🥇Kāpēc jums ir nepieciešami zibatmiņas diski ar aparatūras šifrēšanu?

Sveiks, Habr! Komentāros kādam no mūsu materiāli par zibatmiņām lasītāji uzdeva interesantu jautājumu: "Kāpēc jums ir nepieciešams zibatmiņas disks ar aparatūras šifrēšanu, ja ir pieejams TrueCrypt?" - un pat izteica bažas par "Kā jūs varat pārliecināties, ka Kingston diska programmatūrā un aparatūrā nav grāmatzīmju ?” Mēs atbildējām uz šiem jautājumiem kodolīgi, bet pēc tam nolēmām, ka tēma ir pelnījusi fundamentālu analīzi. Tas ir tas, ko mēs darīsim šajā amatā.

AES aparatūras šifrēšana, tāpat kā programmatūras šifrēšana, pastāv jau ilgu laiku, bet kā tieši tā aizsargā sensitīvus datus zibatmiņas diskos? Kas sertificē šādus diskus, un vai šiem sertifikātiem var uzticēties? Kam vajadzīgi šādi “sarežģīti” zibatmiņas diski, ja varat izmantot tādas bezmaksas programmas kā TrueCrypt vai BitLocker. Kā redzat, komentāros uzdotā tēma patiešām rada daudz jautājumu. Mēģināsim to visu izdomāt.

Kā aparatūras šifrēšana atšķiras no programmatūras šifrēšanas?

Zibatmiņas disku (kā arī HDD un SSD) gadījumā aparatūras datu šifrēšanai tiek izmantota īpaša mikroshēma, kas atrodas uz ierīces shēmas plates. Tam ir iebūvēts nejaušo skaitļu ģenerators, kas ģenerē šifrēšanas atslēgas. Dati tiek automātiski šifrēti un uzreiz atšifrēti, kad ievadāt savu lietotāja paroli. Šādā gadījumā ir gandrīz neiespējami piekļūt datiem bez paroles.

Lietojot programmatūras šifrēšanu, diskdzinī esošo datu “bloķēšanu” nodrošina ārēja programmatūra, kas darbojas kā zemu izmaksu alternatīva aparatūras šifrēšanas metodēm. Šādas programmatūras trūkumi var ietvert banālu prasību pēc regulāriem atjauninājumiem, lai nodrošinātu izturību pret arvien pilnveidotām uzlaušanas metodēm. Turklāt datu atšifrēšanai tiek izmantota datora procesa jauda (nevis atsevišķa aparatūras mikroshēma), un faktiski datora aizsardzības līmenis nosaka diskdziņa aizsardzības līmeni.

Diskdziņu ar aparatūras šifrēšanu galvenā iezīme ir atsevišķs kriptogrāfijas procesors, kura klātbūtne liecina, ka šifrēšanas atslēgas nekad neiziet no USB diska, atšķirībā no programmatūras atslēgām, kuras var īslaicīgi saglabāt datora operatīvajā atmiņā vai cietajā diskā. Tā kā programmatūras šifrēšana izmanto datora atmiņu, lai saglabātu pieteikšanās mēģinājumu skaitu, tā nevar apturēt brutālu spēku uzbrukumus parolei vai atslēgai. Uzbrucējs var nepārtraukti atiestatīt pieteikšanās mēģinājumu skaitītāju, līdz automātiskā paroles uzlaušanas programma atrod vajadzīgo kombināciju.

Starp citu..., raksta komentāros “Kingston DataTraveler: jaunas paaudzes droši zibatmiņas diski“Lietotāji arī atzīmēja, ka, piemēram, programmai TrueCrypt ir pārnēsājams darbības režīms. Tomēr tā nav liela priekšrocība. Fakts ir tāds, ka šajā gadījumā šifrēšanas programma tiek saglabāta zibatmiņas diska atmiņā, un tas padara to neaizsargātāku pret uzbrukumiem.

Secinājums: programmatūras pieeja nenodrošina tik augstu drošības līmeni kā AES šifrēšana. Tā vairāk ir elementāra aizsardzība. No otras puses, svarīgu datu programmatūras šifrēšana joprojām ir labāka nekā vispār nešifrēšana. Un šis fakts ļauj skaidri nošķirt šos kriptogrāfijas veidus: zibatmiņas disku aparatūras šifrēšana ir nepieciešamība, nevis korporatīvajam sektoram (piemēram, kad uzņēmuma darbinieki izmanto darbā izsniegtus diskus); un programmatūra ir vairāk piemērota lietotāju vajadzībām.

