Салам, Хабр! Биздин бирине комментарийде окурмандар кызыктуу суроо беришти: "TrueCrypt жеткиликтүү болгондо, сизге аппараттык шифрлөө менен флеш-диск эмне үчүн керек?" - жана атүгүл "Кингстон дискинин программалык камсыздоосунда жана аппараттык жабдыктарында кыстармалар жок экенин кантип текшерсе болот?" ?” Биз бул суроолорго кыска жооп бердик, бирок андан кийин тема фундаменталдуу анализге татыктуу деп чечтик. Бул постто биз эмне кылабыз.
AES аппараттык шифрлөө, программалык камсыздоону шифрлөө сыяктуу, көптөн бери бар, бирок ал флеш-дисктердеги купуя маалыматтарды кантип коргойт? Мындай дисктерди ким тастыктайт жана бул сертификаттарга ишенсе болобу? Эгер TrueCrypt же BitLocker сыяктуу бекер программаларды колдоно алсаңыз, мындай "татаал" флеш-дисктердин кимге кереги бар. Көрүнүп тургандай, комментарийлерде берилген тема чындап эле көптөгөн суроолорду жаратат. Келгиле, баарын түшүнүүгө аракет кылалы.
Аппараттык шифрлөө программалык шифрлөөдөн эмнеси менен айырмаланат?
Флэш-дисктерде (ошондой эле HDD жана SSD дисктеринде) аппараттык маалыматтарды шифрлөө үчүн аппараттын схемасында жайгашкан атайын чип колдонулат. Анда шифрлөө ачкычтарын жараткан кокустук сандар генератору бар. Колдонуучу сырсөзүңүздү киргизгениңизде маалыматтар автоматтык түрдө шифрленет жана дароо чечмеленет. Бул сценарийде сырсөзсүз маалыматтарга кирүү дээрлик мүмкүн эмес.
Программалык шифрлөөнү колдонууда дисктеги маалыматтарды “кулпулоо” аппараттык шифрлөө ыкмаларына арзан баада альтернатива катары иш алып барган тышкы программалык камсыздоо менен камсыз кылынат. Мындай программалык камсыздоонун кемчиликтери дайыма өркүндөп келе жаткан хакерлик ыкмаларына каршы туруу үчүн үзгүлтүксүз жаңыртууларды камтышы мүмкүн. Кошумчалай кетсек, компьютер процессинин күчү (өзүнчө аппараттык чиптин ордуна) маалыматтарды чечмелөө үчүн колдонулат жана чындыгында ЖКнын коргоо деңгээли дисктин коргоо деңгээлин аныктайт.
Аппараттык шифрлөө менен дисктердин негизги өзгөчөлүгү өзүнчө криптографиялык процессор болуп саналат, анын болушу компьютердин оперативдүү эсинде же катуу дискинде убактылуу сактала турган программалык ачкычтардан айырмаланып, шифрлөө ачкычтары эч качан USB дискинен чыкпай турганын айтат. Жана программалык камсыздоону шифрлөө кирүү аракеттеринин санын сактоо үчүн компьютердин эс тутумун колдонгондуктан, ал сырсөзгө же ачкычка катаал чабуулдарды токтото албайт. Кирүү аракетинин эсептегичи автоматтык түрдө сырсөздү бузуучу программа керектүү комбинацияны тапканга чейин чабуулчу тарабынан үзгүлтүксүз баштапкы абалга келтирилиши мүмкүн.
Айтмакчы..., макалага комментарийлерде “«Колдонуучулар ошондой эле, мисалы, TrueCrypt программасында портативдик иштөө режими бар экенин белгилешти. Бирок, бул чоң артыкчылык эмес. Чындыгында, бул учурда шифрлөө программасы флеш-дисктин эсинде сакталат жана бул аны чабуулдарга көбүрөөк алсыз кылат.
Жыйынтык: программалык ыкма AES шифрлөөсүндөй коопсуздуктун жогорку деңгээлин камсыз кылбайт. Бул негизги коргонуу болуп саналат. Башка жагынан алганда, маанилүү маалыматтарды программалык шифрлөө дагы деле эч шифрлөөдөн жакшыраак. Жана бул факт криптографиянын бул түрлөрүн так ажыратууга мүмкүндүк берет: флеш-дисктерди аппараттык шифрлөө, тескерисинче, корпоративдик сектор үчүн зарылчылык болуп саналат (мисалы, компаниянын кызматкерлери жумушта чыгарылган дисктерди пайдаланганда); жана программалык камсыздоо колдонуучунун муктаждыктарына көбүрөөк ылайыктуу.
Бирок, Кингстон өзүнүн диск моделдерин (мисалы, IronKey S1000) Basic жана Enterprise версияларына бөлөт. Функционалдык жана коргоо касиеттери боюнча алар бири-бирине дээрлик окшош, бирок корпоративдик версия SafeConsole/IronKey EMS программасын колдонуу менен дискти башкаруу мүмкүнчүлүгүн сунуштайт. Бул программалык камсыздоо менен диск сырсөздү коргоо жана кирүү саясаттарын алыстан колдонуу үчүн булут же жергиликтүү серверлер менен иштейт. Колдонуучуларга жоголгон сырсөздөрдү калыбына келтирүү мүмкүнчүлүгү берилет, ал эми администраторлор колдонулбай калган дисктерди жаңы тапшырмаларга алмаштыра алышат.
AES шифрлөө менен Кингстон флеш дисктери кантип иштейт?
Кингстон бардык коопсуз дисктери үчүн 256-бит AES-XTS аппараттык шифрлөөсүн (кошумча толук узундуктагы ачкычты колдонуу менен) колдонот. Биз жогоруда белгилегендей, флэш-дисктер өздөрүнүн компоненттеринин базасында маалыматтарды шифрлөө жана чечмелөө үчүн өзүнчө чипти камтыйт, ал дайыма активдүү кокустук сандар генераторунун ролун аткарат.
Аппаратты USB портуна биринчи жолу туташтырганыңызда, Инициализация орнотуу устасы аспапка кирүү үчүн башкы сырсөздү коюуну сунуштайт. Дискти активдештиргенден кийин, шифрлөө алгоритмдери автоматтык түрдө колдонуучунун каалоосуна ылайык иштей баштайт.
Ошол эле учурда, колдонуучу үчүн флэш-дискинин иштөө принциби өзгөрүүсүз калат - ал кадимки USB флэш-диск менен иштегендей, файлдарды жүктөп алып, аппараттын эс тутумуна жайгаштыра алат. Бир гана айырмасы, флэш-дискти жаңы компьютерге туташтырганда, маалыматыңызга жетүү үчүн коюлган сырсөздү киргизишиңиз керек болот.
Аппараттык шифрлөө менен флеш дисктер эмне үчүн жана кимге керек?
Купуя маалыматтар бизнестин бир бөлүгү болгон уюмдар үчүн (каржылык, саламаттыкты сактоо же өкмөт болобу) шифрлөө эң ишенимдүү коргоо каражаты болуп саналат. AES аппараттык шифрлөө ар кандай компания тарабынан колдонула турган масштабдуу чечим: жеке адамдардан жана чакан бизнестен ири корпорацияларга, ошондой эле аскердик жана мамлекеттик уюмдарга чейин. Бул маселени бир аз көбүрөөк карап чыгуу үчүн, шифрленген USB дисктерин колдонуу зарыл:
- Компаниянын жашыруун маалыматтарынын коопсуздугун камсыз кылуу
- Кардарлардын маалыматын коргоо үчүн
- Компанияларды пайданы жоготуудан жана кардарлардын лоялдуулугунан коргоо
Белгилей кетчү нерсе, кээ бир коопсуз флеш-дисктерди өндүрүүчүлөр (анын ичинде Kingston) корпорацияларга кардарлардын муктаждыктарын жана максаттарын канааттандыруу үчүн ылайыкташтырылган чечимдерди беришет. Бирок массалык түрдө чыгарылган линиялар (анын ичинде DataTraveler флэш-дисктери) өз милдеттерин мыкты аткарышат жана корпоративдик класстагы коопсуздукту камсыз кылууга жөндөмдүү.
1. Компаниянын жашыруун маалыматтарынын коопсуздугун камсыз кылуу
2017-жылы Лондондун тургуну парктардын биринен USB-дискти таап алган, анда Хитроу аэропортунун коопсуздугуна байланыштуу сырсөз менен корголбогон маалымат, анын ичинде байкоочу камералардын жайгашкан жери жана келген учурда коопсуздук чаралары жөнүндө кеңири маалымат камтылган. жогорку кызмат адамдары. Флэш-дискте ошондой эле аэропорттун тыюу салынган аймактарына кирүү үчүн электрондук билеттер жана коддор боюнча маалыматтар камтылган.
Аналитиктердин айтымында, мындай жагдайлардын себеби компания кызматкерлеринин кибер сабатсыздыгы болуп саналат, алар өздөрүнүн шалаакылыгы менен жашыруун маалыматтарды «ашып» алышат. Аппараттык шифрленген флэш-дисктер бул маселени жарым-жартылай чечет, анткени мындай диск жоголуп кетсе, ошол эле коопсуздук кызматкеринин башкы сырсөзүсүз андагы маалыматтарга кире албай каласыз. Кандай болгон күндө да, бул шифрлөө менен корголгон түзмөктөр жөнүндө сөз болуп жаткан күндө да, кызматкерлер флеш-дисктерди иштетүүгө үйрөтүлүшү керек экендигин жокко чыгарбайт.
2. Кардар маалыматын коргоо
Ар бир уюм үчүн андан да маанилүү милдети компромисске дуушар болбошу керек кардарлардын маалыматтарына кам көрүү болуп саналат. Айтмакчы, дал ушул маалымат көбүнчө ар кандай бизнес секторлору ортосунда өткөрүлүп берилет жана, эреже катары, жашыруун болуп саналат: мисалы, ал каржылык бүтүмдөр, оору тарыхы боюнча маалыматтарды камтышы мүмкүн, ж.б.
3. Киреше жоготуудан жана кардарлардын лоялдуулугунан коргоо
Аппараттык шифрлөө менен USB түзмөктөрүн колдонуу уюмдар үчүн кыйратуучу кесепеттерди алдын алууга жардам берет. Жеке маалыматтарды коргоо мыйзамдарын бузган компаниялар ири суммадагы айыпка тартылышы мүмкүн. Ошондуктан, суроо берүү керек: туура корголбостон маалымат менен бөлүшүү тобокелдигине баруу керекпи?
Финансылык таасирди эске албаганда да, пайда болгон коопсуздук мүчүлүштүктөрүн оңдоого сарпталган убакыттын жана ресурстардын көлөмү чоң болушу мүмкүн. Кошумчалай кетсек, эгерде маалыматтын бузулушу кардарлардын маалыматтарын бузуп кетсе, компания бренддин лоялдуулугуна коркунуч келтирет, айрыкча окшош продуктуларды же кызматты сунуштаган атаандаштар бар рыноктордо.
Аппараттык шифрлөө менен флеш-дисктерди колдонууда өндүрүүчүдөн "кыстармалардын" жоктугуна ким кепилдик берет?
Биз көтөргөн темада бул суроо балким негизги суроолордун бири. Kingston DataTraveler дисктери жөнүндө макалага комментарийлердин арасында биз дагы бир кызыктуу суроого туш болдук: "Сиздин түзмөктөрүңүздө үчүнчү тараптын көз карандысыз адистеринин аудиттери барбы?" Ооба... бул логикалык кызыкчылык: колдонуучулар биздин USB дисктерибизде начар шифрлөө же сырсөз киргизүүнү айланып өтүү мүмкүнчүлүгү сыяктуу жалпы каталар жок экенине ынангысы келет. Ал эми макаланын бул бөлүгүндө биз Kingston дисктери чындап коопсуз флеш-дисктердин статусун алганга чейин кандай сертификация процедураларынан өтөөрү жөнүндө сүйлөшөбүз.
Ишенимдүүлүккө ким кепилдик берет? "Кингстон жасады - бул кепилдик берет" деп айтсак болот окшойт. Бирок, бул учурда, мындай билдирүү туура эмес болуп калат, анткени өндүрүүчү кызыкдар тарап болуп саналат. Ошондуктан, бардык буюмдар көз карандысыз экспертиза менен үчүнчү тарап тарабынан сыналган. Атап айтканда, Кингстондун аппараттык шифрленген дисктери (DTLPG3 кошпогондо) криптографиялык модулду текшерүү программасынын (CMVP) катышуучулары болуп саналат жана Федералдык маалыматты иштетүү стандартына (FIPS) күбөлөндүрүлгөн. Дисктер GLBA, HIPPA, HITECH, PCI жана GTSA стандарттарына ылайык тастыкталган.
1. Криптографиялык модулду текшерүү программасы
CMVP программасы АКШнын Соода министрлигинин Улуттук стандарттар жана технологиялар институту менен Канаданын кибер коопсуздук борборунун биргелешкен долбоору. Долбоордун максаты - далилденген криптографиялык түзүлүштөргө суроо-талапты стимулдаштыруу жана жабдууларды сатып алууда колдонулган федералдык агенттиктерге жана жөнгө салынуучу тармактарга (мисалы, каржы жана саламаттыкты сактоо мекемелери) коопсуздук көрсөткүчтөрүн камсыз кылуу.
Түзмөктөр Улуттук ыктыярдуу лабораторияларды аккредитациялоо программасы (NVLAP) тарабынан аккредиттелген көз карандысыз криптография жана коопсуздук сыноо лабораториялары тарабынан криптографиялык жана коопсуздук талаптарынын жыйындысы менен сыналат. Ошол эле учурда ар бир лабораториялык отчеттун Федералдык маалыматты иштетүү стандартына (FIPS) 140-2 ылайык келүүсү текшерилет жана CMVP тарабынан тастыкталат.
FIPS 140-2ге ылайыктуу деп ырасталган модулдар АКШ жана Канаданын федералдык агенттиктери тарабынан 22-жылдын 2026-сентябрына чейин колдонууга сунушталат. Андан кийин алар архивдик тизмеге киргизилет, бирок алар дагы эле колдонула берет. 22-жылдын 2020-сентябрында FIPS 140-3 стандартына ылайык валидацияга арыздарды кабыл алуу аяктады. Түзмөктөр текшерүүдөн өткөндөн кийин, алар беш жыл бою текшерилген жана ишенимдүү түзмөктөрдүн активдүү тизмесине жылдырылат. Эгерде криптографиялык түзүлүш текшерүүдөн өтпөй калса, аны АКШ менен Канаданын мамлекеттик органдарында колдонуу сунушталбайт.
2. FIPS сертификаты кандай коопсуздук талаптарын коёт?
Сертификатталбаган шифрленген дисктен да маалыматтарды бузуп алуу кыйын жана аз адамдар жасай алат, андыктан сертификаты бар үйдө колдонуу үчүн керектөөчү дискти тандап жатканда, убара болбоңуз. Корпоративдик сектордо абал башкача: коопсуз USB дисктерин тандоодо компаниялар көбүнчө FIPS сертификатынын деңгээлине маани беришет. Бирок, ар бир адам бул денгээлдер эмнени билдирерин так түшүнө бербейт.
Учурдагы FIPS 140-2 стандарты флеш дисктер жооп бере турган төрт түрдүү коопсуздук деңгээлин аныктайт. Биринчи деңгээл коопсуздук өзгөчөлүктөрүнүн орточо топтомун камсыз кылат. Төртүнчү деңгээл түзмөктөрдү өзүн-өзү коргоо үчүн катуу талаптарды билдирет. Экинчи жана үчүнчү деңгээл бул талаптардын градациясын камсыз кылат жана алтын ортонун түрүн түзөт.
- 1-деңгээл коопсуздук: 1-деңгээлдеги тастыкталган USB дисктери жок дегенде бир шифрлөө алгоритмин же башка коопсуздук функциясын талап кылат.
- Коопсуздуктун экинчи деңгээли: бул жерде диск криптографиялык коргоону камсыз кылуу үчүн гана эмес, эгер кимдир бирөө дискти ачууга аракет кылса, микропрограмма деңгээлинде уруксатсыз интрузияларды аныктоо үчүн талап кылынат.
- Коопсуздуктун үчүнчү деңгээли: шифрлөөнүн “ачкычтарын” жок кылуу менен хакерликтин алдын алууну камтыйт. Башкача айтканда, кирүү аракеттерине жооп талап кылынат. Ошондой эле, үчүнчү деңгээл электромагниттик тоскоолдуктардан коргоонун жогорку деңгээлине кепилдик берет: башкача айтканда, зымсыз хакердик түзүлүштөрдү колдонуу менен флэш-дисктен маалыматтарды окуу иштебейт.
- Төртүнчү коопсуздук деңгээли: криптографиялык модулду толук коргоону камтыган эң жогорку деңгээл, ал уруксатсыз колдонуучунун ар кандай уруксатсыз кирүү аракеттерин аныктоонун жана ага каршы аракеттенүүнүн максималдуу ыктымалдыгын камсыз кылат. Төртүнчү деңгээлдеги сертификатка ээ болгон флэш-дисктерде чыңалууну жана чөйрөнүн температурасын өзгөртүү аркылуу хакерликке жол бербеген коргоо параметрлери да камтылган.
Төмөнкү Kingston дисктери FIPS 140-2 2000-деңгээлге тастыкталган: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. Бул дисктердин негизги өзгөчөлүгү интрузия аракетине жооп берүү жөндөмдүүлүгү болуп саналат: эгер сырсөз XNUMX жолу туура эмес киргизилсе, дисктеги маалыматтар жок кылынат.
Кингстон флеш-дисктери шифрлөөдөн башка эмне кыла алат?
Толук маалыматтын коопсуздугуна келгенде, флеш-дисктерди аппараттык шифрлөө, орнотулган антивирустар, тышкы таасирлерден коргоо, жеке булут менен синхрондоштуруу жана биз төмөндө талкуулай турган башка функциялар жардамга келет. Программалык шифрлөө менен флеш-дисктерде чоң айырма жок. Шайтан майда-чүйдөсүнө чейин. Жана бул жерде эмне.
1. Kingston DataTraveler 2000
Мисалы, USB дискти алалы. . Бул аппараттык шифрлөө менен флеш-дисктердин бири, бирок ошол эле учурда корпуста өзүнүн физикалык клавиатурасы бар жалгыз. Бул 11 баскычтуу клавиатура DT2000ди хост тутумдарынан толугу менен көз карандысыз кылат (DataTraveler 2000ди колдонуу үчүн Ачкыч баскычын басып, андан кийин сырсөзүңүздү киргизип, Ачкыч баскычын кайра басыңыз). Кошумчалай кетсек, бул флэш-диск суудан жана чаңдан IP57 коргоо даражасына ээ (таң калыштуусу, Кингстон муну таңгактоодо да, расмий веб-сайттын спецификацияларында да эч жерде билдирбейт).
DataTraveler 2000дин ичинде 40 мАч литий-полимердик батарейка бар жана Кингстон сатып алуучуларга дискти USB портуна туташтырууну сунуштайт, аны колдонуудан мурун, батареянын заряды үчүн. Баса, мурунку материалдардын биринде : Кооптонууга эч кандай негиз жок - флеш-диск заряддагычта иштетилген эмес, анткени система тарабынан контроллерге эч кандай суроо-талаптар жок. Ошондуктан, зымсыз интрузиялар аркылуу эч ким маалыматыңызды уурдабайт.
2. Kingston DataTraveler Locker+ G3
Эгерде биз Кингстон модели жөнүндө айта турган болсок – бул флеш-дисктен Google булут сактагычына, OneDrive, Amazon Cloud же Dropboxка маалыматтардын камдык көчүрмөсүн конфигурациялоо мүмкүнчүлүгү менен көңүл бурат. Бул кызматтар менен маалыматтарды синхрондоштуруу да камсыз кылынат.
Окурмандарыбыздын бизге берген суроолорунун бири: "Бирок камдык көчүрмөдөн шифрленген маалыматтарды кантип алуу керек?" Өтө жөнөкөй. Булут менен синхрондоштурууда маалымат чечмеленет жана булуттагы камдык көчүрмөнү коргоо булуттун өзүнүн мүмкүнчүлүктөрүнөн көз каранды. Ошондуктан, мындай жол-жоболору колдонуучунун каалоосу боюнча гана жүзөгө ашырылат. Анын уруксатысыз булутка эч кандай маалымат жүктөлбөйт.
3. Kingston DataTraveler Vault Privacy 3.0
Бирок Кингстон аппараттары Алар ошондой эле ESETден орнотулган Drive Security антивирусу менен келет. Акыркысы маалыматтарды USB-дискине вирустар, шпиондук программалар, трояндар, курттар, руткиттер жана башка адамдардын компьютерлерине туташуудан коргойт, бул коркпойт деп айтууга болот. Антивирус дароо дисктин ээсине мүмкүн болуучу коркунучтар жөнүндө эскертет, эгерде алар аныкталса. Бул учурда, колдонуучу антивирустук программаны өзү орнотуп, бул опция үчүн төлөшү керек эмес. ESET Drive Security беш жылдык лицензиясы бар флеш-дискке алдын ала орнотулган.
Kingston DT Vault Privacy 3.0 иштелип чыккан жана биринчи кезекте IT адистерине багытталган. Ал администраторлорго аны өз алдынча диск катары колдонууга же борборлоштурулган башкаруу чечиминин бир бөлүгү катары кошууга мүмкүндүк берет, ошондой эле сырсөздөрдү конфигурациялоо же алыстан баштапкы абалга келтирүү жана түзмөк саясаттарын конфигурациялоо үчүн колдонулушу мүмкүн. Кингстон ал тургай USB 3.0ге караганда коопсуз маалыматтарды тезирээк өткөрүүгө мүмкүндүк берген USB 2.0 кошту.
Жалпысынан, DT Vault Privacy 3.0 корпоративдик сектор жана алардын маалыматтарын максималдуу коргоону талап кылган уюмдар үчүн эң сонун вариант. Ошондой эле коомдук тармактарда жайгашкан компьютерлерди колдонгон бардык колдонуучуларга сунуш кылынышы мүмкүн.
Kingston өнүмдөрү жөнүндө көбүрөөк маалымат алуу үчүн, байланыш .
Source: www.habr.com