Sveiks, Habr! KomentÄros kÄdam no mÅ«su
AES aparatÅ«ras Å”ifrÄÅ”ana, tÄpat kÄ programmatÅ«ras Å”ifrÄÅ”ana, pastÄv jau ilgu laiku, bet kÄ tieÅ”i tÄ aizsargÄ sensitÄ«vus datus zibatmiÅas diskos? Kas sertificÄ Å”Ädus diskus, un vai Å”iem sertifikÄtiem var uzticÄties? Kam vajadzÄ«gi Å”Ädi āsarežģītiā zibatmiÅas diski, ja varat izmantot tÄdas bezmaksas programmas kÄ TrueCrypt vai BitLocker. KÄ redzat, komentÄros uzdotÄ tÄma patieÅ”Äm rada daudz jautÄjumu. MÄÄ£inÄsim to visu izdomÄt.
KÄ aparatÅ«ras Å”ifrÄÅ”ana atŔķiras no programmatÅ«ras Å”ifrÄÅ”anas?
ZibatmiÅas disku (kÄ arÄ« HDD un SSD) gadÄ«jumÄ aparatÅ«ras datu Å”ifrÄÅ”anai tiek izmantota Ä«paÅ”a mikroshÄma, kas atrodas uz ierÄ«ces shÄmas plates. Tam ir iebÅ«vÄts nejauÅ”o skaitļu Ä£enerators, kas Ä£enerÄ Å”ifrÄÅ”anas atslÄgas. Dati tiek automÄtiski Å”ifrÄti un uzreiz atÅ”ifrÄti, kad ievadÄt savu lietotÄja paroli. Å ÄdÄ gadÄ«jumÄ ir gandrÄ«z neiespÄjami piekļūt datiem bez paroles.
Lietojot programmatÅ«ras Å”ifrÄÅ”anu, diskdzinÄ« esoÅ”o datu ābloÄ·ÄÅ”anuā nodroÅ”ina ÄrÄja programmatÅ«ra, kas darbojas kÄ zemu izmaksu alternatÄ«va aparatÅ«ras Å”ifrÄÅ”anas metodÄm. Å Ädas programmatÅ«ras trÅ«kumi var ietvert banÄlu prasÄ«bu pÄc regulÄriem atjauninÄjumiem, lai nodroÅ”inÄtu izturÄ«bu pret arvien pilnveidotÄm uzlauÅ”anas metodÄm. TurklÄt datu atÅ”ifrÄÅ”anai tiek izmantota datora procesa jauda (nevis atseviŔķa aparatÅ«ras mikroshÄma), un faktiski datora aizsardzÄ«bas lÄ«menis nosaka diskdziÅa aizsardzÄ«bas lÄ«meni.
DiskdziÅu ar aparatÅ«ras Å”ifrÄÅ”anu galvenÄ iezÄ«me ir atseviŔķs kriptogrÄfijas procesors, kura klÄtbÅ«tne liecina, ka Å”ifrÄÅ”anas atslÄgas nekad neiziet no USB diska, atŔķirÄ«bÄ no programmatÅ«ras atslÄgÄm, kuras var Ä«slaicÄ«gi saglabÄt datora operatÄ«vajÄ atmiÅÄ vai cietajÄ diskÄ. TÄ kÄ programmatÅ«ras Å”ifrÄÅ”ana izmanto datora atmiÅu, lai saglabÄtu pieteikÅ”anÄs mÄÄ£inÄjumu skaitu, tÄ nevar apturÄt brutÄlu spÄku uzbrukumus parolei vai atslÄgai. UzbrucÄjs var nepÄrtraukti atiestatÄ«t pieteikÅ”anÄs mÄÄ£inÄjumu skaitÄ«tÄju, lÄ«dz automÄtiskÄ paroles uzlauÅ”anas programma atrod vajadzÄ«go kombinÄciju.