Tomēr Kingston sadala savus piedziņas modeļus (piemēram, IronKey S1000) Basic un Enterprise versijās. Funkcionalitātes un aizsardzības īpašību ziņā tie ir gandrīz identiski viens otram, taču korporatīvā versija piedāvā iespēju vadīt disku, izmantojot SafeConsole/IronKey EMS programmatūru. Izmantojot šo programmatūru, disks darbojas ar mākoņa vai vietējiem serveriem, lai attālināti ieviestu paroles aizsardzību un piekļuves politikas. Lietotājiem tiek dota iespēja atgūt pazaudētās paroles, un administratori var pārslēgt diskus, kas vairs netiek izmantoti, uz jauniem uzdevumiem.

Kā darbojas Kingston zibatmiņas diski ar AES šifrēšanu?

Kingston izmanto 256 bitu AES-XTS aparatūras šifrēšanu (izmantojot izvēles pilna garuma atslēgu) visiem saviem drošajiem diskdziņiem. Kā jau minēts iepriekš, zibatmiņas disku komponentu bāzē ir atsevišķa mikroshēma datu šifrēšanai un atšifrēšanai, kas darbojas kā pastāvīgi aktīvs nejaušo skaitļu ģenerators.

Kad pirmo reizi pievienojat ierīci USB portam, inicializācijas iestatīšanas vednis piedāvā iestatīt galveno paroli, lai piekļūtu ierīcei. Pēc diska aktivizēšanas šifrēšanas algoritmi automātiski sāks darboties atbilstoši lietotāja vēlmēm.

Tajā pašā laikā lietotājam zibatmiņas diska darbības princips paliks nemainīgs - viņš joprojām varēs lejupielādēt un ievietot failus ierīces atmiņā, tāpat kā strādājot ar parasto USB zibatmiņu. Vienīgā atšķirība ir tāda, ka, pievienojot zibatmiņas disku jaunam datoram, jums būs jāievada iestatītā parole, lai piekļūtu savai informācijai.

Kāpēc un kam ir nepieciešami zibatmiņas diski ar aparatūras šifrēšanu?

Organizācijām, kurās sensitīvi dati ir daļa no uzņēmējdarbības (finanšu, veselības aprūpes vai valdības), šifrēšana ir visdrošākais aizsardzības līdzeklis. Šajā sakarā zibatmiņas diski atbalsta 256 bitu AES aparatūras šifrēšana ir mērogojams risinājums, ko var izmantot jebkurš uzņēmums: no privātpersonām un maziem uzņēmumiem līdz lielām korporācijām, kā arī militārām un valdības organizācijām. Lai aplūkotu šo problēmu nedaudz precīzāk, ir jāizmanto šifrēti USB diski:

Nodrošināt konfidenciālu uzņēmuma datu drošību
Lai aizsargātu klientu informāciju
Lai aizsargātu uzņēmumus no peļņas zaudēšanas un klientu lojalitātes

Ir vērts atzīmēt, ka daži drošu zibatmiņas disku ražotāji (tostarp Kingston) nodrošina korporācijām pielāgotus risinājumus, kas izstrādāti, lai apmierinātu klientu vajadzības un mērķus. Taču sērijveidā ražotās līnijas (tostarp DataTraveler zibatmiņas) lieliski tiek galā ar saviem uzdevumiem un spēj nodrošināt korporatīvās klases drošību.

1. Uzņēmuma konfidenciālo datu drošības nodrošināšana

2017. gadā Londonas iedzīvotājs vienā no parkiem atklāja USB disku, kurā atradās ar paroli neaizsargāta informācija, kas saistīta ar Hītrovas lidostas drošību, tostarp novērošanas kameru atrašanās vieta un detalizēta informācija par drošības pasākumiem, ja ielidos augsta ranga amatpersonas. Zibatmiņas diskā bija arī dati par elektroniskajām caurlaidēm un piekļuves kodiem lidostas ierobežotajām zonām.

