő laboratóriumok tesztelik egy sor kriptográfiai és biztonsági követelmény szerint. Ezzel egyidejűleg minden laboratóriumi jelentést ellenőriznek, hogy megfelelnek-e a Szövetségi Információfeldolgozási Szabványnak (FIPS) 140-2, és a CMVP megerősíti.
Az egyesült államokbeli és kanadai szövetségi ügynökségek 140. szeptember 2-ig javasolják a FIPS 22-2026-kompatibilis modulok használatát. Ezt követően felkerülnek az archívumlistára, bár továbbra is használhatóak lesznek. 22. szeptember 2020-én véget ért a FIPS 140-3 szabvány szerinti érvényesítési kérelmek elfogadása. Amint az eszközök átmennek az ellenőrzéseken, öt évre átkerülnek a tesztelt és megbízható eszközök aktív listájára. Ha egy kriptográfiai eszköz nem megy át az ellenőrzésen, az Egyesült Államokban és Kanadában nem javasolt a kormányhivatalok általi használata.
2. Milyen biztonsági követelményeket támaszt a FIPS-tanúsítvány?
Az adatok feltörése még egy tanúsítvánnyal nem rendelkező titkosított meghajtóról is nehézkes, és kevesen tudják megtenni, így ha otthoni használatra, tanúsítvánnyal rendelkező fogyasztói meghajtót választunk, nem kell vesződnie. A vállalati szektorban más a helyzet: a biztonságos USB-meghajtók kiválasztásakor a cégek gyakran fontosnak tartják a FIPS tanúsítási szinteket. Azonban nem mindenkinek van világos elképzelése arról, hogy mit jelentenek ezek a szintek.
A jelenlegi FIPS 140-2 szabvány négy különböző biztonsági szintet határoz meg, amelyeknek a flash meghajtók megfelelhetnek. Az első szint a biztonsági funkciók mérsékelt készletét biztosítja. A negyedik szint szigorú követelményeket támaszt az eszközök önvédelmével kapcsolatban. A második és harmadik szint e követelmények fokozatosságát adja, és egyfajta arany középutat képez.
- XNUMX. szintű biztonság: Az XNUMX. szintű tanúsítvánnyal rendelkező USB-meghajtókhoz legalább egy titkosítási algoritmus vagy más biztonsági funkció szükséges.
- A második biztonsági szint: itt a meghajtónak nem csak a kriptográfiai védelmet kell biztosítania, hanem az illetéktelen behatolásokat is firmware szinten észleli, ha valaki megpróbálja kinyitni a meghajtót.
- A harmadik biztonsági szint: magában foglalja a hackelés megakadályozását a titkosítási „kulcsok” megsemmisítésével. Vagyis a behatolási kísérletekre reagálni kell. Ezenkívül a harmadik szint magasabb szintű védelmet garantál az elektromágneses interferencia ellen: vagyis a flash meghajtóról vezeték nélküli hackereszközökkel történő adatolvasás nem fog működni.
- A negyedik biztonsági szint: a legmagasabb szint, amely magában foglalja a kriptográfiai modul teljes védelmét, amely a legnagyobb valószínűséggel észleli és ellensúlyozza az illetéktelen felhasználó illetéktelen hozzáférési kísérleteit. A negyedik szintű tanúsítványt kapott flash meghajtók olyan védelmi lehetőségeket is tartalmaznak, amelyek nem teszik lehetővé a feszültség és a környezeti hőmérséklet megváltoztatásával történő feltörést.
A következő Kingston meghajtók rendelkeznek a FIPS 140-2 2000. szintű tanúsítvánnyal: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. Ezeknek a meghajtóknak a legfontosabb jellemzője, hogy képesek reagálni egy behatolási kísérletre: ha a jelszót XNUMX alkalommal helytelenül adják meg, a meghajtón lévő adatok megsemmisülnek.
Mi másra képesek a Kingston flash meghajtók a titkosításon kívül?
Ha a teljes adatbiztonságról van szó, a pendrive-ok hardveres titkosításával, a beépített vírusirtókkal, a külső behatásokkal szembeni védelemmel, a személyes felhőkkel való szinkronizálással és más olyan funkciókkal együtt, amelyekről alább beszélünk, a segítség. A szoftveres titkosítással rendelkező flash meghajtók között nincs nagy különbség. Az ördög a részletekben rejlik. És itt van mit.