Starp citu..., raksta komentÄros ā
SecinÄjums: programmatÅ«ras pieeja nenodroÅ”ina tik augstu droŔības lÄ«meni kÄ AES Å”ifrÄÅ”ana. TÄ vairÄk ir elementÄra aizsardzÄ«ba. No otras puses, svarÄ«gu datu programmatÅ«ras Å”ifrÄÅ”ana joprojÄm ir labÄka nekÄ vispÄr neÅ”ifrÄÅ”ana. Un Å”is fakts ļauj skaidri noŔķirt Å”os kriptogrÄfijas veidus: zibatmiÅas disku aparatÅ«ras Å”ifrÄÅ”ana ir nepiecieÅ”amÄ«ba, nevis korporatÄ«vajam sektoram (piemÄram, kad uzÅÄmuma darbinieki izmanto darbÄ izsniegtus diskus); un programmatÅ«ra ir vairÄk piemÄrota lietotÄju vajadzÄ«bÄm.
TomÄr Kingston sadala savus piedziÅas modeļus (piemÄram, IronKey S1000) Basic un Enterprise versijÄs. FunkcionalitÄtes un aizsardzÄ«bas Ä«paŔību ziÅÄ tie ir gandrÄ«z identiski viens otram, taÄu korporatÄ«vÄ versija piedÄvÄ iespÄju vadÄ«t disku, izmantojot SafeConsole/IronKey EMS programmatÅ«ru. Izmantojot Å”o programmatÅ«ru, disks darbojas ar mÄkoÅa vai vietÄjiem serveriem, lai attÄlinÄti ieviestu paroles aizsardzÄ«bu un piekļuves politikas. LietotÄjiem tiek dota iespÄja atgÅ«t pazaudÄtÄs paroles, un administratori var pÄrslÄgt diskus, kas vairs netiek izmantoti, uz jauniem uzdevumiem.
KÄ darbojas Kingston zibatmiÅas diski ar AES Å”ifrÄÅ”anu?
Kingston izmanto 256 bitu AES-XTS aparatÅ«ras Å”ifrÄÅ”anu (izmantojot izvÄles pilna garuma atslÄgu) visiem saviem droÅ”ajiem diskdziÅiem. KÄ jau minÄts iepriekÅ”, zibatmiÅas disku komponentu bÄzÄ ir atseviŔķa mikroshÄma datu Å”ifrÄÅ”anai un atÅ”ifrÄÅ”anai, kas darbojas kÄ pastÄvÄ«gi aktÄ«vs nejauÅ”o skaitļu Ä£enerators.
Kad pirmo reizi pievienojat ierÄ«ci USB portam, inicializÄcijas iestatÄ«Å”anas vednis piedÄvÄ iestatÄ«t galveno paroli, lai piekļūtu ierÄ«cei. PÄc diska aktivizÄÅ”anas Å”ifrÄÅ”anas algoritmi automÄtiski sÄks darboties atbilstoÅ”i lietotÄja vÄlmÄm.
TajÄ paÅ”Ä laikÄ lietotÄjam zibatmiÅas diska darbÄ«bas princips paliks nemainÄ«gs - viÅÅ” joprojÄm varÄs lejupielÄdÄt un ievietot failus ierÄ«ces atmiÅÄ, tÄpat kÄ strÄdÄjot ar parasto USB zibatmiÅu. VienÄ«gÄ atŔķirÄ«ba ir tÄda, ka, pievienojot zibatmiÅas disku jaunam datoram, jums bÅ«s jÄievada iestatÄ«tÄ parole, lai piekļūtu savai informÄcijai.
KÄpÄc un kam ir nepiecieÅ”ami zibatmiÅas diski ar aparatÅ«ras Å”ifrÄÅ”anu?
OrganizÄcijÄm, kurÄs sensitÄ«vi dati ir daļa no uzÅÄmÄjdarbÄ«bas (finanÅ”u, veselÄ«bas aprÅ«pes vai valdÄ«bas), Å”ifrÄÅ”ana ir visdroÅ”Äkais aizsardzÄ«bas lÄ«dzeklis.
- NodroÅ”inÄt konfidenciÄlu uzÅÄmuma datu droŔību
- Lai aizsargÄtu klientu informÄciju
- Lai aizsargÄtu uzÅÄmumus no peļÅas zaudÄÅ”anas un klientu lojalitÄtes
Ir vÄrts atzÄ«mÄt, ka daži droÅ”u zibatmiÅas disku ražotÄji (tostarp Kingston) nodroÅ”ina korporÄcijÄm pielÄgotus risinÄjumus, kas izstrÄdÄti, lai apmierinÄtu klientu vajadzÄ«bas un mÄrÄ·us. TaÄu sÄrijveidÄ ražotÄs lÄ«nijas (tostarp DataTraveler zibatmiÅas) lieliski tiek galÄ ar saviem uzdevumiem un spÄj nodroÅ”inÄt korporatÄ«vÄs klases droŔību.
