Halo, Habr! Di komentar ke salah satu kami pembaca mengajukan pertanyaan menarik: "Mengapa Anda memerlukan flash drive dengan enkripsi perangkat keras ketika TrueCrypt tersedia?" - dan bahkan menyatakan beberapa kekhawatiran tentang "Bagaimana Anda dapat memastikan bahwa tidak ada bookmark di perangkat lunak dan perangkat keras drive Kingston ?” Kami menjawab pertanyaan-pertanyaan ini dengan ringkas, namun kemudian memutuskan bahwa topik tersebut layak untuk dianalisis secara mendasar. Inilah yang akan kami lakukan di posting ini.
Enkripsi perangkat keras AES, seperti enkripsi perangkat lunak, telah ada sejak lama, tetapi bagaimana sebenarnya cara melindungi data sensitif pada flash drive? Siapa yang mensertifikasi hard disk tersebut, dan apakah sertifikasi ini dapat dipercaya? Siapa yang butuh flash drive “kompleks” jika Anda dapat menggunakan program gratis seperti TrueCrypt atau BitLocker. Seperti yang Anda lihat, topik yang ditanyakan di komentar memang menimbulkan banyak pertanyaan. Mari kita coba mencari tahu semuanya.
Apa perbedaan enkripsi perangkat keras dengan enkripsi perangkat lunak?
Dalam kasus flash drive (serta HDD dan SSD), chip khusus yang terletak di papan sirkuit perangkat digunakan untuk mengimplementasikan enkripsi data perangkat keras. Ini memiliki generator nomor acak bawaan yang menghasilkan kunci enkripsi. Data secara otomatis dienkripsi dan langsung didekripsi ketika Anda memasukkan kata sandi pengguna Anda. Dalam skenario ini, hampir tidak mungkin mengakses data tanpa kata sandi.
Saat menggunakan enkripsi perangkat lunak, “penguncian” data pada drive disediakan oleh perangkat lunak eksternal, yang bertindak sebagai alternatif berbiaya rendah dibandingkan metode enkripsi perangkat keras. Kerugian dari perangkat lunak tersebut mungkin termasuk persyaratan dangkal untuk pembaruan rutin untuk memberikan ketahanan terhadap teknik peretasan yang terus meningkat. Selain itu, kekuatan proses komputer (bukan chip perangkat keras terpisah) digunakan untuk mendekripsi data, dan, pada kenyataannya, tingkat perlindungan PC menentukan tingkat perlindungan drive.
Fitur utama drive dengan enkripsi perangkat keras adalah prosesor kriptografi terpisah, yang kehadirannya memberi tahu kita bahwa kunci enkripsi tidak pernah meninggalkan drive USB, tidak seperti kunci perangkat lunak yang dapat disimpan sementara di RAM atau hard drive komputer. Dan karena enkripsi perangkat lunak menggunakan memori PC untuk menyimpan jumlah upaya login, enkripsi perangkat lunak tidak dapat menghentikan serangan brute force pada kata sandi atau kunci. Penghitung upaya login dapat terus direset oleh penyerang hingga program peretas kata sandi otomatis menemukan kombinasi yang diinginkan.
Ngomong-ngomong..., di komentar artikel ““Pengguna juga mencatat bahwa, misalnya, program TrueCrypt memiliki mode operasi portabel. Namun, ini bukanlah keuntungan yang besar. Faktanya adalah dalam hal ini program enkripsi disimpan dalam memori flash drive, dan ini membuatnya lebih rentan terhadap serangan.
Intinya: pendekatan perangkat lunak tidak memberikan tingkat keamanan setinggi enkripsi AES. Ini lebih merupakan pertahanan dasar. Di sisi lain, enkripsi perangkat lunak terhadap data penting masih lebih baik daripada tidak ada enkripsi sama sekali. Dan fakta ini memungkinkan kita untuk dengan jelas membedakan antara jenis kriptografi ini: enkripsi perangkat keras pada flash drive adalah suatu keharusan, bagi sektor korporasi (misalnya, ketika karyawan perusahaan menggunakan drive yang dikeluarkan di tempat kerja); dan perangkat lunak lebih sesuai dengan kebutuhan pengguna.
