Сәлем, Хабр! Біздің бірімізге түсініктемелерде оқырмандар қызықты сұрақ қойды: «TrueCrypt қол жетімді болған кезде сізге аппараттық шифрлауы бар флэш-диск не үшін қажет?» - тіпті «Кингстон дискісінің бағдарламалық жасақтамасы мен аппараттық құралында бетбелгілердің жоқтығына қалай көз жеткізуге болады» деген кейбір алаңдаушылықтарын білдірді. ?» Біз бұл сұрақтарға қысқаша жауап бердік, бірақ кейін тақырып іргелі талдауға лайық деп шештік. Бұл мақалада біз не істейтін боламыз.
Бағдарламалық құралды шифрлау сияқты AES аппараттық шифрлауы бұрыннан бар, бірақ ол флэш-дискілердегі құпия деректерді қалай дәл қорғайды? Мұндай дискілерді кім сертификаттайды және бұл сертификаттарға сенуге болады ма? TrueCrypt немесе BitLocker сияқты тегін бағдарламаларды пайдалана алсаңыз, мұндай «күрделі» флэш-дискілер кімге керек. Көріп отырғаныңыздай, түсініктемелерде сұралған тақырып шынымен де көптеген сұрақтар тудырады. Барлығын анықтауға тырысайық.
Аппараттық шифрлаудың бағдарламалық шифрлаудан қандай айырмашылығы бар?
Флэш-дискілерде (сонымен қатар HDD және SSD дискілері) аппараттық деректерді шифрлауды жүзеге асыру үшін құрылғының схемалық тақтасында орналасқан арнайы чип қолданылады. Оның шифрлау кілттерін жасайтын кірістірілген кездейсоқ сандар генераторы бар. Пайдаланушы құпия сөзін енгізген кезде деректер автоматты түрде шифрланады және бірден шифры шешіледі. Бұл сценарийде құпия сөзсіз деректерге қол жеткізу мүмкін емес.
Бағдарламалық құралды шифрлауды пайдаланған кезде дискідегі деректерді «құлыптау» аппараттық шифрлау әдістеріне арзан балама ретінде әрекет ететін сыртқы бағдарламалық құралмен қамтамасыз етіледі. Мұндай бағдарламалық жасақтаманың кемшіліктері үнемі жетілдірілген бұзу әдістеріне қарсы тұру үшін тұрақты жаңартуларға қойылатын талапты қамтуы мүмкін. Сонымен қатар, компьютер процесінің қуаты (жеке аппараттық микросхеманың орнына) деректер шифрын шешу үшін пайдаланылады және, шын мәнінде, ДК қорғау деңгейі дискінің қорғаныс деңгейін анықтайды.
Аппараттық шифрлауы бар дискілердің негізгі ерекшелігі жеке криптографиялық процессор болып табылады, оның болуы компьютердің жедел жадында немесе қатты дискісінде уақытша сақтауға болатын бағдарламалық кілттерден айырмашылығы, шифрлау кілттері ешқашан USB дискісінен шықпайтынын көрсетеді. Бағдарламалық жасақтаманы шифрлау жүйеге кіру әрекеттерінің санын сақтау үшін ДК жадын пайдаланатындықтан, ол құпия сөзге немесе кілтке дөрекі күш шабуылдарын тоқтата алмайды. Құпия сөзді автоматты түрде бұзу бағдарламасы қажетті комбинацияны тапқанша, кіру әрекетінің есептегішін шабуылдаушы үздіксіз қалпына келтіре алады.
Айтпақшы..., мақалаға түсініктемелерде ««Пайдаланушылар сонымен қатар, мысалы, TrueCrypt бағдарламасында портативті жұмыс режимі бар екенін атап өтті. Дегенмен, бұл үлкен артықшылық емес. Өйткені, бұл жағдайда шифрлау бағдарламасы флэш-дискінің жадында сақталады және бұл оны шабуылдарға осал етеді.
Қорытынды: бағдарламалық тәсіл AES шифрлауы сияқты қауіпсіздіктің жоғары деңгейін қамтамасыз етпейді. Бұл негізгі қорғаныс. Екінші жағынан, маңызды деректерді бағдарламалық шифрлау мүлде шифрламаудан гөрі жақсырақ. Және бұл факт криптографияның осы түрлерін нақты ажыратуға мүмкіндік береді: флэш-дискілерді аппараттық шифрлау, керісінше, корпоративтік сектор үшін (мысалы, компания қызметкерлері жұмыста шығарылған дискілерді пайдаланған кезде) қажеттілік болып табылады; және бағдарламалық жасақтама пайдаланушы қажеттіліктеріне көбірек сәйкес келеді.
