Ciao, Habr! Nei commenti ad uno dei nostri i lettori hanno posto una domanda interessante: "Perché hai bisogno di un'unità flash con crittografia hardware quando TrueCrypt è disponibile?" - e hanno anche espresso alcune preoccupazioni su "Come puoi assicurarti che non ci siano segnalibri nel software e nell'hardware di un'unità Kingston ?” Abbiamo risposto brevemente a queste domande, ma poi abbiamo deciso che l'argomento meritava un'analisi fondamentale. Questo è ciò che faremo in questo post.
La crittografia hardware AES, come la crittografia software, esiste da molto tempo, ma come protegge esattamente i dati sensibili sulle unità flash? Chi certifica tali unità e ci si può fidare di queste certificazioni? Chi ha bisogno di unità flash così "complesse" se puoi utilizzare programmi gratuiti come TrueCrypt o BitLocker. Come puoi vedere, l'argomento posto nei commenti solleva davvero molte domande. Proviamo a capire tutto.
In che modo la crittografia hardware differisce dalla crittografia software?
Nel caso delle unità flash (così come HDD e SSD), viene utilizzato uno speciale chip situato sul circuito stampato del dispositivo per implementare la crittografia hardware dei dati. Ha un generatore di numeri casuali integrato che genera chiavi di crittografia. I dati vengono automaticamente crittografati e immediatamente decrittografati quando si immette la password utente. In questo scenario è quasi impossibile accedere ai dati senza password.
Quando si utilizza la crittografia software, il "blocco" dei dati sull'unità viene fornito da un software esterno, che funge da alternativa a basso costo ai metodi di crittografia hardware. Gli svantaggi di tali software possono includere la banale richiesta di aggiornamenti regolari per resistere alle tecniche di hacking in costante miglioramento. Inoltre, per decrittografare i dati viene utilizzata la potenza di un processo informatico (piuttosto che un chip hardware separato) e, di fatto, il livello di protezione del PC determina il livello di protezione dell'unità.
La caratteristica principale delle unità con crittografia hardware è un processore crittografico separato, la cui presenza ci dice che le chiavi di crittografia non lasciano mai l'unità USB, a differenza delle chiavi software che possono essere temporaneamente archiviate nella RAM o nel disco rigido del computer. Inoltre, poiché la crittografia software utilizza la memoria del PC per memorizzare il numero di tentativi di accesso, non è in grado di fermare gli attacchi di forza bruta su una password o una chiave. Il contatore dei tentativi di accesso può essere reimpostato continuamente da un utente malintenzionato finché il programma di cracking automatico della password non trova la combinazione desiderata.
A proposito..., nei commenti all'articolo ““Gli utenti hanno anche notato che, ad esempio, il programma TrueCrypt ha una modalità operativa portatile. Tuttavia, questo non è un grande vantaggio. Il fatto è che in questo caso il programma di crittografia è archiviato nella memoria dell'unità flash e questo lo rende più vulnerabile agli attacchi.
In conclusione: l’approccio software non fornisce un livello di sicurezza così elevato come la crittografia AES. È più una difesa di base. D’altro canto, la crittografia software dei dati importanti è comunque preferibile rispetto all’assenza totale di crittografia. E questo fatto ci consente di distinguere chiaramente tra questi tipi di crittografia: la crittografia hardware delle unità flash è una necessità, piuttosto, per il settore aziendale (ad esempio, quando i dipendenti dell'azienda utilizzano le unità emesse sul posto di lavoro); e il software è più adatto alle esigenze degli utenti.
Tuttavia, Kingston divide i suoi modelli di unità (ad esempio IronKey S1000) in versioni Basic ed Enterprise. In termini di funzionalità e proprietà di protezione, sono quasi identici tra loro, ma la versione aziendale offre la possibilità di gestire l'unità utilizzando il software SafeConsole/IronKey EMS. Con questo software, l'unità funziona con server cloud o locali per applicare in remoto la protezione tramite password e le policy di accesso. Agli utenti viene data l'opportunità di recuperare le password perdute e gli amministratori possono passare alle nuove attività dalle unità che non sono più in uso.
Come funzionano le unità flash Kingston con crittografia AES?
Kingston utilizza la crittografia hardware AES-XTS a 256 bit (utilizzando una chiave a lunghezza intera opzionale) per tutte le sue unità protette. Come abbiamo notato sopra, le unità flash contengono nei loro componenti un chip separato per crittografare e decrittografare i dati, che funge da generatore di numeri casuali costantemente attivo.
Quando si connette un dispositivo a una porta USB per la prima volta, la procedura guidata di inizializzazione richiede di impostare una password principale per accedere al dispositivo. Dopo aver attivato l'unità, gli algoritmi di crittografia inizieranno automaticamente a funzionare in base alle preferenze dell'utente.
Allo stesso tempo, per l'utente, il principio di funzionamento dell'unità flash rimarrà invariato: potrà comunque scaricare e inserire file nella memoria del dispositivo, come quando lavora con una normale unità flash USB. L'unica differenza è che quando colleghi l'unità flash a un nuovo computer, dovrai inserire la password impostata per accedere alle tue informazioni.
Perché e chi ha bisogno di unità flash con crittografia hardware?
Per le organizzazioni in cui i dati sensibili fanno parte dell'attività (sia finanziaria, sanitaria o governativa), la crittografia è il mezzo di protezione più affidabile. La crittografia hardware AES è una soluzione scalabile che può essere utilizzata da qualsiasi azienda: dai privati e dalle piccole imprese alle grandi aziende, nonché alle organizzazioni militari e governative. Per esaminare questo problema in modo un po' più specifico, è necessario utilizzare unità USB crittografate:
- Per garantire la sicurezza dei dati aziendali riservati
- Per proteggere le informazioni dei clienti
- Per tutelare le aziende dalla perdita di profitti e dalla fidelizzazione dei clienti
Vale la pena notare che alcuni produttori di unità flash sicure (incluso Kingston) forniscono alle aziende soluzioni personalizzate progettate per soddisfare le esigenze e gli obiettivi dei clienti. Ma le linee prodotte in serie (comprese le unità flash DataTraveler) svolgono perfettamente i loro compiti e sono in grado di fornire una sicurezza di livello aziendale.
1. Garantire la sicurezza dei dati aziendali riservati
Nel 2017, un residente di Londra ha scoperto in uno dei parchi una chiavetta USB che conteneva informazioni non protette da password relative alla sicurezza dell'aeroporto di Heathrow, inclusa la posizione delle telecamere di sorveglianza e informazioni dettagliate sulle misure di sicurezza in caso di arrivo di funzionari di alto rango. La chiavetta conteneva anche dati su pass elettronici e codici di accesso alle aree riservate dell'aeroporto.
Gli analisti affermano che la ragione di tali situazioni è l'analfabetismo informatico dei dipendenti dell'azienda, che possono "far trapelare" dati segreti per la loro negligenza. Le unità flash con crittografia hardware risolvono parzialmente questo problema, perché se tale unità viene persa, non sarà possibile accedere ai dati su di essa senza la password principale dello stesso responsabile della sicurezza. In ogni caso, ciò non nega il fatto che i dipendenti debbano essere formati per maneggiare le unità flash, anche se si tratta di dispositivi protetti da crittografia.
2. Protezione delle informazioni dei clienti
Un compito ancora più importante per qualsiasi organizzazione è prendersi cura dei dati dei clienti, che non dovrebbero essere soggetti al rischio di compromissione. A proposito, sono queste informazioni che vengono spesso trasferite tra diversi settori aziendali e, di norma, sono riservate: ad esempio, possono contenere dati su transazioni finanziarie, anamnesi medica, ecc.
3. Tutela contro il mancato guadagno e fidelizzazione del cliente
L'utilizzo di dispositivi USB con crittografia hardware può aiutare a prevenire conseguenze devastanti per le organizzazioni. Le aziende che violano le leggi sulla protezione dei dati personali possono essere multate con ingenti somme. Occorre quindi porsi la domanda: vale la pena correre il rischio di condividere informazioni senza un’adeguata protezione?
Anche senza tenere conto dell’impatto finanziario, la quantità di tempo e risorse impiegate per correggere i bug di sicurezza che si verificano può essere altrettanto significativa. Inoltre, se una violazione dei dati compromette i dati dei clienti, l’azienda rischia la fedeltà al marchio, soprattutto nei mercati in cui sono presenti concorrenti che offrono un prodotto o servizio simile.
Chi garantisce l'assenza di "segnalibri" del produttore quando si utilizzano unità flash con crittografia hardware?