Namun, Kingston membagi model hard disknya (misalnya, IronKey S1000) menjadi versi Basic dan Enterprise. Dalam hal fungsionalitas dan properti perlindungan, keduanya hampir identik satu sama lain, namun versi korporat menawarkan kemampuan untuk mengelola drive menggunakan perangkat lunak SafeConsole/IronKey EMS. Dengan perangkat lunak ini, drive bekerja dengan cloud atau server lokal untuk menerapkan perlindungan kata sandi dan kebijakan akses dari jarak jauh. Pengguna diberi kesempatan untuk memulihkan kata sandi yang hilang, dan administrator dapat mengalihkan drive yang tidak lagi digunakan ke tugas baru.
Bagaimana cara kerja flash drive Kingston dengan enkripsi AES?
Kingston menggunakan enkripsi perangkat keras AES-XTS 256-bit (menggunakan kunci panjang penuh opsional) untuk semua drive amannya. Seperti yang kami sebutkan di atas, flash drive berisi basis komponennya sebuah chip terpisah untuk mengenkripsi dan mendekripsi data, yang bertindak sebagai penghasil angka acak yang terus-menerus aktif.
Saat Anda menghubungkan perangkat ke port USB untuk pertama kalinya, Initialization Setup Wizard meminta Anda untuk menetapkan kata sandi utama untuk mengakses perangkat. Setelah mengaktifkan drive, algoritma enkripsi akan secara otomatis mulai bekerja sesuai dengan preferensi pengguna.
Pada saat yang sama, bagi pengguna, prinsip pengoperasian flash drive tidak akan berubah - ia masih dapat mengunduh dan menempatkan file di memori perangkat, seperti saat bekerja dengan flash drive USB biasa. Satu-satunya perbedaan adalah ketika Anda menghubungkan flash drive ke komputer baru, Anda harus memasukkan kata sandi yang ditetapkan untuk mendapatkan akses ke informasi Anda.
Mengapa dan siapa yang membutuhkan flash drive dengan enkripsi perangkat keras?
Untuk organisasi yang data sensitifnya merupakan bagian dari bisnisnya (baik keuangan, layanan kesehatan, atau pemerintah), enkripsi adalah cara perlindungan yang paling andal. Enkripsi perangkat keras AES adalah solusi terukur yang dapat digunakan oleh perusahaan mana pun: mulai dari individu dan usaha kecil hingga perusahaan besar, serta organisasi militer dan pemerintah. Untuk melihat masalah ini secara lebih spesifik, diperlukan penggunaan drive USB terenkripsi:
- Untuk menjamin keamanan data rahasia perusahaan
- Untuk melindungi informasi pelanggan
- Untuk melindungi perusahaan dari hilangnya keuntungan dan loyalitas pelanggan
Perlu dicatat bahwa beberapa produsen flash drive aman (termasuk Kingston) memberikan solusi khusus kepada perusahaan yang dirancang untuk memenuhi kebutuhan dan tujuan pelanggan. Namun lini yang diproduksi secara massal (termasuk flash drive DataTraveler) mengatasi tugasnya dengan sempurna dan mampu memberikan keamanan kelas korporat.
1. Menjamin keamanan data rahasia perusahaan
Pada tahun 2017, seorang warga London menemukan drive USB di salah satu taman yang berisi informasi yang tidak dilindungi kata sandi terkait keamanan Bandara Heathrow, termasuk lokasi kamera pengintai dan informasi rinci tentang langkah-langkah keamanan jika terjadi kedatangan. pejabat tinggi. Flash drive tersebut juga berisi data tiket elektronik dan kode akses ke area terlarang di bandara.
