ハードウェア暗号化機能を備えたフラッシュ ドライブが必要なのはなぜですか?

こんにちは、ハブル！ 私たちの誰かへのコメントで フラッシュドライブに関する資料 読者からは、「TrueCrypt が利用できるのに、ハードウェア暗号化を備えたフラッシュ ドライブが必要なのはなぜですか?」という興味深い質問があり、「キングストン ドライブのソフトウェアとハ​​ードウェアにブックマークがないことをどうやって確認できるのですか?」という懸念も表明しました。 ？」 私たちはこれらの質問に簡潔に答えましたが、その後、このトピックは根本的な分析に値すると判断しました。 これがこの投稿で行うことです。

AES ハードウェア暗号化は、ソフトウェア暗号化と同様に長い間存在していましたが、フラッシュ ドライブ上の機密データはどのように正確に保護されるのでしょうか? 誰がそのようなドライブを認証するのでしょうか?また、これらの認証は信頼できるのでしょうか? TrueCrypt や BitLocker などの無料プログラムを使用できるのであれば、誰がそのような「複雑な」フラッシュ ドライブを必要とするでしょうか。 ご覧のとおり、コメントで質問されたトピックは本当に多くの疑問を引き起こします。 すべてを理解してみましょう。

ハードウェア暗号化はソフトウェア暗号化とどう違うのですか?

フラッシュ ドライブ (HDD や SSD と同様) の場合、デバイスの回路基板にある特別なチップを使用してハードウェア データ暗号化が実装されます。 暗号化キーを生成する乱数ジェネレーターが組み込まれています。 データは自動的に暗号化され、ユーザー パスワードを入力するとすぐに復号化されます。 このシナリオでは、パスワードなしでデータにアクセスすることはほとんど不可能です。

ソフトウェア暗号化を使用する場合、ドライブ上のデータは外部ソフトウェアによって「ロック」され、ハードウェア暗号化方式に代わる低コストの代替手段として機能します。 このようなソフトウェアの欠点としては、絶えず改良され続けるハッキング技術に対抗するために、定期的なアップデートが必要になることが挙げられます。 さらに、データを復号化するために (個別のハードウェア チップではなく) コンピューター プロセスの能力が使用されます。実際、PC の保護レベルがドライブの保護レベルを決定します。

ハードウェア暗号化を備えたドライブの主な機能は、別個の暗号プロセッサです。このプロセッサの存在により、コンピュータの RAM やハード ドライブに一時的に保存できるソフトウェア キーとは異なり、暗号化キーが USB ドライブから決して流出しないことがわかります。 また、ソフトウェア暗号化ではログイン試行回数の保存に PC メモリが使用されるため、パスワードやキーに対するブルート フォース攻撃を阻止することはできません。 ログイン試行カウンタは、自動パスワード解析プログラムが目的の組み合わせを見つけるまで、攻撃者によって継続的にリセットされる可能性があります。

ちなみに…、記事のコメント欄に『Kingston DataTraveler: 新世代の安全なフラッシュ ドライブ「ユーザーは、たとえば、TrueCrypt プログラムにはポータブル動作モードがあることにも注目しました。 ただし、これは大きな利点ではありません。 実際、この場合、暗号化プログラムはフラッシュドライブのメモリに保存されているため、攻撃に対してより脆弱になります。

結論: ソフトウェア アプローチでは、AES 暗号化ほど高いレベルのセキュリティは提供されません。 それはむしろ基本的な防御です。 一方で、重要なデータをソフトウェアで暗号化したほうが、暗号化をまったく行わないよりはまだマシです。 この事実により、これらのタイプの暗号化を明確に区別できるようになります。フラッシュ ドライブのハードウェア暗号化は、むしろ企業部門にとって必須です (たとえば、会社の従業員が職場で発行されたドライブを使用する場合)。 ソフトウェアはユーザーのニーズにより適しています。

ただし、Kingston では、ドライブ モデル (IronKey S1000 など) を Basic バージョンと Enterprise バージョンに分けています。 機能と保護特性の点では、これらはほぼ同じですが、法人向けバージョンでは、SafeConsole/IronKey EMS ソフトウェアを使用してドライブを管理する機能が提供されます。 このソフトウェアを使用すると、ドライブはクラウドまたはローカル サーバーと連携して、パスワード保護とアクセス ポリシーをリモートで適用します。 ユーザーには紛失したパスワードを回復する機会が与えられ、管理者は使用されなくなったドライブを新しいタスクに切り替えることができます。

AES 暗号化を備えた Kingston フラッシュ ドライブはどのように機能しますか?