Nell'argomento che abbiamo sollevato, questa domanda è forse una delle principali. Tra i commenti all'articolo sulle unità Kingston DataTraveler, ci siamo imbattuti in un'altra domanda interessante: "I tuoi dispositivi sono sottoposti a controlli da parte di specialisti indipendenti di terze parti?" Bene... è un interesse logico: gli utenti vogliono assicurarsi che le nostre unità USB non contengano errori comuni, come una crittografia debole o la possibilità di bypassare l'immissione della password. E in questa parte dell'articolo parleremo di quali procedure di certificazione vengono sottoposte alle unità Kingston prima di ricevere lo status di unità flash veramente sicure.
Chi garantisce l'affidabilità? Sembrerebbe che potremmo ben dire che "Kingston ce l'ha fatta - lo garantisce". Ma in questo caso tale affermazione non sarà corretta, poiché la parte interessata è il produttore. Pertanto, tutti i prodotti vengono testati da terzi con competenza indipendente. In particolare, le unità Kingston con crittografia hardware (ad eccezione di DTLPG3) partecipano al Cryptographic Module Validation Program (CMVP) e sono certificate secondo il Federal Information Processing Standard (FIPS). Le unità sono inoltre certificate secondo gli standard GLBA, HIPPA, HITECH, PCI e GTSA.
1. Programma di convalida del modulo crittografico
Il programma CMVP è un progetto congiunto del National Institute of Standards and Technology del Dipartimento del Commercio degli Stati Uniti e del Canadian Cyber Security Center. L'obiettivo del progetto è stimolare la domanda di dispositivi crittografici comprovati e fornire parametri di sicurezza alle agenzie federali e alle industrie regolamentate (come le istituzioni finanziarie e sanitarie) utilizzati nell'approvvigionamento di apparecchiature.
I dispositivi vengono testati rispetto a una serie di requisiti di crittografia e sicurezza da laboratori indipendenti di test di crittografia e sicurezza accreditati dal Programma nazionale di accreditamento dei laboratori volontari (NVLAP). Allo stesso tempo, ogni rapporto di laboratorio viene controllato per verificarne la conformità allo standard FIPS (Federal Information Processing Standard) 140-2 e confermato dal CMVP.
I moduli verificati come conformi a FIPS 140-2 sono consigliati per l'uso da parte delle agenzie federali statunitensi e canadesi fino al 22 settembre 2026. Successivamente verranno inclusi nell'elenco degli archivi, sebbene potranno ancora essere utilizzati. Il 22 settembre 2020 si è conclusa l'accettazione delle domande di validazione secondo lo standard FIPS 140-3. Una volta che i dispositivi superano i controlli, verranno spostati nell'elenco attivo dei dispositivi testati e affidabili per cinque anni. Se un dispositivo crittografico non supera la verifica, se ne sconsiglia l'uso negli enti governativi negli Stati Uniti e in Canada.
2. Quali requisiti di sicurezza impone la certificazione FIPS?
L'hacking dei dati anche da un'unità crittografata non certificata è difficile e poche persone possono farlo, quindi quando si sceglie un'unità consumer per uso domestico con certificazione, non è necessario preoccuparsi. Nel settore aziendale la situazione è diversa: quando si scelgono unità USB sicure, le aziende spesso attribuiscono importanza ai livelli di certificazione FIPS. Non tutti però hanno le idee chiare su cosa significhino questi livelli.
L'attuale standard FIPS 140-2 definisce quattro diversi livelli di sicurezza che le unità flash possono soddisfare. Il primo livello fornisce un insieme moderato di funzionalità di sicurezza. Il quarto livello implica requisiti rigorosi per l'autoprotezione dei dispositivi. I livelli due e tre forniscono una gradazione di questi requisiti e formano una sorta di sezione aurea.
- Sicurezza di livello XNUMX: le unità USB certificate di livello XNUMX richiedono almeno un algoritmo di crittografia o altra funzionalità di sicurezza.
- Il secondo livello di sicurezza: qui l'unità è tenuta non solo a fornire protezione crittografica, ma anche a rilevare intrusioni non autorizzate a livello di firmware se qualcuno tenta di aprire l'unità.
- Il terzo livello di sicurezza: prevede la prevenzione degli attacchi hacker distruggendo le “chiavi” di crittografia. Cioè, è necessaria una risposta ai tentativi di penetrazione. Inoltre, il terzo livello garantisce un livello più elevato di protezione dalle interferenze elettromagnetiche: ovvero la lettura dei dati da un'unità flash utilizzando dispositivi di hacking wireless non funzionerà.