Para analis mengatakan alasan terjadinya situasi seperti ini adalah buta huruf dunia maya di kalangan karyawan perusahaan, yang bisa “membocorkan” data rahasia karena kelalaian mereka sendiri. Flash drive dengan enkripsi perangkat keras sebagian memecahkan masalah ini, karena jika drive tersebut hilang, Anda tidak akan dapat mengakses data di dalamnya tanpa kata sandi utama dari petugas keamanan yang sama. Bagaimanapun, hal ini tidak meniadakan fakta bahwa karyawan harus dilatih untuk menangani flash drive, bahkan jika kita berbicara tentang perangkat yang dilindungi enkripsi.
2. Melindungi informasi pelanggan
Tugas yang lebih penting lagi bagi organisasi mana pun adalah menjaga data pelanggan, yang tidak boleh terkena risiko kompromi. Omong-omong, informasi inilah yang paling sering ditransfer antar sektor bisnis yang berbeda dan, biasanya, bersifat rahasia: misalnya, mungkin berisi data tentang transaksi keuangan, riwayat kesehatan, dll.
3. Perlindungan terhadap hilangnya keuntungan dan loyalitas pelanggan
Menggunakan perangkat USB dengan enkripsi perangkat keras dapat membantu mencegah konsekuensi buruk bagi organisasi. Perusahaan yang melanggar undang-undang perlindungan data pribadi dapat dikenakan denda dalam jumlah besar. Oleh karena itu, pertanyaan yang harus diajukan: apakah layak mengambil risiko berbagi informasi tanpa perlindungan yang memadai?
Bahkan tanpa memperhitungkan dampak finansialnya, jumlah waktu dan sumber daya yang dihabiskan untuk memperbaiki bug keamanan yang terjadi bisa jadi sama signifikannya. Selain itu, jika pelanggaran data membahayakan data pelanggan, perusahaan berisiko terhadap loyalitas merek, terutama di pasar di mana terdapat pesaing yang menawarkan produk atau layanan serupa.
Siapa yang menjamin tidak adanya “bookmark” dari pabrikan saat menggunakan flash drive dengan enkripsi perangkat keras?
Dalam topik yang kami angkat, pertanyaan ini mungkin salah satu pertanyaan utama. Di antara komentar pada artikel tentang drive Kingston DataTraveler, kami menemukan pertanyaan menarik lainnya: “Apakah perangkat Anda memiliki audit dari spesialis independen pihak ketiga?” Ya... ini kepentingan yang logis: pengguna ingin memastikan bahwa drive USB kami tidak mengandung kesalahan umum, seperti enkripsi yang lemah atau kemampuan untuk melewati entri kata sandi. Dan di bagian artikel ini kita akan membahas tentang prosedur sertifikasi apa yang dijalani drive Kingston sebelum menerima status flash drive yang benar-benar aman.
Siapa yang menjamin keandalan? Tampaknya kita dapat mengatakan bahwa, “Kingston berhasil – ia menjaminnya.” Namun dalam hal ini, pernyataan seperti itu tidak benar, karena pabrikan adalah pihak yang berkepentingan. Oleh karena itu, semua produk diuji oleh pihak ketiga dengan keahlian independen. Secara khusus, drive terenkripsi perangkat keras Kingston (dengan pengecualian DTLPG3) adalah peserta dalam Program Validasi Modul Kriptografi (CMVP) dan disertifikasi oleh Standar Pemrosesan Informasi Federal (FIPS). Drive ini juga disertifikasi menurut standar GLBA, HIPPA, HITECH, PCI dan GTSA.
1. Program validasi modul kriptografi
Program CMVP merupakan proyek gabungan Institut Standar dan Teknologi Nasional Departemen Perdagangan AS dan Pusat Keamanan Siber Kanada. Tujuan proyek ini adalah untuk merangsang permintaan perangkat kriptografi yang terbukti dan memberikan metrik keamanan kepada lembaga federal dan industri yang diatur (seperti lembaga keuangan dan layanan kesehatan) yang digunakan dalam pengadaan peralatan.
Perangkat diuji terhadap serangkaian persyaratan kriptografi dan keamanan oleh laboratorium pengujian kriptografi dan keamanan independen yang diakreditasi oleh Program Akreditasi Laboratorium Sukarela Nasional (NVLAP). Pada saat yang sama, setiap laporan laboratorium diperiksa kepatuhannya terhadap Standar Pemrosesan Informasi Federal (FIPS) 140-2 dan dikonfirmasi oleh CMVP.
Modul yang diverifikasi sesuai FIPS 140-2 direkomendasikan untuk digunakan oleh lembaga federal AS dan Kanada hingga 22 September 2026. Setelah itu, data tersebut akan dimasukkan ke dalam daftar arsip, meskipun masih dapat digunakan. Pada tanggal 22 September 2020, penerimaan permohonan validasi sesuai standar FIPS 140-3 berakhir. Setelah perangkat lolos pemeriksaan, perangkat tersebut akan dipindahkan ke daftar aktif perangkat yang diuji dan tepercaya selama lima tahun. Jika perangkat kriptografi tidak lolos verifikasi, penggunaannya di lembaga pemerintah di Amerika Serikat dan Kanada tidak disarankan.
2. Persyaratan keamanan apa yang dikenakan oleh sertifikasi FIPS?
Meretas data bahkan dari drive terenkripsi yang tidak bersertifikat adalah hal yang sulit dan hanya sedikit orang yang dapat melakukannya, jadi ketika memilih drive konsumen untuk digunakan di rumah dengan sertifikasi, Anda tidak perlu repot. Di sektor korporasi, situasinya berbeda: ketika memilih drive USB yang aman, perusahaan sering kali mementingkan tingkat sertifikasi FIPS. Namun, tidak semua orang memiliki gagasan yang jelas tentang apa arti level-level ini.
Standar FIPS 140-2 saat ini menetapkan empat tingkat keamanan berbeda yang dapat dipenuhi oleh flash drive. Tingkat pertama menyediakan serangkaian fitur keamanan moderat. Tingkat keempat menyiratkan persyaratan ketat untuk perlindungan diri perangkat. Tingkat dua dan tiga memberikan gradasi terhadap persyaratan ini dan membentuk semacam mean emas.
- Keamanan Tingkat XNUMX: Drive USB bersertifikat Tingkat XNUMX memerlukan setidaknya satu algoritma enkripsi atau fitur keamanan lainnya.
- Tingkat keamanan kedua: di sini drive diperlukan tidak hanya untuk memberikan perlindungan kriptografi, tetapi juga untuk mendeteksi intrusi tidak sah di tingkat firmware jika seseorang mencoba membuka drive.
- Tingkat keamanan ketiga: melibatkan pencegahan peretasan dengan menghancurkan “kunci” enkripsi. Artinya, diperlukan respons terhadap upaya penetrasi. Selain itu, tingkat ketiga menjamin tingkat perlindungan yang lebih tinggi terhadap interferensi elektromagnetik: yaitu, membaca data dari flash drive menggunakan perangkat peretasan nirkabel tidak akan berfungsi.
- Tingkat keamanan keempat: tingkat tertinggi, yang melibatkan perlindungan lengkap terhadap modul kriptografi, yang memberikan kemungkinan maksimum deteksi dan perlawanan terhadap upaya akses tidak sah oleh pengguna tidak sah. Flash drive yang telah menerima sertifikat tingkat keempat juga menyertakan opsi perlindungan yang tidak memungkinkan peretasan dengan mengubah voltase dan suhu sekitar.
Hard disk Kingston berikut disertifikasi FIPS 140-2 Level 2000: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. Fitur utama dari drive ini adalah kemampuannya untuk merespons upaya intrusi: jika kata sandi yang dimasukkan salah sebanyak XNUMX kali, data pada drive akan dimusnahkan.
Apa lagi yang bisa dilakukan flash drive Kingston selain enkripsi?
Dalam hal keamanan data lengkap, enkripsi perangkat keras pada flash drive, antivirus bawaan, perlindungan dari pengaruh eksternal, sinkronisasi dengan cloud pribadi, dan fitur lain yang akan kita bahas di bawah akan membantu. Tidak ada perbedaan besar antara flash drive dengan enkripsi perangkat lunak. Iblis ada dalam detailnya. Dan inilah yang terjadi.
