Halló, Habr! Í athugasemdum við einn af okkar lesendur spurðu áhugaverðrar spurningar: "Hvers vegna þarftu glampi drif með dulkóðun vélbúnaðar þegar TrueCrypt er fáanlegt?" - og lýstu jafnvel nokkrum áhyggjum af "Hvernig geturðu gengið úr skugga um að það séu engin bókamerki í hugbúnaði og vélbúnaði Kingston drifs. ?” Við svöruðum þessum spurningum í stuttu máli en ákváðum síðan að efnið ætti skilið grundvallargreiningu. Þetta er það sem við munum gera í þessari færslu.
AES vélbúnaðardulkóðun, eins og hugbúnaðardulkóðun, hefur verið til í langan tíma, en hvernig nákvæmlega verndar það viðkvæm gögn á flash-drifum? Hver vottar slíka drif og er hægt að treysta þessum vottunum? Hver þarf svona „flókin“ glampi drif ef þú getur notað ókeypis forrit eins og TrueCrypt eða BitLocker. Eins og þú sérð vekur efnið sem spurt er um í athugasemdunum í raun upp margar spurningar. Við skulum reyna að átta okkur á þessu öllu.
Hvernig er dulkóðun vélbúnaðar frábrugðin hugbúnaðardulkóðun?
Þegar um er að ræða flassdrif (sem og HDD og SSD) er sérstakur flís staðsettur á hringrásarborði tækisins notaður til að innleiða dulkóðun vélbúnaðargagna. Það er með innbyggðan slembitölugjafa sem býr til dulkóðunarlykla. Gögnin eru sjálfkrafa dulkóðuð og afkóðuð þegar í stað þegar þú slærð inn lykilorð notanda. Í þessari atburðarás er nánast ómögulegt að fá aðgang að gögnunum án lykilorðs.
Þegar hugbúnaðardulkóðun er notuð er „læsing“ gagna á drifinu veitt af utanaðkomandi hugbúnaði, sem virkar sem ódýr valkostur við dulkóðunaraðferðir vélbúnaðar. Ókostir slíks hugbúnaðar geta falið í sér banal kröfu um reglulegar uppfærslur til að bjóða upp á mótstöðu gegn síbatnandi tölvuþrjótatækni. Að auki er kraftur tölvuferlis (frekar en sérstakt vélbúnaðarflís) notaður til að afkóða gögn og í raun ræður verndarstig tölvunnar verndarstig drifsins.
Helsta eiginleiki drifa með dulkóðun vélbúnaðar er sérstakur dulkóðunargjörvi, tilvist hans segir okkur að dulkóðunarlyklar fara aldrei úr USB-drifinu, ólíkt hugbúnaðarlykla sem hægt er að geyma tímabundið í vinnsluminni eða harða diski tölvunnar. Og vegna þess að hugbúnaðardulkóðun notar tölvuminni til að geyma fjölda innskráningartilrauna getur hún ekki stöðvað árásir á lykilorð eða lykil. Innskráningartilraunateljarinn getur verið stöðugt endurstilltur af árásarmanni þar til sjálfvirka lykilorðssprungaforritið finnur viðeigandi samsetningu.
Við the vegur..., í athugasemdum við greinina “„Notendur tóku einnig fram að til dæmis TrueCrypt forritið er með færanlegan rekstrarham. Hins vegar er þetta ekki stór kostur. Staðreyndin er sú að í þessu tilviki er dulkóðunarforritið geymt í minni flash-drifsins og það gerir það viðkvæmara fyrir árásum.
Niðurstaða: hugbúnaðaraðferðin veitir ekki eins mikið öryggi og AES dulkóðun. Þetta er frekar grunnvörn. Aftur á móti er hugbúnaðardulkóðun mikilvægra gagna enn betri en engin dulkóðun. Og þessi staðreynd gerir okkur kleift að greina greinilega á milli þessara tegunda dulritunar: dulkóðun vélbúnaðar á glampi drifum er nauðsyn, frekar fyrir fyrirtækjageirann (til dæmis þegar starfsmenn fyrirtækisins nota drif sem gefin eru út í vinnunni); og hugbúnaður hentar betur fyrir þarfir notenda.