1. UzÅÄmuma konfidenciÄlo datu droŔības nodroÅ”inÄÅ”ana
2017. gadÄ Londonas iedzÄ«votÄjs vienÄ no parkiem atklÄja USB disku, kurÄ atradÄs ar paroli neaizsargÄta informÄcija, kas saistÄ«ta ar HÄ«trovas lidostas droŔību, tostarp novÄroÅ”anas kameru atraÅ”anÄs vieta un detalizÄta informÄcija par droŔības pasÄkumiem, ja ielidos augsta ranga amatpersonas. ZibatmiÅas diskÄ bija arÄ« dati par elektroniskajÄm caurlaidÄm un piekļuves kodiem lidostas ierobežotajÄm zonÄm.
AnalÄ«tiÄ·i norÄda, ka Å”Ädu situÄciju cÄlonis ir uzÅÄmuma darbinieku kibernepratÄ«ba, kuri savas nolaidÄ«bas dÄļ var ānopludinÄtā slepenus datus. ZibatmiÅas diski ar aparatÅ«ras Å”ifrÄÅ”anu daļÄji atrisina Å”o problÄmu, jo, ja Å”Äds disks tiek pazaudÄts, jÅ«s nevarÄsit piekļūt tajÄ esoÅ”ajiem datiem bez tÄ paÅ”a droŔības darbinieka galvenÄs paroles. JebkurÄ gadÄ«jumÄ tas nenoliedz faktu, ka darbiniekiem ir jÄbÅ«t apmÄcÄ«tiem rÄ«koties ar zibatmiÅas diskiem, pat ja mÄs runÄjam par ierÄ«cÄm, kas aizsargÄtas ar Å”ifrÄÅ”anu.
2. Klientu informÄcijas aizsardzÄ«ba
VÄl svarÄ«gÄks uzdevums jebkurai organizÄcijai ir rÅ«pÄties par klientu datiem, kas nedrÄ«kst bÅ«t pakļauti kompromisa riskam. Starp citu, tieÅ”i Ŕī informÄcija visbiežÄk tiek pÄrsÅ«tÄ«ta starp dažÄdÄm uzÅÄmÄjdarbÄ«bas nozarÄm un, kÄ likums, ir konfidenciÄla: piemÄram, tajÄ var bÅ«t dati par finanÅ”u darÄ«jumiem, slimÄ«bas vÄsturi utt.
3. AizsardzÄ«ba pret peļÅas zaudÄÅ”anu un klientu lojalitÄti
USB ierÄ«Äu izmantoÅ”ana ar aparatÅ«ras Å”ifrÄÅ”anu var palÄ«dzÄt novÄrst postoÅ”Äs sekas organizÄcijÄm. UzÅÄmumiem, kas pÄrkÄpj personas datu aizsardzÄ«bas likumus, var uzlikt lielu naudas sodu. TÄpÄc ir jÄuzdod jautÄjums: vai ir vÄrts uzÅemties risku dalÄ«ties ar informÄciju bez pienÄcÄ«gas aizsardzÄ«bas?
Pat neÅemot vÄrÄ finansiÄlo ietekmi, droŔības kļūdu laboÅ”anai patÄrÄtais laiks un resursi var bÅ«t tikpat nozÄ«mÄ«gi. TurklÄt, ja datu pÄrkÄpums apdraud klientu datus, uzÅÄmums riskÄ ar zÄ«mola lojalitÄti, jo Ä«paÅ”i tirgos, kur ir konkurenti, kas piedÄvÄ lÄ«dzÄ«gu produktu vai pakalpojumu.
KurÅ” garantÄ ražotÄja āgrÄmatzÄ«mjuā neesamÄ«bu, izmantojot zibatmiÅas diskus ar aparatÅ«ras Å”ifrÄÅ”anu?
MÅ«su izvirzÄ«tajÄ tÄmