Sveiki, Habr! Komentaruose vienam iš mūsų skaitytojai uždavė įdomų klausimą: „Kodėl jums reikia „flash drive“ su aparatinės įrangos šifravimu, kai yra „TrueCrypt“?“ - ir netgi išreiškė susirūpinimą dėl „Kaip galite įsitikinti, kad Kingston disko programinėje ir aparatinėje įrangoje nėra žymių ?” Į šiuos klausimus atsakėme glaustai, bet tada nusprendėme, kad tema nusipelno esminės analizės. Tai mes darysime šiame įraše.
AES aparatinės įrangos šifravimas, kaip ir programinės įrangos šifravimas, buvo naudojamas ilgą laiką, tačiau kaip tiksliai jis apsaugo slaptus duomenis „flash drives“? Kas sertifikuoja tokius diskus ir ar galima šiais sertifikatais pasitikėti? Kam reikalingi tokie "sudėtingi" "flash drives", jei galite naudoti nemokamas programas, tokias kaip "TrueCrypt" ar "BitLocker". Kaip matote, komentaruose užduota tema tikrai kelia daug klausimų. Pabandykime viską išsiaiškinti.
Kuo skiriasi aparatinės įrangos šifravimas nuo programinės įrangos?
„Flash“ diskų (taip pat HDD ir SSD) atveju aparatinės įrangos duomenų šifravimui naudojamas specialus lustas, esantis įrenginio plokštėje. Jame yra įmontuotas atsitiktinių skaičių generatorius, kuris generuoja šifravimo raktus. Duomenys automatiškai užšifruojami ir iškart iššifruojami, kai įvedate vartotojo slaptažodį. Šiuo atveju beveik neįmanoma pasiekti duomenų be slaptažodžio.
Naudojant programinės įrangos šifravimą, diske esančių duomenų „užrakinimą“ užtikrina išorinė programinė įranga, kuri veikia kaip pigi alternatyva aparatūros šifravimo metodams. Tokios programinės įrangos trūkumai gali apimti banalų reikalavimą reguliariai atnaujinti, kad būtų užtikrintas atsparumas vis tobulėjančioms įsilaužimo technikoms. Be to, duomenims iššifruoti naudojama kompiuterio proceso (o ne atskiros aparatinės įrangos lusto) galia, o iš tikrųjų kompiuterio apsaugos lygis lemia disko apsaugos lygį.
Pagrindinė diskų su aparatūros šifravimu savybė yra atskiras kriptografinis procesorius, kurio buvimas rodo, kad šifravimo raktai niekada nepalieka USB atmintinės, kitaip nei programinės įrangos raktai, kuriuos galima laikinai saugoti kompiuterio RAM arba standžiajame diske. Kadangi programinės įrangos šifravimas naudoja kompiuterio atmintį prisijungimo bandymų skaičiui išsaugoti, jis negali sustabdyti žiaurios jėgos atakų prieš slaptažodį arba raktą. Užpuolikas gali nuolat iš naujo nustatyti prisijungimo bandymų skaitiklį, kol automatinio slaptažodžio nulaužimo programa suras norimą derinį.
Beje..., straipsnio komentaruose “„Vartotojai taip pat pažymėjo, kad, pavyzdžiui, „TrueCrypt“ programa turi nešiojamą veikimo režimą. Tačiau tai nėra didelis privalumas. Faktas yra tas, kad šiuo atveju šifravimo programa yra saugoma „flash drive“ atmintyje, todėl ji tampa labiau pažeidžiama atakoms.
Apatinė eilutė: programinės įrangos metodas neužtikrina tokio aukšto saugumo lygio kaip AES šifravimas. Tai labiau pagrindinė gynyba. Kita vertus, svarbių duomenų programinė įranga vis tiek yra geriau nei nešifruoti. Ir šis faktas leidžia aiškiai atskirti šiuos kriptografijos tipus: „flash drives“ aparatinis šifravimas yra būtinybė, veikiau įmonių sektoriui (pavyzdžiui, kai įmonės darbuotojai naudoja darbe išduotus diskus); o programinė įranga labiau tinka vartotojų poreikiams.
Tačiau „Kingston“ savo pavarų modelius (pavyzdžiui, „IronKey S1000“) skirsto į „Basic“ ir „Enterprise“ versijas. Kalbant apie funkcionalumą ir apsaugos savybes, jie yra beveik identiški vienas kitam, tačiau įmonės versija siūlo galimybę valdyti diską naudojant SafeConsole / IronKey EMS programinę įrangą. Naudojant šią programinę įrangą, diskas veikia su debesies arba vietiniais serveriais, kad nuotoliniu būdu užtikrintų apsaugą slaptažodžiu ir prieigos politiką. Vartotojams suteikiama galimybė atkurti prarastus slaptažodžius, o administratoriai gali pakeisti nebenaudojamus diskus į naujas užduotis.
Kaip veikia „Kingston“ atmintinės su AES šifravimu?
„Kingston“ naudoja 256 bitų AES-XTS aparatinės įrangos šifravimą (naudojant pasirenkamą viso ilgio raktą) visiems savo saugiems diskams. Kaip minėjome aukščiau, „flash drives“ savo komponentų bazėje turi atskirą duomenų šifravimo ir iššifravimo lustą, kuris veikia kaip nuolat aktyvus atsitiktinių skaičių generatorius.
Kai pirmą kartą prijungiate įrenginį prie USB prievado, inicijavimo sąrankos vedlys paragins nustatyti pagrindinį slaptažodį, kad galėtumėte pasiekti įrenginį. Suaktyvinus diską, šifravimo algoritmai automatiškai pradės veikti pagal vartotojo nuostatas.
Tuo pačiu metu vartotojui „flash drive“ veikimo principas išliks nepakitęs - jis vis tiek galės atsisiųsti ir įdėti failus į įrenginio atmintį, kaip ir dirbdamas su įprasta USB atmintine. Vienintelis skirtumas yra tas, kad kai prijungiate „flash drive“ prie naujo kompiuterio, turėsite įvesti nustatytą slaptažodį, kad galėtumėte pasiekti savo informaciją.
Kodėl ir kam reikia „flash drives“ su aparatinės įrangos šifravimu?
Organizacijoms, kuriose neskelbtini duomenys yra verslo dalis (nesvarbu, finansinės, sveikatos priežiūros ar vyriausybės), šifravimas yra patikimiausia apsaugos priemonė. AES techninės įrangos šifravimas yra keičiamo dydžio sprendimas, kurį gali naudoti bet kuri įmonė: nuo fizinių asmenų ir mažų įmonių iki didelių korporacijų, taip pat karinių ir vyriausybinių organizacijų. Norėdami pažvelgti į šią problemą šiek tiek konkrečiau, turite naudoti šifruotus USB diskus:
- Užtikrinti konfidencialių įmonės duomenų saugumą
- Norėdami apsaugoti klientų informaciją
- Apsaugoti įmones nuo prarasto pelno ir klientų lojalumo
Verta paminėti, kad kai kurie saugių „flash drives“ gamintojai (įskaitant „Kingston“) teikia korporacijoms pritaikytus sprendimus, skirtus patenkinti klientų poreikius ir tikslus. Tačiau masinės gamybos linijos (įskaitant „DataTraveler“ „flash drives“) puikiai susidoroja su savo užduotimis ir gali užtikrinti verslo klasės saugumą.
1. Konfidencialių įmonės duomenų saugumo užtikrinimas
2017 metais Londono gyventojas viename iš parkų aptiko USB diską, kuriame buvo slaptažodžiu neapsaugota informacija, susijusi su Hitrou oro uosto saugumu, įskaitant stebėjimo kamerų vietą ir išsamią informaciją apie saugumo priemones atvykus aukštų pareigūnų. „Flash“ atmintinėje taip pat buvo duomenų apie elektroninius leidimus ir prieigos kodus į draudžiamas oro uosto zonas.
Analitikai teigia, kad tokių situacijų priežastis – įmonės darbuotojų kibernetinis neraštingumas, kurie dėl savo aplaidumo gali „nutekinti“ slaptus duomenis. „Flash“ diskai su aparatūros šifravimu iš dalies išsprendžia šią problemą, nes pametus tokį diską, negalėsite pasiekti jame esančių duomenų be to paties apsaugos pareigūno pagrindinio slaptažodžio. Bet kokiu atveju tai nepaneigia fakto, kad darbuotojai turi būti išmokyti valdyti „flash drives“, net jei kalbame apie įrenginius, apsaugotus šifravimu.
2. Kliento informacijos apsauga
Dar svarbesnė užduotis bet kuriai organizacijai yra pasirūpinti klientų duomenimis, kuriems neturėtų kilti kompromiso rizika. Beje, būtent ši informacija dažniausiai perduodama tarp skirtingų verslo sektorių ir, kaip taisyklė, yra konfidenciali: pavyzdžiui, joje gali būti duomenų apie finansines operacijas, ligos istoriją ir pan.
3. Apsauga nuo negauto pelno ir klientų lojalumo
USB įrenginių naudojimas su aparatinės įrangos šifravimu gali padėti išvengti niokojančių pasekmių organizacijoms. Įmonėms, kurios pažeidžia asmens duomenų apsaugos įstatymus, gali būti skiriamos didelės baudos. Todėl reikia kelti klausimą: ar verta rizikuoti dalintis informacija be tinkamos apsaugos?
Net neatsižvelgiant į finansinį poveikį, laikas ir ištekliai, sugaišti taisant saugumo klaidas, gali būti tokie pat dideli. Be to, jei dėl duomenų pažeidimo pažeidžiami klientų duomenys, įmonė rizikuoja būti lojalumu prekės ženklui, ypač rinkose, kuriose yra konkurentų, siūlančių panašų produktą ar paslaugą.
Kas garantuoja, kad naudojant „flash drives“ su aparatinės įrangos šifravimu, iš gamintojo nėra „žymių“?
Mūsų iškeltoje temoje šis klausimas bene vienas pagrindinių. Tarp straipsnio apie „Kingston DataTraveler“ diskus komentarų radome dar vieną įdomų klausimą: „Ar jūsų įrenginiuose yra trečiųjų šalių nepriklausomų specialistų atliktas auditas? Na... tai logiškas interesas: vartotojai nori įsitikinti, kad mūsų USB diskuose nėra įprastų klaidų, tokių kaip silpnas šifravimas arba galimybė apeiti slaptažodžio įvedimą. O šioje straipsnio dalyje kalbėsime apie tai, kokias sertifikavimo procedūras atlieka „Kingston“ diskai prieš gaunant tikrai saugių „flash drives“ statusą.
Kas garantuoja patikimumą? Atrodytų, kad galėtume sakyti, kad „Kingstonui pavyko – tai garantuoja“. Tačiau šiuo atveju toks teiginys bus neteisingas, nes gamintojas yra suinteresuota šalis. Todėl visus gaminius išbando trečioji šalis, turinti nepriklausomą patirtį. Visų pirma, „Kingston“ aparatinės įrangos šifruoti įrenginiai (išskyrus DTLPG3) yra kriptografinio modulio patvirtinimo programos (CMVP) dalyviai ir yra sertifikuoti pagal Federalinį informacijos apdorojimo standartą (FIPS). Pavaros taip pat yra sertifikuotos pagal GLBA, HIPPA, HITECH, PCI ir GTSA standartus.
1. Kriptografinio modulio patvirtinimo programa
CMVP programa yra bendras JAV prekybos departamento Nacionalinio standartų ir technologijų instituto ir Kanados kibernetinio saugumo centro projektas. Projekto tikslas – paskatinti patikrintų kriptografinių įrenginių paklausą ir teikti saugumo metriką federalinėms agentūroms ir reguliuojamoms pramonės šakoms (pvz., finansinėms ir sveikatos priežiūros įstaigoms), kurios naudojamos perkant įrangą.
Įrenginius pagal tam tikrus kriptografinius ir saugumo reikalavimus tikrina nepriklausomos kriptografijos ir saugumo bandymų laboratorijos, akredituotos pagal Nacionalinę savanoriškų laboratorijų akreditavimo programą (NVLAP). Tuo pačiu metu kiekviena laboratorijos ataskaita tikrinama, ar atitinka Federalinio informacijos apdorojimo standartą (FIPS) 140-2, ir patvirtina CMVP.
Modulius, patvirtintus kaip suderinamus su FIPS 140-2, JAV ir Kanados federalinės agentūros rekomenduoja naudoti iki 22 m. rugsėjo 2026 d. Po to jie bus įtraukti į archyvų sąrašą, nors jais vis tiek bus galima naudotis. 22 m. rugsėjo 2020 d. baigėsi prašymų patvirtinti pagal FIPS 140-3 standartą priėmimas. Įrenginiams atlikus patikrinimus, jie penkeriems metams bus perkelti į aktyvų išbandytų ir patikimų įrenginių sąrašą. Jei kriptografinis įrenginys nepraeina patvirtinimo, jo naudoti vyriausybinėse agentūrose JAV ir Kanadoje nerekomenduojama.
2. Kokius saugumo reikalavimus kelia FIPS sertifikavimas?
Nulaužti duomenis net iš nesertifikuoto šifruoto disko yra sunku ir mažai žmonių tai gali padaryti, todėl renkantis buitinį diską su sertifikavimu, jums nereikia vargti. Verslo sektoriuje situacija kitokia: rinkdamosi saugius USB įrenginius, įmonės dažnai teikia reikšmę FIPS sertifikavimo lygiams. Tačiau ne visi turi aiškų supratimą, ką šie lygiai reiškia.
Dabartinis FIPS 140-2 standartas apibrėžia keturis skirtingus saugos lygius, kuriuos gali atitikti „flash drives“. Pirmasis lygis suteikia vidutinį saugos funkcijų rinkinį. Ketvirtasis lygis reiškia griežtus įrenginių savisaugos reikalavimus. Antrasis ir trečiasis lygiai pateikia šių reikalavimų gradaciją ir sudaro savotišką aukso vidurį.
- XNUMX lygio sauga: XNUMX lygio sertifikuotiems USB diskams reikalingas bent vienas šifravimo algoritmas arba kita saugos funkcija.
- Antrasis saugumo lygis: čia diskas turi ne tik užtikrinti kriptografinę apsaugą, bet ir aptikti neteisėtus įsilaužimus programinės aparatinės įrangos lygiu, jei kas nors bando atidaryti diską.
- Trečiasis saugumo lygis: apima įsilaužimo prevenciją sunaikinant šifravimo „raktus“. Tai reiškia, kad reikia reaguoti į įsiskverbimo bandymus. Taip pat trečiasis lygis garantuoja aukštesnį apsaugos nuo elektromagnetinių trukdžių lygį: tai yra duomenų nuskaitymas iš „flash drive“ naudojant belaidžius įsilaužimo įrenginius neveiks.
- Ketvirtasis saugos lygis: aukščiausias lygis, apimantis visišką kriptografinio modulio apsaugą, kuri suteikia maksimalią aptikimo ir neutralizavimo tikimybę bet kokiems neteisėtiems neteisėto vartotojo bandymams pasiekti. Ketvirto lygio sertifikatą gavę „flash drives“ taip pat apima apsaugos parinktis, kurios neleidžia įsilaužti keičiant įtampą ir aplinkos temperatūrą.
Šie Kingston diskai yra sertifikuoti pagal FIPS 140-2 2000 lygio: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. Pagrindinė šių diskų savybė – gebėjimas reaguoti į bandymą įsilaužti: jei slaptažodis XNUMX kartų įvedamas neteisingai, diske esantys duomenys bus sunaikinti.
Ką dar gali padaryti „Kingston“ „flash drives“, išskyrus šifravimą?
Kalbant apie visišką duomenų saugumą, kartu su „flash drives“ aparatiniu šifravimu, įtaisytomis antivirusinėmis programomis, apsauga nuo išorinių poveikių, sinchronizavimu su asmeniniais debesimis ir kitomis funkcijomis, kurias aptarsime toliau, gelbsti. „Flash drives“ su programinės įrangos šifravimu didelio skirtumo nėra. Velnias slypi detalėse. Ir štai kas.