1. Kingston DataTraveler 2000
Vegyünk például egy USB-meghajtót. . Ez az egyik hardveres titkosítású pendrive, ugyanakkor az egyetlen, amelyik saját fizikai billentyűzettel rendelkezik a házon. Ez a 11 gombos billentyűzet teljesen függetlenné teszi a DT2000-et a gazdagéptől (a DataTraveler 2000 használatához meg kell nyomnia a Key gombot, majd be kell írnia a jelszavát, és újra meg kell nyomnia a Key gombot). Ráadásul ez a pendrive IP57-es védettséggel rendelkezik a víz és a por ellen (meglepő módon a Kingston ezt sehol nem írja sem a csomagoláson, sem a hivatalos weboldal specifikációiban).
A DataTraveler 2000 belsejében egy 40 mAh-s lítium-polimer akkumulátor található, és a Kingston azt tanácsolja a vásárlóknak, hogy használat előtt legalább egy órára csatlakoztassák a meghajtót egy USB-porthoz, hogy az akkumulátor feltöltődhessen. Egyébként az előző anyagok egyikében : Nincs ok az aggodalomra - a flash meghajtó nincs aktiválva a töltőben, mert a rendszer nem kér a vezérlőhöz. Ezért senki sem fogja ellopni az Ön adatait vezeték nélküli behatolásokon keresztül.
2. Kingston DataTraveler Locker+ G3
Ha már a Kingston modellről beszélünk – felhívja magára a figyelmet azzal a lehetőséggel, hogy konfigurálhatja az adatmentést flash meghajtóról Google felhőtárhelyre, OneDrive-ra, Amazon Cloudra vagy Dropboxra. Ezekkel a szolgáltatásokkal az adatok szinkronizálása is biztosított.
Olvasóink egyik kérdése a következő: „De hogyan lehet titkosított adatokat kivenni egy biztonsági másolatból?” Nagyon egyszerű. A helyzet az, hogy a felhővel való szinkronizáláskor az információ visszafejtésre kerül, és a felhőn lévő biztonsági mentés védelme magának a felhőnek a képességeitől függ. Ezért az ilyen eljárások végrehajtása kizárólag a felhasználó belátása szerint történik. Az ő engedélye nélkül semmilyen adat nem kerül feltöltésre a felhőbe.
3. Kingston DataTraveler Vault adatvédelem 3.0
De a Kingston készülékek Az ESET beépített Drive Security víruskeresőjével is rendelkeznek. Ez utóbbi megvédi az adatokat az USB-meghajtó vírusok, kémprogramok, trójaiak, férgek, rootkitek általi behatolásától és a mások számítógépéhez való csatlakozástól, mondhatnánk, nem fél. A víruskereső azonnal figyelmezteti a meghajtó tulajdonosát a lehetséges fenyegetésekről, ha ilyeneket észlel. Ebben az esetben a felhasználónak nem kell magának víruskereső szoftvert telepítenie és fizetnie ezért az opcióért. Az ESET Drive Security előre telepítve van egy ötéves licenccel rendelkező pendrive-ra.
A Kingston DT Vault Privacy 3.0 elsősorban informatikai szakembereknek készült és célzott. Lehetővé teszi a rendszergazdák számára, hogy önálló meghajtóként használják, vagy egy központi felügyeleti megoldás részeként adják hozzá, valamint jelszavak konfigurálására vagy távoli visszaállítására, valamint eszközházirendek konfigurálására is használható. A Kingston még USB 3.0-t is hozzáadott, amely lehetővé teszi a biztonságos adatok átvitelét sokkal gyorsabban, mint az USB 2.0.
Összességében a DT Vault Privacy 3.0 kiváló lehetőség a vállalati szektor és az adataik maximális védelmét igénylő szervezetek számára. Ajánlható minden olyan felhasználónak, aki nyilvános hálózaton található számítógépeket használ.
A Kingston termékekkel kapcsolatos további információkért forduljon a következőhöz: .
Forrás: will.com