Дегенмен, Кингстон өзінің диск үлгілерін (мысалы, IronKey S1000) Basic және Enterprise нұсқаларына бөледі. Функционалдық және қорғаныс қасиеттері бойынша олар бір-бірімен дерлік бірдей, бірақ корпоративтік нұсқа дискіні SafeConsole/IronKey EMS бағдарламалық құралы арқылы басқару мүмкіндігін ұсынады. Бұл бағдарламалық құралдың көмегімен диск құпия сөзді қорғауды және кіру саясаттарын қашықтан қолдану үшін бұлттық немесе жергілікті серверлермен жұмыс істейді. Пайдаланушыларға жоғалған құпия сөздерді қалпына келтіру мүмкіндігі беріледі, ал әкімшілер енді пайдаланылмайтын дискілерді жаңа тапсырмаларға ауыстыра алады.
AES шифрлауы бар Kingston флэш-дискілері қалай жұмыс істейді?
Kingston өзінің барлық қауіпсіз дискілері үшін 256 биттік AES-XTS аппараттық шифрлауын (қосымша толық ұзындықтағы кілтті пайдалану) пайдаланады. Жоғарыда атап өткеніміздей, флэш-дискілер өздерінің құрамдас базасында тұрақты белсенді кездейсоқ сандар генераторы ретінде әрекет ететін деректерді шифрлауға және шифрын шешуге арналған жеке чипті қамтиды.
Құрылғыны USB портына бірінші рет қосқанда, инициализацияны орнату шебері құрылғыға кіру үшін басты құпия сөзді орнатуды ұсынады. Дискіні іске қосқаннан кейін шифрлау алгоритмдері пайдаланушы қалауларына сәйкес автоматты түрде жұмыс істей бастайды.
Сонымен қатар, пайдаланушы үшін флэш-дискінің жұмыс принципі өзгеріссіз қалады - ол әдеттегі USB флэш-дискісімен жұмыс істегендегідей файлдарды жүктеп алып, құрылғының жадына орналастыра алады. Жалғыз айырмашылығы, флэш-дискіні жаңа компьютерге қосқанда, ақпаратқа қол жеткізу үшін орнатылған құпия сөзді енгізу қажет болады.
Аппараттық шифрлауы бар флэш-дискілер не үшін және кімге қажет?
Құпия деректер бизнестің бөлігі болып табылатын ұйымдар үшін (қаржылық, денсаулық сақтау немесе үкімет) шифрлау қорғаудың ең сенімді құралы болып табылады. AES аппараттық шифрлауы кез келген компания қолдана алатын ауқымды шешім болып табылады: жеке тұлғалар мен шағын бизнестен ірі корпорацияларға, сондай-ақ әскери және мемлекеттік ұйымдарға дейін. Бұл мәселені нақтырақ қарастыру үшін шифрланған USB дискілерін пайдалану қажет:
- Компанияның құпия деректерінің қауіпсіздігін қамтамасыз ету
- Тұтынушы туралы ақпаратты қорғау үшін
- Компанияларды пайданы жоғалтудан және тұтынушылардың адалдығынан қорғау
Кейбір қауіпсіз флэш-дискілерді өндірушілер (соның ішінде Kingston) корпорацияларға тұтынушылардың қажеттіліктері мен мақсаттарын қанағаттандыруға арналған теңшелген шешімдермен қамтамасыз ететінін атап өткен жөн. Бірақ жаппай шығарылатын желілер (соның ішінде DataTraveler флэш-дискілері) өз міндеттерін тамаша орындайды және корпоративтік деңгейдегі қауіпсіздікті қамтамасыз ете алады.
1. Компанияның құпия деректерінің қауіпсіздігін қамтамасыз ету
2017 жылы Лондон тұрғыны саябақтардың бірінен Хитроу әуежайының қауіпсіздігіне қатысты құпия сөзбен қорғалмаған ақпаратты, оның ішінде бақылау камераларының орналасқан жерін және келген жағдайда қауіпсіздік шаралары туралы толық ақпаратты қамтитын USB дискісін тапты. жоғары лауазымды тұлғалар. Сондай-ақ флэш-дискіде әуежайдың шектеулі аймақтарына электронды рұқсаттар мен кіру кодтары туралы деректер болған.
Сарапшылардың пікірінше, мұндай жағдайлардың себебі компания қызметкерлерінің киберсауатсыздығы, олар өздерінің немқұрайлылығы арқылы құпия деректерді «ағып жіберуі» мүмкін. Аппараттық шифрлауы бар флэш-дискілер бұл мәселені ішінара шешеді, өйткені мұндай диск жоғалса, сіз сол қауіпсіздік қызметкерінің басты құпия сөзінсіз ондағы деректерге қол жеткізе алмайсыз. Қалай болғанда да, бұл шифрлаумен қорғалған құрылғылар туралы айтатын болсақ та, қызметкерлерді флэш-дискілерді өңдеуге үйрету керек екенін жоққа шығармайды.
2. Тұтынушы туралы ақпаратты қорғау
Кез келген ұйым үшін одан да маңызды міндет - ымыраға келу қаупіне ұшырамауы керек тұтынушы деректеріне қамқорлық жасау. Айтпақшы, дәл осы ақпарат әртүрлі бизнес секторлары арасында жиі беріледі және әдетте құпия болып табылады: мысалы, онда қаржылық операциялар, ауру тарихы және т.б. туралы мәліметтер болуы мүмкін.
3. Пайда жоғалтудан және тұтынушылардың адалдығынан қорғау
Аппараттық шифрлауы бар USB құрылғыларын пайдалану ұйымдар үшін ауыр зардаптардың алдын алуға көмектеседі. Жеке деректерді қорғау туралы заңдарды бұзған компанияларға үлкен көлемде айыппұл салынуы мүмкін. Сондықтан сұрақ қойылуы керек: тиісті қорғаныссыз ақпаратты бөлісу қаупі бар ма?
Қаржылық әсерді есепке алмағанның өзінде, орын алған қауіпсіздік қателерін түзетуге жұмсалған уақыт пен ресурстардың көлемі де маңызды болуы мүмкін. Оған қоса, егер деректердің бұзылуы тұтынушы деректеріне қауіп төндірсе, компания, әсіресе ұқсас өнімді немесе қызметті ұсынатын бәсекелестер бар нарықтарда, брендтің адалдығына қауіп төндіреді.
Аппараттық шифрлауы бар флэш-дискілерді пайдаланған кезде өндірушіден «бетбелгілердің» болмауына кім кепілдік береді?
Біз көтерген тақырыпта бұл мәселе басты мәселелердің бірі шығар. Kingston DataTraveler дискілері туралы мақалаға түсініктемелердің арасында біз тағы бір қызықты сұраққа тап болдық: «Сіздің құрылғыларыңызда үшінші тарап тәуелсіз мамандарының аудиті бар ма?» Бұл қисынды қызығушылық: пайдаланушылар USB дискілерінде әлсіз шифрлау немесе құпия сөзді енгізуді айналып өту мүмкіндігі сияқты жалпы қателер жоқ екеніне көз жеткізгісі келеді. Мақаланың осы бөлігінде біз Кингстон дискілері шынымен қауіпсіз флэш-дискілер мәртебесін алғанға дейін қандай сертификаттау процедураларынан өтетіні туралы сөйлесетін боламыз.
Сенімділікке кім кепілдік береді? Біз: «Кингстон жасады - бұл кепілдік береді» деп айтуға болатын сияқты. Бірақ бұл жағдайда мұндай мәлімдеме дұрыс емес болады, өйткені өндіруші мүдделі тарап болып табылады. Сондықтан барлық өнімдерді тәуелсіз сараптамасы бар үшінші тарап тексереді. Атап айтқанда, Kingston аппараттық шифрланған дискілері (DTLPG3 қоспағанда) криптографиялық модульді тексеру бағдарламасының (CMVP) қатысушылары болып табылады және Федералды ақпаратты өңдеу стандартымен (FIPS) сертификатталған. Дискілер сонымен қатар GLBA, HIPPA, HITECH, PCI және GTSA стандарттарына сәйкес сертификатталған.
1. Криптографиялық модульді тексеру бағдарламасы
CMVP бағдарламасы АҚШ Сауда министрлігінің Ұлттық стандарттар мен технологиялар институты мен канадалық киберқауіпсіздік орталығының бірлескен жобасы болып табылады. Жобаның мақсаты дәлелденген криптографиялық құрылғыларға сұранысты ынталандыру және жабдықты сатып алуда қолданылатын федералды агенттіктер мен реттелетін салаларға (қаржы және денсаулық сақтау мекемелері сияқты) қауіпсіздік көрсеткіштерін қамтамасыз ету болып табылады.
Құрылғылар Ұлттық ерікті зертханаларды аккредиттеу бағдарламасымен (NVLAP) аккредиттелген тәуелсіз криптография және қауіпсіздік сынақ зертханалары арқылы криптографиялық және қауіпсіздік талаптарының жиынтығына сәйкес сыналады. Сонымен бірге, әрбір зертханалық есеп Федералдық ақпаратты өңдеу стандартына (FIPS) 140-2 сәйкестігі тексеріледі және CMVP арқылы расталады.
FIPS 140-2 сәйкестігі расталған модульдерді АҚШ пен Канаданың федералды агенттіктері 22 жылдың 2026 қыркүйегіне дейін пайдалану үшін ұсынылады. Осыдан кейін олар мұрағат тізіміне енгізіледі, бірақ олар әлі де қолданыла алады. 22 жылдың 2020 қыркүйегінде FIPS 140-3 стандартына сәйкес валидацияға өтінімдерді қабылдау аяқталды. Құрылғылар тексерулерден өткеннен кейін олар бес жыл бойы тексерілген және сенімді құрылғылардың белсенді тізіміне ауыстырылады. Егер криптографиялық құрылғы тексеруден өтпесе, оны АҚШ пен Канаданың мемлекеттік мекемелерінде пайдалану ұсынылмайды.
2. FIPS сертификаты қандай қауіпсіздік талаптарын қояды?
Деректерді тіпті сертификатталмаған шифрланған дискіден бұзу қиын және аз адамдар жасай алады, сондықтан сертификаты бар үйде пайдалануға арналған тұтынушы дискісін таңдағанда, сізді алаңдатудың қажеті жоқ. Корпоративтік секторда жағдай басқаша: қауіпсіз USB дискілерін таңдағанда, компаниялар FIPS сертификаттау деңгейлеріне жиі мән береді. Дегенмен, бұл деңгейлердің нені білдіретіні туралы нақты түсінік жоқ.
Ағымдағы FIPS 140-2 стандарты флэш-дискілер қанағаттандыра алатын төрт түрлі қауіпсіздік деңгейін анықтайды. Бірінші деңгей қауіпсіздік мүмкіндіктерінің қалыпты жиынтығын қамтамасыз етеді. Төртінші деңгей құрылғылардың өзін-өзі қорғауына қатаң талаптарды білдіреді. Екінші және үшінші деңгейлер осы талаптардың градациясын береді және алтын орта түрін құрайды.
- XNUMX-деңгей қауіпсіздік: XNUMX-деңгейдің сертификатталған USB дискілері кемінде бір шифрлау алгоритмін немесе басқа қауіпсіздік мүмкіндігін қажет етеді.
- Қауіпсіздіктің екінші деңгейі: мұнда диск тек криптографиялық қорғауды қамтамасыз ету үшін ғана емес, сонымен қатар егер біреу дискіні ашуға әрекеттенсе, микробағдарлама деңгейінде рұқсат етілмеген енулерді анықтау үшін қажет.
- Қауіпсіздіктің үшінші деңгейі: шифрлау «кілттерін» жою арқылы бұзудың алдын алуды қамтиды. Яғни, ену әрекеттеріне жауап беру қажет. Сондай-ақ, үшінші деңгей электромагниттік кедергілерден қорғаудың жоғары деңгейіне кепілдік береді: яғни сымсыз бұзу құрылғыларын пайдаланып флэш-дискіден деректерді оқу жұмыс істемейді.
- Төртінші қауіпсіздік деңгейі: рұқсат етілмеген пайдаланушының кез келген рұқсат етілмеген қол жеткізу әрекеттерін анықтаудың және оған қарсы әрекет етудің максималды ықтималдығын қамтамасыз ететін криптографиялық модульді толық қорғауды қамтитын ең жоғары деңгей. Төртінші деңгей сертификатын алған флэш-дискілерде кернеу мен қоршаған орта температурасын өзгерту арқылы бұзуға жол бермейтін қорғаныс опциялары да бар.
Келесі Kingston дискілері FIPS 140-2 2000-деңгейі бойынша сертификатталған: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. Бұл дискілердің басты ерекшелігі - олардың кіру әрекетіне жауап беру қабілеті: егер құпия сөз XNUMX рет қате енгізілсе, дискідегі деректер жойылады.
Kingston флэш-дискілері шифрлаудан басқа не істей алады?
Флэш-дискілерді аппараттық шифрлаумен, кірістірілген антивирустармен, сыртқы әсерлерден қорғаумен, жеке бұлттармен синхрондаумен және төменде талқылайтын басқа мүмкіндіктермен бірге деректердің толық қауіпсіздігі туралы айтатын болсақ, көмекке келеді. Бағдарламалық жасақтаманы шифрлауы бар флэш-дискілерде үлкен айырмашылық жоқ. Шайтан егжей-тегжейде. Міне, не.
1. Kingston DataTraveler 2000
Мысалы, USB дискісін алайық. . Бұл аппараттық шифрлауы бар флэш-дискілердің бірі, бірақ сонымен бірге корпуста өзінің физикалық пернетақтасы бар жалғыз. Бұл 11 түймелі пернетақта DT2000 құрылғысын хост жүйелерінен толығымен тәуелсіз етеді (DataTraveler 2000 пайдалану үшін Key түймешігін басып, құпия сөзді енгізіп, Кілт түймесін қайта басу керек). Сонымен қатар, бұл флэш-диск су мен шаңнан қорғаудың IP57 дәрежесіне ие (бір таңқаларлығы, Кингстон мұны қаптамада да, ресми веб-сайттағы техникалық сипаттамаларда да көрсетпейді).
DataTraveler 2000 ішінде 40 мАч литий полимерлі аккумулятор бар және Кингстон сатып алушыларға батареяны зарядтауға мүмкіндік беру үшін оны пайдаланбас бұрын дискіні USB портына кемінде бір сағат қосуға кеңес береді. Айтпақшы, алдыңғы материалдардың бірінде : Уайымдауға негіз жоқ - флэш-диск зарядтағышта қосылмаған, себебі жүйеден контроллерге сұраулар жоқ. Сондықтан, сымсыз кіру арқылы деректеріңізді ешкім ұрламайды.
2. Kingston DataTraveler Locker+ G3
Кингстон моделі туралы айтатын болсақ – ол флэш-дискіден Google бұлттық қоймасына, OneDrive, Amazon Cloud немесе Dropbox-қа деректердің сақтық көшірмесін конфигурациялау мүмкіндігімен назар аударады. Бұл қызметтермен деректерді синхрондау да қамтамасыз етілген.
Оқырмандарымыз бізге қоятын сұрақтардың бірі: «Бірақ сақтық көшірмеден шифрланған деректерді қалай алуға болады?» Өте оңай. Бұлтпен синхрондау кезінде ақпарат шифрланады және бұлттағы сақтық көшірмені қорғау бұлттың мүмкіндіктеріне байланысты. Сондықтан мұндай процедуралар тек пайдаланушының қалауы бойынша орындалады. Оның рұқсатынсыз бұлтқа ешқандай деректер жүктелмейді.
3. Kingston DataTraveler Vault құпиялылығы 3.0
Бірақ Кингстон құрылғылары Олар сонымен қатар ESET ұсынған Drive Security антивирусымен бірге жеткізіледі. Соңғысы деректерді USB дискісіне вирустардың, шпиондық бағдарламалардың, трояндардың, құрттардың, руткиттердің енуінен және басқа адамдардың компьютерлеріне қосылудан қорғайды, бұл қорықпайды деуге болады. Антивирус дискінің иесіне, егер анықталған болса, ықтимал қауіптер туралы дереу ескертеді. Бұл жағдайда пайдаланушыға антивирустық бағдарламалық жасақтаманы өзі орнату және бұл опцияны төлеу қажет емес. ESET Drive Security бағдарламасы бес жылдық лицензиясы бар флэш-дискке алдын ала орнатылған.
Kingston DT Vault Privacy 3.0 ең алдымен АТ мамандарына арналған және бағытталған. Ол әкімшілерге оны дербес диск ретінде пайдалануға немесе орталықтандырылған басқару шешімінің бөлігі ретінде қосуға мүмкіндік береді, сонымен қатар құпия сөздерді конфигурациялау немесе қашықтан қалпына келтіру және құрылғы саясаттарын конфигурациялау үшін пайдаланылуы мүмкін. Кингстон тіпті USB 3.0 қосты, ол қауіпсіз деректерді USB 2.0-ге қарағанда әлдеқайда жылдам тасымалдауға мүмкіндік береді.
Жалпы, DT Vault Privacy 3.0 корпоративтік сектор мен олардың деректерін барынша қорғауды қажет ететін ұйымдар үшін тамаша нұсқа болып табылады. Оны жалпыға ортақ желілерде орналасқан компьютерлерді пайдаланатын барлық пайдаланушыларға да ұсынуға болады.
Kingston өнімдері туралы қосымша ақпарат алу үшін хабарласыңыз .
Ақпарат көзі: www.habr.com