Kingston は、すべてのセキュア ドライブに 256 ビット AES-XTS ハードウェア暗号化 (オプションの完全長キーを使用) を使用しています。 上で述べたように、フラッシュ ドライブのコンポーネント ベースには、データの暗号化と復号化を行うための別個のチップが含まれており、これは常にアクティブな乱数生成器として機能します。

初めてデバイスを USB ポートに接続すると、初期化セットアップ ウィザードにより、デバイスにアクセスするためのマスター パスワードを設定するように求められます。 ドライブをアクティブ化すると、ユーザーの設定に従って暗号化アルゴリズムが自動的に動作し始めます。

同時に、ユーザーにとって、フラッシュ ドライブの動作原理は変わりません。通常の USB フラッシュ ドライブを使用する場合と同様に、ファイルをダウンロードしてデバイスのメモリに配置することができます。 唯一の違いは、フラッシュ ドライブを新しいコンピュータに接続するときに、情報にアクセスするために設定されたパスワードを入力する必要があることです。

ハードウェア暗号化を備えたフラッシュ ドライブが必要な理由と誰が必要ですか?

機密データがビジネスの一部である組織 (金融、医療、政府を問わず) にとって、暗号化は最も信頼できる保護手段です。 この点に関して、256ビットをサポートするフラッシュドライブ AES ハードウェア暗号化は、個人や中小企業から大企業、さらには軍事や政府機関まで、あらゆる企業が使用できるスケーラブルなソリューションです。 この問題をもう少し詳しく見るには、暗号化された USB ドライブを使用する必要があります。

• 企業機密データのセキュリティを確保するため
• お客様の情報を保護するため
• 企業を利益と顧客ロイヤルティの損失から守るため

セキュア フラッシュ ドライブの一部のメーカー (Kingston を含む) が、顧客のニーズや目的を満たすように設計されたカスタマイズされたソリューションを企業に提供していることは注目に値します。 しかし、量産ライン (DataTraveler フラッシュ ドライブを含む) はそのタスクに完全に対応し、企業クラスのセキュリティを提供できます。

1. 企業機密データのセキュリティの確保

2017年、ロンドン在住者が公園のXNUMXつで、監視カメラの位置やヒースロー空港到着時のセキュリティ対策の詳細情報など、ヒースロー空港のセキュリティに関連するパスワードで保護されていない情報が保存されたUSBドライブを発見した。高級官僚。 フラッシュドライブには、電子パスと空港の制限エリアへのアクセスコードに関するデータも含まれていました。

アナリストらは、このような状況の原因は従業員のサイバー文盲であり、従業員自身の過失によって機密データが「漏洩」する可能性があると述べている。 ハードウェア暗号化を備えたフラッシュ ドライブは、この問題を部分的に解決します。そのようなドライブを紛失した場合、同じセキュリティ担当者のマスター パスワードがなければ、そのドライブ上のデータにアクセスできなくなるからです。 いずれにせよ、たとえ暗号化によって保護されたデバイスについて話しているとしても、従業員がフラッシュドライブを扱うための訓練を受けなければならないという事実を否定するものではありません。

2. お客様情報の保護

あらゆる組織にとってさらに重要なタスクは、侵害のリスクにさらされるべきでない顧客データを管理することです。 ちなみに、異なるビジネス部門間で最も頻繁に転送されるのはこの情報であり、原則として機密情報です。たとえば、金融取引や病歴などに関するデータが含まれる場合があります。

3. 利益と顧客ロイヤルティの損失からの保護

ハードウェア暗号化を備えた USB デバイスを使用すると、組織への壊滅的な影響を防ぐことができます。 個人情報保護法に違反した企業には、多額の罰金が科される可能性があります。 したがって、適切な保護なしで情報を共有するリスクを冒す価値があるのか​​、という質問をする必要があります。

経済的な影響を考慮しなくても、発生したセキュリティ バグの修正に費やされる時間とリソースの量は、同様に膨大になる可能性があります。 さらに、データ侵害により顧客データが侵害された場合、特に同様の製品やサービスを提供する競合他社が存在する市場では、ブランド ロイヤルティが損なわれるリスクがあります。

ハードウェア暗号化を備えたフラッシュドライブを使用する場合、メーカーからの「ブックマーク」がないことを誰が保証しますか?

私たちが提起したトピックの中で、この質問はおそらく主要な質問の XNUMX つです。 Kingston DataTraveler ドライブに関する記事へのコメントの中で、「お使いのデバイスはサードパーティの独立した専門家による監査を受けていますか?」という別の興味深い質問を見つけました。 そうですね...これは論理的な関心事です。ユーザーは、USB ドライブに脆弱な暗号化やパスワード入力をバイパスする機能などの一般的なエラーが含まれていないことを確認したいと考えています。 記事のこの部分では、Kingston ドライブが真に安全なフラッシュ ドライブのステータスを取得する前にどのような認証手順を受けるかについて説明します。

誰が信頼性を保証しますか? 「キングストンはそれを作りました - キングストンがそれを保証します」と言うことができそうです。 しかしこの場合、製造業者は利害関係者であるため、そのような記述は正しくありません。 したがって、すべての製品は独立した専門知識を持つ第三者によってテストされています。 特に、Kingston のハードウェア暗号化ドライブ (DTLPG3 を除く) は、暗号化モジュール検証プログラム (CMVP) に参加しており、連邦情報処理規格 (FIPS) の認定を受けています。 ドライブは、GLBA、HIPPA、HITECH、PCI、および GTSA 規格に従って認定されています。

1. 暗号モジュール検証プログラム

CMVP プログラムは、米国商務省国立標準技術研究所とカナダ サイバー セキュリティ センターの共同プロジェクトです。 このプロジェクトの目標は、実証済みの暗号デバイスの需要を刺激し、連邦政府機関や規制対象業界 (金融機関や医療機関など) に機器の調達に使用されるセキュリティ指標を提供することです。

デバイスは、National Voluntary Laboratory Accreditation Program (NVLAP) によって認定された独立した暗号化およびセキュリティ テスト研究所によって、一連の暗号化およびセキュリティ要件に照らしてテストされます。 同時に、各検査室レポートは連邦情報処理標準 (FIPS) 140-2 に準拠しているかどうかチェックされ、CMVP によって確認されます。

FIPS 140-2 準拠として検証されたモジュールは、22 年 2026 月 22 日まで米国およびカナダの連邦政府機関によって使用が推奨されます。 この後、それらはアーカイブ リストに含まれますが、引き続き使用できます。 2020 年 140 月 3 日、FIPS XNUMX-XNUMX 規格に基づく検証申請の受付は終了しました。 デバイスがチェックに合格すると、テスト済みで信頼できるデバイスのアクティブ リストに XNUMX 年間移動されます。 暗号化デバイスが検証に合格しない場合、米国およびカナダの政府機関での使用は推奨されません。

2. FIPS 認定にはどのようなセキュリティ要件が課されますか?

認証されていない暗号化されたドライブからでもデータをハッキングするのは難しく、それができる人はほとんどいません。そのため、家庭用に認証済みの消費者向けドライブを選択する場合は、手間をかける必要はありません。 企業部門では状況が異なります。安全な USB ドライブを選択する際、企業は FIPS 認定レベルを重視することがよくあります。 ただし、誰もがこれらのレベルが何を意味するのかを明確に理解しているわけではありません。

現在の FIPS 140-2 標準では、フラッシュ ドライブが満たせる XNUMX つの異なるセキュリティ レベルが定義されています。 最初のレベルでは、中程度のセキュリティ機能のセットが提供されます。 XNUMX 番目のレベルは、デバイスの自己保護に対する厳格な要件を意味します。 レベル XNUMX と XNUMX は、これらの要件を段階的に提供し、一種の黄金の中庸を形成します。

1. レベル XNUMX のセキュリティ: レベル XNUMX 認定の USB ドライブには、少なくとも XNUMX つの暗号化アルゴリズムまたはその他のセキュリティ機能が必要です。
2. XNUMX 番目のレベルのセキュリティ: ここでは、ドライブは暗号化保護を提供するだけでなく、誰かがドライブを開こうとした場合にファームウェア レベルで不正な侵入を検出する必要があります。
3. セキュリティの XNUMX 番目のレベル: 暗号化「キー」を破壊することによるハッキングの防止が含まれます。 つまり、侵入の試みに対する応答が必要です。 また、第 XNUMX レベルでは、電磁干渉に対するより高いレベルの保護が保証されます。つまり、ワイヤレス ハッキング デバイスを使用したフラッシュ ドライブからのデータの読み取りは機能しません。
4. XNUMX 番目のセキュリティ レベル: 最高レベル。暗号モジュールの完全な保護が含まれ、無許可ユーザーによる無許可アクセスの試みに対する検出と対抗の可能性を最大限に高めます。 第 XNUMX レベルの証明書を取得したフラッシュ ドライブには、電圧や周囲温度の変更によるハッキングを許可しない保護オプションも含まれています。

次の Kingston ドライブは FIPS 140-2 レベル 2000 に認定されています: DataTraveler DT4000、DataTraveler DT2G1000、IronKey S300、IronKey D10。 これらのドライブの主な機能は、侵入の試みに応答する機能です。パスワードを XNUMX 回間違えて入力すると、ドライブ上のデータが破壊されます。

Kingston フラッシュ ドライブは暗号化以外に何ができますか?