Hins vegar skiptir Kingston drifgerðum sínum (til dæmis IronKey S1000) í Basic og Enterprise útgáfur. Hvað varðar virkni og verndareiginleika eru þeir næstum eins hver öðrum, en fyrirtækjaútgáfan býður upp á möguleika á að stjórna drifinu með SafeConsole/IronKey EMS hugbúnaði. Með þessum hugbúnaði vinnur drifið með annað hvort skýja- eða staðbundnum netþjónum til að framfylgja lykilorðavernd og aðgangsreglum í fjarska. Notendum gefst kostur á að endurheimta týnd lykilorð og stjórnendur geta skipt um drif sem ekki eru lengur í notkun yfir í ný verkefni.
Hvernig virka Kingston glampi drif með AES dulkóðun?
Kingston notar 256 bita AES-XTS vélbúnaðardulkóðun (með því að nota valfrjálsan lykil í fullri lengd) fyrir öll örugg drif. Eins og við tókum fram hér að ofan, innihalda flassdrif í íhlutagrunni sérstakt flís til að dulkóða og afkóða gögn, sem virkar sem stöðugt virkur slembitölugenerator.
Þegar þú tengir tæki við USB-tengi í fyrsta skipti biður upphafsuppsetningarhjálpin þig um að stilla aðallykilorð til að fá aðgang að tækinu. Eftir að drifið hefur verið virkjað byrja dulkóðunaralgrím sjálfkrafa að virka í samræmi við óskir notenda.
Á sama tíma, fyrir notandann, mun meginreglan um notkun glampi drifsins haldast óbreytt - hann mun enn geta hlaðið niður og sett skrár í minni tækisins, eins og þegar hann vinnur með venjulegt USB glampi drif. Eini munurinn er sá að þegar þú tengir flash-drifið við nýja tölvu þarftu að slá inn uppsett lykilorð til að fá aðgang að upplýsingum þínum.
Hvers vegna og hver þarf glampi drif með dulkóðun vélbúnaðar?
Fyrir stofnanir þar sem viðkvæm gögn eru hluti af starfseminni (hvort sem það er fjárhagsleg, heilbrigðisþjónusta eða stjórnvöld), er dulkóðun áreiðanlegasta verndaraðferðin. AES vélbúnaðardulkóðun er stigstærð lausn sem hægt er að nota af hvaða fyrirtæki sem er: allt frá einstaklingum og litlum fyrirtækjum til stórra fyrirtækja, svo og her- og ríkisstofnana. Til að skoða þetta mál aðeins nánar er nauðsynlegt að nota dulkóðuð USB drif:
- Til að tryggja öryggi trúnaðargagna fyrirtækja
- Til að vernda upplýsingar um viðskiptavini
- Til að vernda fyrirtæki fyrir tapi á hagnaði og hollustu viðskiptavina
Þess má geta að sumir framleiðendur öruggra glampi drifa (þar á meðal Kingston) veita fyrirtækjum sérsniðnar lausnir sem eru hannaðar til að mæta þörfum og markmiðum viðskiptavina. En fjöldaframleiddu línurnar (þar á meðal DataTraveler glampi drif) takast á við verkefni sín fullkomlega og eru færar um að veita fyrirtækjaöryggi.
1. Að tryggja öryggi trúnaðargagna fyrirtækja
Árið 2017 uppgötvaði íbúi í London USB-drif í einum garðanna sem innihélt upplýsingar sem ekki eru verndaðar með lykilorði sem tengjast öryggi Heathrow-flugvallar, þar á meðal staðsetningu eftirlitsmyndavéla og nákvæmar upplýsingar um öryggisráðstafanir ef til kom háttsettir embættismenn. Flash-drifið innihélt einnig gögn um rafræn passa og aðgangskóða að lokuðum svæðum flugvallarins.
Sérfræðingar segja að ástæðan fyrir slíkum aðstæðum sé netólæsi starfsmanna fyrirtækisins, sem geti „lekið“ leynilegum gögnum með eigin vanrækslu. Flash-drif með dulkóðun vélbúnaðar leysa þetta vandamál að hluta, því ef slíkt drif týnist muntu ekki geta nálgast gögnin á því án aðallykilorðs sama öryggisfulltrúa. Í öllum tilvikum, þetta dregur ekki úr þeirri staðreynd að starfsmenn verða að vera þjálfaðir til að meðhöndla flash-drif, jafnvel þótt við séum að tala um tæki sem eru varin með dulkóðun.
2. Að vernda upplýsingar um viðskiptavini
Enn mikilvægara verkefni fyrir hverja stofnun er að sjá um gögn viðskiptavina, sem ætti ekki að vera háð hættu á málamiðlun. Við the vegur, það eru þessar upplýsingar sem eru oftast fluttar á milli mismunandi atvinnugreina og eru að jafnaði trúnaðarmál: til dæmis geta þær innihaldið gögn um fjárhagsfærslur, sjúkrasögu osfrv.
3. Vörn gegn hagnaðartapi og hollustu viðskiptavina
Notkun USB-tækja með dulkóðun vélbúnaðar getur hjálpað til við að koma í veg fyrir hrikalegar afleiðingar fyrir stofnanir. Fyrirtæki sem brjóta persónuverndarlög geta verið sektuð um háar fjárhæðir. Þess vegna verður að spyrja: Er það þess virði að taka þá áhættu að deila upplýsingum án viðeigandi verndar?
Jafnvel án þess að taka tillit til fjárhagslegra áhrifa getur sá tími og fjármagn sem varið er í að leiðrétta öryggisvillur sem eiga sér stað verið jafn verulegur. Að auki, ef gagnabrot stofnar gögnum viðskiptavina í hættu, stofnar fyrirtækið á hættu vörumerkjahollustu, sérstaklega á mörkuðum þar sem samkeppnisaðilar bjóða upp á svipaða vöru eða þjónustu.
Hver ábyrgist fjarveru „bókamerkja“ frá framleiðanda þegar glampi drif eru notuð með dulkóðun vélbúnaðar?
Í umræðuefninu sem við höfum borið upp er þessi spurning kannski ein af þeim helstu. Meðal athugasemda við greinina um Kingston DataTraveler drif, fundum við aðra áhugaverða spurningu: „Eru tækin þín með úttektir frá óháðum sérfræðingum þriðja aðila? Jæja... það er rökrétt áhugi: notendur vilja ganga úr skugga um að USB-drifin okkar innihaldi ekki algengar villur, svo sem veika dulkóðun eða getu til að komast framhjá lykilorðsfærslu. Og í þessum hluta greinarinnar munum við tala um hvaða vottunaraðferðir Kingston drif gangast undir áður en þeir fá stöðuna sem raunverulega örugga glampi drif.
Hver ábyrgist áreiðanleika? Það virðist sem við gætum vel sagt að "Kingston gerði það - það tryggir það." En í þessu tilviki mun slík yfirlýsing vera röng, þar sem framleiðandinn er hagsmunaaðili. Þess vegna eru allar vörur prófaðar af þriðja aðila með óháða sérfræðiþekkingu. Sérstaklega eru Kingston vélbúnaðardulkóðuð drif (að undanskildum DTLPG3) þátttakendur í dulritunareiningunni (CMVP) og eru vottaðir samkvæmt Federal Information Processing Standard (FIPS). Drifin eru einnig vottuð samkvæmt GLBA, HIPPA, HITECH, PCI og GTSA stöðlum.
1. Dulritunar mát staðfestingarforrit
CMVP forritið er samstarfsverkefni National Institute of Standards and Technology í bandaríska viðskiptaráðuneytinu og kanadísku netöryggismiðstöðinni. Markmið verkefnisins er að örva eftirspurn eftir sannreyndum dulritunartækjum og veita öryggismælingar til alríkisstofnana og eftirlitsskyldra atvinnugreina (eins og fjármála- og heilbrigðisstofnana) sem eru notuð við búnaðarkaup.
Tæki eru prófuð í samræmi við sett af dulritunar- og öryggiskröfum af óháðum dulritunar- og öryggisprófunarstofum sem eru viðurkenndar af National Voluntary Laboratory Accreditation Program (NVLAP). Á sama tíma er hver rannsóknarskýrsla athugað með tilliti til samræmis við Federal Information Processing Standard (FIPS) 140-2 og staðfest af CMVP.
Mælt er með einingar sem eru staðfestar sem FIPS 140-2 samhæfðar til notkunar af bandarískum og kanadískum alríkisstofnunum til og með 22. september 2026. Að þessu loknu verða þeir teknir inn á skjalaskrá, þó enn verði hægt að nota þá. Þann 22. september 2020 lauk viðtöku umsókna um löggildingu samkvæmt FIPS 140-3 staðlinum. Þegar tækin standast athuganir verða þau færð á virkan lista yfir prófuð og traust tæki í fimm ár. Ef dulritunartæki stenst ekki staðfestingu er ekki mælt með notkun þess hjá ríkisstofnunum í Bandaríkjunum og Kanada.
2. Hvaða öryggiskröfur setur FIPS vottun?
Það er erfitt að hakka gögn jafnvel frá óvottuðu dulkóðuðu drifi og fáir geta gert, þannig að þegar þú velur neytendadrif til heimanotkunar með vottun þarftu ekki að skipta þér af því. Í fyrirtækjageiranum er staðan önnur: þegar þau velja örugg USB drif leggja fyrirtæki oft áherslu á FIPS vottunarstig. Hins vegar hafa ekki allir skýra hugmynd um hvað þessi stig þýða.
Núverandi FIPS 140-2 staðall skilgreinir fjögur mismunandi öryggisstig sem flash-drif geta uppfyllt. Fyrsta stigið býður upp á hóflegt sett af öryggiseiginleikum. Fjórða stigið felur í sér strangar kröfur um sjálfsvörn tækja. Stig tvö og þrjú gefa stigbreytingu á þessar kröfur og mynda eins konar gullna meðalveg.
- Öryggi XNUMX. stigs: Stig XNUMX vottuð USB drif þurfa að minnsta kosti eitt dulkóðunaralgrím eða annan öryggiseiginleika.
- Annað öryggisstig: hér þarf drifið ekki aðeins til að veita dulmálsvernd heldur einnig til að greina óviðkomandi afskipti á fastbúnaðarstigi ef einhver reynir að opna drifið.
- Þriðja öryggisstigið: felur í sér að koma í veg fyrir reiðhestur með því að eyða dulkóðunar „lyklum“. Það er að segja að bregðast þurfi við tilraunum til innbrots. Þriðja stigið tryggir einnig hærra stig verndar gegn rafsegultruflunum: það er að lesa gögn af flash-drifi með þráðlausum tölvuþrjótum mun ekki virka.
- Fjórða öryggisstigið: hæsta stigið, sem felur í sér fullkomna vernd á dulmálseiningunni, sem veitir hámarkslíkur á uppgötvun og mótvægi við óviðkomandi aðgangstilraunum óviðkomandi notanda. Flash drif sem hafa fengið fjórða stigs vottorð innihalda einnig verndarmöguleika sem leyfa ekki innbrot með því að breyta spennu og umhverfishita.
Eftirfarandi Kingston drif eru vottuð fyrir FIPS 140-2 stig 2000: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. Lykilatriðið í þessum drifum er hæfni þeirra til að bregðast við árásartilraun: ef lykilorðið er rangt slegið inn XNUMX sinnum verður gögnum á drifinu eytt.
Hvað annað getur Kingston glampi drif gert fyrir utan dulkóðun?
Þegar kemur að fullkomnu gagnaöryggi, ásamt vélbúnaðardulkóðun á glampi drifum, innbyggðum vírusvörnum, vörn gegn utanaðkomandi áhrifum, samstillingu við persónuleg ský og aðrir eiginleikar sem við munum ræða hér að neðan koma til bjargar. Það er enginn mikill munur á flash-drifum með hugbúnaðardulkóðun. Djöfullinn er í smáatriðunum. Og hér er hvað.