1. Kingston DataTraveler 2000
Paimkime, pavyzdžiui, USB atmintinę. . Tai yra vienas iš „flash drives“ su aparatūros šifravimu, tačiau tuo pat metu vienintelis su savo fizine klaviatūra korpuse. Ši 11 mygtukų klaviatūra padaro DT2000 visiškai nepriklausomą nuo pagrindinių sistemų (norėdami naudoti DataTraveler 2000, turite paspausti klavišą, tada įvesti slaptažodį ir dar kartą paspausti klavišą). Be to, šis „flash drive“ turi IP57 apsaugos nuo vandens ir dulkių laipsnį (keista, bet „Kingston“ niekur to nenurodo nei ant pakuotės, nei oficialios svetainės specifikacijose).
„DataTraveler 2000“ viduje yra 40 mAh ličio polimero baterija, o „Kingston“ pirkėjams pataria prieš naudojant įrenginį bent valandai prijungti prie USB prievado, kad akumuliatorius galėtų įkrauti. Beje, vienoje iš ankstesnių medžiagų : Nėra jokios priežasties nerimauti – įkroviklyje nėra aktyvuota „flash drive“, nes sistema nepateikia užklausų valdikliui. Todėl niekas nepavogs jūsų duomenų per belaidžius įsilaužimus.
2. Kingston DataTraveler Locker+ G3
Jei kalbėtume apie Kingston modelį – patraukia dėmesį galimybe sukonfigūruoti duomenų atsarginę kopiją iš „flash drive“ į „Google“ debesies saugyklą, „OneDrive“, „Amazon Cloud“ ar „Dropbox“. Taip pat teikiamas duomenų sinchronizavimas su šiomis paslaugomis.
Vienas iš mūsų skaitytojų užduodamų klausimų yra: „Bet kaip paimti užšifruotus duomenis iš atsarginės kopijos? Labai paprasta. Faktas yra tas, kad sinchronizuojant su debesimi informacija iššifruojama, o atsarginės kopijos apsauga debesyje priklauso nuo paties debesies galimybių. Todėl tokios procedūros atliekamos tik vartotojo nuožiūra. Be jo leidimo jokie duomenys nebus įkeliami į debesį.
3. Kingston DataTraveler Vault privatumas 3.0
Tačiau Kingston prietaisai Juose taip pat yra integruota ESET antivirusinė Drive Security. Pastaroji apsaugo duomenis nuo virusų, šnipinėjimo programų, Trojos arklių, kirminų, „rootkit“ įsiskverbimo į USB diską ir prisijungimo prie kitų kompiuterių, galima sakyti, nebijo. Antivirusinė programa akimirksniu įspės disko savininką apie galimas grėsmes, jei tokių bus. Tokiu atveju vartotojui nereikia pačiam diegti antivirusinės programos ir mokėti už šią galimybę. ESET Drive Security yra iš anksto įdiegta „flash drive“ su penkerių metų licencija.
„Kingston DT Vault Privacy 3.0“ sukurta ir skirta pirmiausia IT profesionalams. Tai leidžia administratoriams naudoti jį kaip atskirą diską arba įtraukti jį kaip centralizuoto valdymo sprendimo dalį, taip pat gali būti naudojamas konfigūruoti arba nuotoliniu būdu iš naujo nustatyti slaptažodžius ir konfigūruoti įrenginio politiką. „Kingston“ netgi pridėjo USB 3.0, leidžiantį saugius duomenis perduoti daug greičiau nei USB 2.0.
Apskritai „DT Vault Privacy 3.0“ yra puiki galimybė verslo sektoriui ir organizacijoms, kurioms reikalinga maksimali duomenų apsauga. Jis taip pat gali būti rekomenduojamas visiems vartotojams, kurie naudojasi kompiuteriais, esančiais viešuosiuose tinkluose.
Norėdami gauti daugiau informacijos apie Kingston gaminius, susisiekite .
Šaltinis: www.habr.com