Analītiķi norāda, ka šādu situāciju cēlonis ir uzņēmuma darbinieku kibernepratība, kuri savas nolaidības dēļ var “nopludināt” slepenus datus. Zibatmiņas diski ar aparatūras šifrēšanu daļēji atrisina šo problēmu, jo, ja šāds disks tiek pazaudēts, jūs nevarēsit piekļūt tajā esošajiem datiem bez tā paša drošības darbinieka galvenās paroles. Jebkurā gadījumā tas nenoliedz faktu, ka darbiniekiem ir jābūt apmācītiem rīkoties ar zibatmiņas diskiem, pat ja mēs runājam par ierīcēm, kas aizsargātas ar šifrēšanu.

2. Klientu informācijas aizsardzība

Vēl svarīgāks uzdevums jebkurai organizācijai ir rūpēties par klientu datiem, kas nedrīkst būt pakļauti kompromisa riskam. Starp citu, tieši šī informācija visbiežāk tiek pārsūtīta starp dažādām uzņēmējdarbības nozarēm un, kā likums, ir konfidenciāla: piemēram, tajā var būt dati par finanšu darījumiem, slimības vēsturi utt.

3. Aizsardzība pret peļņas zaudēšanu un klientu lojalitāti

USB ierīču izmantošana ar aparatūras šifrēšanu var palīdzēt novērst postošās sekas organizācijām. Uzņēmumiem, kas pārkāpj personas datu aizsardzības likumus, var uzlikt lielu naudas sodu. Tāpēc ir jāuzdod jautājums: vai ir vērts uzņemties risku dalīties ar informāciju bez pienācīgas aizsardzības?

Pat neņemot vērā finansiālo ietekmi, drošības kļūdu labošanai patērētais laiks un resursi var būt tikpat nozīmīgi. Turklāt, ja datu pārkāpums apdraud klientu datus, uzņēmums riskē ar zīmola lojalitāti, jo īpaši tirgos, kur ir konkurenti, kas piedāvā līdzīgu produktu vai pakalpojumu.

Kurš garantē ražotāja “grāmatzīmju” neesamību, izmantojot zibatmiņas diskus ar aparatūras šifrēšanu?

Mūsu izvirzītajā tēmā šis jautājums, iespējams, ir viens no galvenajiem. Komentāros pie raksta par Kingston DataTraveler diskdziņiem mēs saskārāmies ar vēl vienu interesantu jautājumu: "Vai jūsu ierīcēm ir trešo pušu neatkarīgi speciālisti?" Nu... tā ir loģiska interese: lietotāji vēlas pārliecināties, ka mūsu USB diskdziņi nesatur bieži sastopamas kļūdas, piemēram, vāju šifrēšanu vai iespēju apiet paroles ievadi. Un šajā raksta daļā mēs runāsim par to, kādas sertifikācijas procedūras tiek pakļautas Kingston diskdziņiem, pirms tie saņem patiesi drošu zibatmiņas disku statusu.

Kurš garantē uzticamību? Šķiet, ka mēs varētu teikt: "Kingstons to paveica - tas to garantē." Bet šajā gadījumā šāds apgalvojums būs nepareizs, jo ražotājs ir ieinteresētā puse. Tāpēc visus produktus pārbauda trešā puse ar neatkarīgu ekspertīzi. Konkrēti, Kingston aparatūras šifrētie diskdziņi (izņemot DTLPG3) ir kriptogrāfijas moduļa validācijas programmas (CMVP) dalībnieki un ir sertificēti atbilstoši federālajam informācijas apstrādes standartam (FIPS). Diskdziņi ir sertificēti arī saskaņā ar GLBA, HIPPA, HITECH, PCI un GTSA standartiem.

1. Kriptogrāfiskā moduļa validācijas programma

CMVP programma ir ASV Tirdzniecības departamenta Nacionālā standartu un tehnoloģiju institūta un Kanādas Kiberdrošības centra kopīgs projekts. Projekta mērķis ir stimulēt pieprasījumu pēc pārbaudītām kriptogrāfijas ierīcēm un nodrošināt drošības rādītājus federālajām aģentūrām un regulētajām nozarēm (piemēram, finanšu un veselības aprūpes iestādēm), kas tiek izmantotas iekārtu iepirkumā.

Ierīces pārbauda saskaņā ar kriptogrāfijas un drošības prasību kopumu neatkarīgās kriptogrāfijas un drošības testēšanas laboratorijās, kuras ir akreditētas Nacionālajā brīvprātīgo laboratoriju akreditācijas programmā (NVLAP). Tajā pašā laikā katrs laboratorijas ziņojums tiek pārbaudīts, vai tas atbilst Federālajam informācijas apstrādes standartam (FIPS) 140-2, un to apstiprina CMVP.