1. Penjelajah Data Kingston 2000
Mari kita ambil drive USB sebagai contoh. . Ini adalah salah satu flash drive dengan enkripsi perangkat keras, tetapi pada saat yang sama satu-satunya yang memiliki keyboard fisik sendiri pada casingnya. Keypad 11 tombol ini menjadikan DT2000 benar-benar independen dari sistem host (untuk menggunakan DataTraveler 2000, Anda harus menekan tombol Kunci, lalu memasukkan kata sandi, dan menekan tombol Kunci lagi). Selain itu, flash drive ini memiliki tingkat perlindungan IP57 terhadap air dan debu (yang mengejutkan, Kingston tidak menyatakan hal ini di mana pun baik pada kemasan maupun spesifikasi di situs resminya).
Ada baterai lithium polimer 2000mAh di dalam DataTraveler 40, dan Kingston menyarankan pembeli untuk mencolokkan drive ke port USB setidaknya satu jam sebelum menggunakannya agar baterai dapat diisi. Ngomong-ngomong, di salah satu materi sebelumnya : Tidak ada alasan untuk khawatir - flash drive tidak diaktifkan di pengisi daya karena tidak ada permintaan ke pengontrol oleh sistem. Oleh karena itu, tidak ada yang akan mencuri data Anda melalui intrusi nirkabel.
2. Loker DataTraveler Kingston+ G3
Jika kita berbicara tentang model Kingston – menarik perhatian dengan kemampuan untuk mengonfigurasi cadangan data dari flash drive ke penyimpanan cloud Google, OneDrive, Amazon Cloud, atau Dropbox. Sinkronisasi data dengan layanan ini juga disediakan.
Salah satu pertanyaan yang ditanyakan pembaca kami adalah: “Tetapi bagaimana cara mengambil data terenkripsi dari cadangan?” Sangat sederhana. Faktanya adalah ketika sinkronisasi dengan cloud, informasi didekripsi, dan perlindungan cadangan di cloud bergantung pada kemampuan cloud itu sendiri. Oleh karena itu, prosedur tersebut dilakukan semata-mata atas kebijaksanaan pengguna. Tanpa izinnya, tidak ada data yang akan diunggah ke cloud.
3. Privasi Kingston DataTraveler Vault 3.0
Tapi perangkat Kingston Mereka juga dilengkapi dengan antivirus Drive Security bawaan dari ESET. Yang terakhir melindungi data dari invasi drive USB oleh virus, spyware, Trojan, worm, rootkit, dan koneksi ke komputer orang lain, bisa dikatakan, tidak takut. Antivirus akan langsung memperingatkan pemilik drive tentang potensi ancaman, jika ada yang terdeteksi. Dalam hal ini, pengguna tidak perlu menginstal sendiri perangkat lunak anti-virus dan membayar untuk opsi ini. ESET Drive Security sudah diinstal sebelumnya pada flash drive dengan lisensi lima tahun.
Kingston DT Vault Privacy 3.0 dirancang dan ditargetkan terutama pada profesional TI. Hal ini memungkinkan administrator untuk menggunakannya sebagai drive mandiri atau menambahkannya sebagai bagian dari solusi manajemen terpusat, dan juga dapat digunakan untuk mengonfigurasi atau menyetel ulang kata sandi dari jarak jauh dan mengonfigurasi kebijakan perangkat. Kingston bahkan menambahkan USB 3.0, yang memungkinkan Anda mentransfer data aman jauh lebih cepat daripada USB 2.0.
Secara keseluruhan, DT Vault Privacy 3.0 adalah pilihan yang sangat baik untuk sektor korporasi dan organisasi yang memerlukan perlindungan maksimal atas data mereka. Ini juga dapat direkomendasikan untuk semua pengguna yang menggunakan komputer yang terletak di jaringan publik.
Untuk informasi lebih lanjut mengenai produk Kingston, hubungi .
Sumber: www.habr.com