完全なデータ セキュリティに関しては、フラッシュ ドライブのハードウェア暗号化、内蔵ウイルス対策、外部の影響からの保護、パーソナル クラウドとの同期、および以下で説明するその他の機能と併せて役立ちます。 ソフトウェア暗号化を備えたフラッシュドライブには大きな違いはありません。 悪魔は細部に宿る。 そして、これが何です。

1. キングストン データトラベラー 2000

USB ドライブを例に考えてみましょう。 キングストンデータトラベラー2000。 これはハードウェア暗号化を備えたフラッシュ ドライブの 11 つですが、同時にケース上に独自の物理キーボードを備えた唯一のフラッシュ ドライブです。 この 2000 ボタンのキーパッドにより、DT2000 はホスト システムから完全に独立します (DataTraveler 57 を使用するには、[Key] ボタンを押してからパスワードを入力し、もう一度 [Key] ボタンを押す必要があります)。 さらに、このフラッシュドライブは水と塵に対する IPXNUMX 等級の保護を備えています (驚くべきことに、Kingston はパッケージにも公式 Web サイトの仕様にもこれを記載していません)。

DataTraveler 2000 には 40mAh のリチウムポリマー電池が内蔵されており、Kingston は購入者に対し、使用前に少なくとも XNUMX 時間ドライブを USB ポートに接続して電池を充電するようアドバイスしています。 ちなみに、以前の資料では パワーバンクから充電されたフラッシュドライブはどうなるかを説明しました: 心配する必要はありません。システムからコントローラーへの要求がないため、フラッシュ ドライブは充電器でアクティブ化されません。 したがって、誰もワイヤレス侵入を通じてデータを盗むことはありません。

2. キングストン データトラベラー ロッカー+ G3

キングストンモデルについて言えば、 データトラベラー ロッカー+ G3 – フラッシュドライブからGoogleクラウドストレージ、OneDrive、Amazon Cloud、またはDropboxへのデータバックアップを設定できる機能で注目を集めています。 これらのサービスとのデータ同期も提供されます。

読者から寄せられる質問の XNUMX つは、「バックアップから暗号化されたデータを取り出すにはどうすればよいですか?」というものです。 とてもシンプルです。 実際のところ、クラウドと同期するときに情報は復号化され、クラウド上のバックアップの保護はクラウド自体の機能に依存します。 したがって、そのような手続きはユーザーの判断によってのみ行われます。 彼の許可がなければ、データはクラウドにアップロードされません。

3. Kingston DataTraveler Vault プライバシー 3.0

しかしキングストンのデバイスは DataTraveler Vault プライバシー 3.0 ESET の Drive Security ウイルス対策機能も組み込まれています。 後者は、ウイルス、スパイウェア、トロイの木馬、ワーム、ルートキットによる USB ドライブの侵入、および他人のコンピュータへの接続からデータを保護します。「恐れることはありません」と言う人もいるかもしれません。 ウイルス対策プログラムは、潜在的な脅威が検出された場合、ドライブの所有者に即座に警告します。 この場合、ユーザーは自分でウイルス対策ソフトウェアをインストールしたり、このオプションの料金を支払う必要はありません。 ESET Drive Securityは、XNUMX年間のライセンスが付いたフラッシュドライブにプレインストールされています。

Kingston DT Vault Privacy 3.0 は、主に IT プロフェッショナルを対象として設計されています。 これにより、管理者はスタンドアロン ドライブとして使用したり、集中管理ソリューションの一部として追加したりできます。また、パスワードの構成やリモート リセット、デバイス ポリシーの構成にも使用できます。 Kingston は、USB 3.0 よりもはるかに高速に安全なデータを転送できる USB 2.0 も追加しました。

全体として、DT Vault Privacy 3.0 は、データを最大限に保護する必要がある企業部門や組織にとって優れたオプションです。 公共ネットワーク上にあるコンピュータを使用するすべてのユーザーにも推奨できます。

キングストン製品の詳細については、お問い合わせください。 会社の公式ウェブサイト.

出所： habr.com