- Il quarto livello di sicurezza: il livello più alto, che prevede la protezione completa del modulo crittografico, che fornisce la massima probabilità di rilevamento e contrasto ad eventuali tentativi di accesso non autorizzati da parte di un utente non autorizzato. Le unità flash che hanno ricevuto un certificato di quarto livello includono anche opzioni di protezione che non consentono l'hacking modificando la tensione e la temperatura ambiente.
Le seguenti unità Kingston sono certificate FIPS 140-2 Livello 2000: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. La caratteristica fondamentale di questi drive è la loro capacità di rispondere a un tentativo di intrusione: se la password viene inserita in modo errato per XNUMX volte, i dati presenti sul drive verranno distrutti.
Cos'altro possono fare le unità flash Kingston oltre alla crittografia?
Quando si tratta di completa sicurezza dei dati, vengono in soccorso la crittografia hardware delle unità flash, gli antivirus integrati, la protezione da influenze esterne, la sincronizzazione con cloud personali e altre funzionalità di cui parleremo di seguito. Non c'è una grande differenza tra le unità flash con crittografia software. Il diavolo è nei dettagli. Ed ecco cosa.
1.Kingston DataTraveler 2000
Prendiamo ad esempio un'unità USB. . Questa è una delle unità flash con crittografia hardware, ma allo stesso tempo l'unica con la propria tastiera fisica sul case. Questa tastiera a 11 pulsanti rende il DT2000 completamente indipendente dai sistemi host (per utilizzare DataTraveler 2000, è necessario premere il pulsante Chiave, quindi inserire la password e premere nuovamente il pulsante Chiave). Inoltre, questa chiavetta ha un grado di protezione IP57 contro acqua e polvere (sorprendentemente, Kingston non lo specifica da nessuna parte né sulla confezione né nelle specifiche del sito ufficiale).
All'interno del DataTraveler 2000 è presente una batteria ai polimeri di litio da 40 mAh e Kingston consiglia agli acquirenti di collegare l'unità a una porta USB per almeno un'ora prima di utilizzarla per consentire alla batteria di caricarsi. A proposito, in uno dei materiali precedenti : Non c'è motivo di preoccuparsi: la chiavetta non è attivata nel caricabatterie perché non ci sono richieste al controller da parte del sistema. Pertanto, nessuno ruberà i tuoi dati tramite intrusioni wireless.
2. Kingston DataTraveler Locker+ G3
Se parliamo del modello Kingston – attira l'attenzione con la possibilità di configurare il backup dei dati da un'unità flash al cloud storage di Google, OneDrive, Amazon Cloud o Dropbox. Viene inoltre fornita la sincronizzazione dei dati con questi servizi.
Una delle domande che ci pongono i nostri lettori è: “Ma come prelevare dati criptati da un backup?” Molto semplice. Il fatto è che durante la sincronizzazione con il cloud, le informazioni vengono decrittografate e la protezione del backup sul cloud dipende dalle capacità del cloud stesso. Pertanto, tali procedure vengono eseguite esclusivamente a discrezione dell'utente. Senza il suo permesso, nessun dato verrà caricato sul cloud.
3. Kingston DataTraveler Vault Privacy 3.0
Ma i dispositivi Kingston Sono inoltre dotati dell'antivirus Drive Security integrato di ESET. Quest'ultimo protegge i dati dall'invasione dell'unità USB da parte di virus, spyware, trojan, worm, rootkit e dalla connessione ai computer di altre persone, si potrebbe dire, non ha paura. L'antivirus avviserà immediatamente il proprietario dell'unità delle potenziali minacce, se rilevate. In questo caso, l'utente non deve installare personalmente il software antivirus e pagare per questa opzione. ESET Drive Security è preinstallato su un'unità flash con una licenza di cinque anni.
Kingston DT Vault Privacy 3.0 è progettato e rivolto principalmente ai professionisti IT. Consente agli amministratori di utilizzarlo come unità autonoma o di aggiungerlo come parte di una soluzione di gestione centralizzata e può anche essere utilizzato per configurare o reimpostare in remoto le password e configurare i criteri del dispositivo. Kingston ha anche aggiunto USB 3.0, che consente di trasferire dati protetti molto più velocemente di USB 2.0.
Nel complesso, DT Vault Privacy 3.0 è un'opzione eccellente per il settore aziendale e le organizzazioni che richiedono la massima protezione dei propri dati. Può anche essere consigliato a tutti gli utenti che utilizzano computer situati su reti pubbliche.
Per ulteriori informazioni sui prodotti Kingston, contattare .
Fonte: habr.com