Moduļus, kas ir pārbaudīti kā saderīgi ar FIPS 140-2, ASV un Kanādas federālajām aģentūrām ieteicams izmantot līdz 22. gada 2026. septembrim. Pēc tam tie tiks iekļauti arhīvu sarakstā, lai gan tos joprojām varēs izmantot. 22. gada 2020. septembrī noslēdzās pieteikumu pieņemšana validācijai atbilstoši FIPS 140-3 standartam. Kad ierīces būs izturējušas pārbaudes, tās uz pieciem gadiem tiks pārvietotas uz aktīvo pārbaudīto un uzticamo ierīču sarakstu. Ja kriptogrāfijas ierīce neiztur verifikāciju, to nav ieteicams izmantot valsts aģentūrās ASV un Kanādā.

2. Kādas drošības prasības nosaka FIPS sertifikācija?

Datu uzlaušana pat no nesertificēta šifrēta diska ir sarežģīta, un to var izdarīt tikai daži cilvēki, tāpēc, izvēloties patēriņa disku lietošanai mājās ar sertifikāciju, jums nav jāraizējas. Korporatīvajā sektorā situācija ir citādāka: izvēloties drošus USB diskus, uzņēmumi bieži pievērš uzmanību FIPS sertifikācijas līmeņiem. Tomēr ne visiem ir skaidrs priekšstats par to, ko šie līmeņi nozīmē.

Pašreizējais FIPS 140-2 standarts nosaka četrus dažādus drošības līmeņus, kuriem var atbilst zibatmiņas diski. Pirmais līmenis nodrošina mērenu drošības līdzekļu komplektu. Ceturtais līmenis nozīmē stingras prasības ierīču pašaizsardzībai. Otrais un trešais līmenis nodrošina šo prasību gradāciju un veido sava veida zelta vidusceļu.

XNUMX. līmeņa drošība: XNUMX. līmeņa sertificētajiem USB diskdziņiem ir nepieciešams vismaz viens šifrēšanas algoritms vai cits drošības līdzeklis.
Otrais drošības līmenis: šeit diskam ir nepieciešams ne tikai nodrošināt kriptogrāfisku aizsardzību, bet arī atklāt nesankcionētus ielaušanās gadījumus programmaparatūras līmenī, ja kāds mēģina atvērt disku.
Trešais drošības līmenis: ietver uzlaušanas novēršanu, iznīcinot šifrēšanas “atslēgas”. Tas nozīmē, ka ir jāreaģē uz iespiešanās mēģinājumiem. Tāpat trešais līmenis garantē augstāku aizsardzības līmeni pret elektromagnētiskiem traucējumiem: tas ir, datu nolasīšana no zibatmiņas diska, izmantojot bezvadu hakeru ierīces, nedarbosies.
Ceturtais drošības līmenis: augstākais līmenis, kas ietver pilnīgu kriptogrāfijas moduļa aizsardzību, kas nodrošina maksimālu atklāšanas un pretdarbības iespējamību jebkādiem nesankcionēta lietotāja piekļuves mēģinājumiem. Zibatmiņas diski, kas saņēmuši ceturtā līmeņa sertifikātu, ietver arī aizsardzības iespējas, kas nepieļauj uzlaušanu, mainot spriegumu un apkārtējās vides temperatūru.

Šādi Kingston diskdziņi ir sertificēti atbilstoši FIPS 140-2 2000. līmenim: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. Šo disku galvenā iezīme ir to spēja reaģēt uz ielaušanās mēģinājumu: ja parole tiek ievadīta nepareizi XNUMX reizes, diskā esošie dati tiks iznīcināti.

Ko vēl Kingston zibatmiņas diski var darīt, izņemot šifrēšanu?

Runājot par pilnīgu datu drošību, palīgā nāk zibatmiņas disku aparatūras šifrēšana, iebūvētie antivīrusi, aizsardzība pret ārējām ietekmēm, sinhronizācija ar personīgajiem mākoņiem un citas funkcijas, par kurām mēs runāsim tālāk. Zibatmiņas diskiem ar programmatūras šifrēšanu nav lielas atšķirības. Velns slēpjas detaļās. Un lūk, kas.

1. Kingston DataTraveler 2000

Ņemsim, piemēram, USB disku. Kingston DataTraveler 2000. Šis ir viens no zibatmiņas diskiem ar aparatūras šifrēšanu, bet tajā pašā laikā vienīgais ar savu fizisko tastatūru korpusā. Šī 11 pogu tastatūra padara DT2000 pilnībā neatkarīgu no resursdatora sistēmām (lai izmantotu DataTraveler 2000, jānospiež taustiņa poga, pēc tam jāievada parole un vēlreiz jānospiež taustiņa poga). Turklāt šim zibatmiņas diskam ir IP57 aizsardzības pakāpe pret ūdeni un putekļiem (pārsteidzoši, ka Kingston to nekur nenorāda ne uz iepakojuma, ne oficiālās vietnes specifikācijās).

DataTraveler 2000 iekšpusē ir 40 mAh litija polimēru akumulators, un Kingston pircējiem iesaka pirms lietošanas vismaz stundu pievienot disku USB portam, lai akumulators varētu uzlādēties. Starp citu, vienā no iepriekšējiem materiāliem mēs teicām, kas notiek ar zibatmiņas disku, kas tiek uzlādēts no strāvas bankas: Uztraukumam nav pamata - zibatmiņas disks nav aktivizēts lādētājā, jo sistēma nav pieprasījusi kontrolierim. Tāpēc neviens nezags jūsu datus, izmantojot bezvadu ielaušanās.

2. Kingston DataTraveler Locker+ G3

Ja mēs runājam par Kingston modeli DataTraveler Locker+ G3 – tas piesaista uzmanību ar iespēju konfigurēt datu dublēšanu no zibatmiņas uz Google mākoņkrātuvi, OneDrive, Amazon Cloud vai Dropbox. Tiek nodrošināta arī datu sinhronizācija ar šiem pakalpojumiem.

Viens no jautājumiem, ko mums uzdod mūsu lasītāji, ir: "Bet kā no dublējuma iegūt šifrētus datus?" Ļoti vienkārši. Fakts ir tāds, ka, veicot sinhronizāciju ar mākoni, informācija tiek atšifrēta, un dublējuma aizsardzība mākonī ir atkarīga no paša mākoņa iespējām. Tāpēc šādas procedūras tiek veiktas tikai pēc lietotāja ieskatiem. Bez viņa atļaujas dati netiks augšupielādēti mākonī.

3. Kingston DataTraveler Vault konfidencialitāte 3.0

Bet Kingston ierīces DataTraveler Vault Privacy 3.0 Tiem ir arī iebūvēts Drive Security antivīruss no ESET. Pēdējais aizsargā datus no vīrusu, spiegprogrammatūras, Trojas zirgu, tārpu, sakņu komplektu iebrukuma USB diskā un savienojuma ar citu cilvēku datoriem, varētu teikt, tas nebaidās. Antivīruss nekavējoties brīdinās diska īpašnieku par iespējamiem draudiem, ja tādi tiks atklāti. Šajā gadījumā lietotājam nav pašam jāinstalē pretvīrusu programmatūra un jāmaksā par šo iespēju. ESET Drive Security ir iepriekš instalēta zibatmiņas diskā ar piecu gadu licenci.

Kingston DT Vault Privacy 3.0 ir izstrādāta un paredzēta galvenokārt IT profesionāļiem. Tas ļauj administratoriem to izmantot kā atsevišķu disku vai pievienot to kā daļu no centralizēta pārvaldības risinājuma, kā arī to var izmantot, lai konfigurētu vai attāli atiestatītu paroles un konfigurētu ierīces politikas. Kingston pat pievienoja USB 3.0, kas ļauj pārsūtīt drošus datus daudz ātrāk nekā USB 2.0.

Kopumā DT Vault Privacy 3.0 ir lieliska iespēja korporatīvajam sektoram un organizācijām, kurām nepieciešama maksimāla datu aizsardzība. To var arī ieteikt visiem lietotājiem, kuri izmanto datorus, kas atrodas publiskajos tīklos.

Lai iegūtu vairāk informācijas par Kingston produktiem, sazinieties ar uzņēmuma oficiālā vietne.

Avots: www.habr.com

Kāpēc mums ir nepieciešami zibatmiņas diski ar aparatūras šifrēšanu?