1. Kingston DataTraveler 2000
Tökum sem dæmi USB drif. . Þetta er eitt af flash-drifunum með dulkóðun vélbúnaðar, en á sama tíma sá eini með sitt eigið líkamlega lyklaborð á hulstrinu. Þetta 11 hnappa takkaborð gerir DT2000 algjörlega óháðan hýsingarkerfum (til að nota DataTraveler 2000 verður þú að ýta á takkahnappinn, slá inn lykilorðið þitt og ýta aftur á lyklahnappinn). Að auki hefur þetta glampi drif IP57 vernd gegn vatni og ryki (furðulegt, Kingston segir þetta hvergi hvorki á umbúðunum né í forskriftunum á opinberu vefsíðunni).
Það er 2000mAh litíum fjölliða rafhlaða inni í DataTraveler 40 og Kingston ráðleggur kaupendum að stinga drifinu í USB tengi í að minnsta kosti klukkutíma áður en það er notað til að leyfa rafhlöðunni að hlaðast. Við the vegur, í einu af fyrri efnum : Það er engin ástæða til að hafa áhyggjur - flash-drifið er ekki virkjað í hleðslutækinu vegna þess að það eru engar beiðnir til stjórnandans frá kerfinu. Þess vegna mun enginn stela gögnum þínum með þráðlausum innbrotum.
2. Kingston DataTraveler Locker+ G3
Ef við tölum um Kingston líkanið - það vekur athygli með getu til að stilla öryggisafrit af gögnum frá glampi drifi yfir í Google skýjageymslu, OneDrive, Amazon Cloud eða Dropbox. Gagnasamstilling við þessa þjónustu er einnig veitt.
Ein af spurningunum sem lesendur okkar spyrja okkur er: „En hvernig á að taka dulkóðuð gögn úr öryggisafriti? Mjög einfalt. Staðreyndin er sú að þegar samstilling er við skýið eru upplýsingarnar afkóðaðar og vörn öryggisafritunar á skýinu fer eftir getu skýsins sjálfs. Þess vegna eru slíkar aðgerðir eingöngu gerðar að mati notanda. Án hans leyfis verður engum gögnum hlaðið upp í skýið.
3. Kingston DataTraveler Vault Privacy 3.0
En Kingston tækin Þeir koma einnig með innbyggt Drive Security vírusvörn frá ESET. Hið síðarnefnda verndar gögn gegn innrás í USB drif af vírusum, njósnahugbúnaði, Tróverji, ormum, rótarsettum og tengingu við tölvur annarra, það má segja að það sé ekki hræddur. Vírusvörnin mun þegar í stað vara eiganda drifsins við hugsanlegum ógnum, ef einhverjar finnast. Í þessu tilviki þarf notandinn ekki sjálfur að setja upp vírusvarnarhugbúnað og borga fyrir þennan valkost. ESET Drive Security er foruppsett á flash-drifi með fimm ára leyfi.
Kingston DT Vault Privacy 3.0 er hannað og miðar fyrst og fremst að upplýsingatæknisérfræðingum. Það gerir stjórnendum kleift að nota það sem sjálfstætt drif eða bæta því við sem hluta af miðlægri stjórnunarlausn og einnig er hægt að nota það til að stilla eða endurstilla lykilorð og stilla tækjastefnur. Kingston bætti meira að segja við USB 3.0, sem gerir þér kleift að flytja örugg gögn mun hraðar en USB 2.0.
Á heildina litið er DT Vault Privacy 3.0 frábær kostur fyrir fyrirtæki og stofnanir sem krefjast hámarksverndar gagna sinna. Einnig er hægt að mæla með því fyrir alla notendur sem nota tölvur sem staðsettar eru á almennum netum.
Fyrir frekari upplýsingar um Kingston vörur, hafðu samband .
Heimild: www.habr.com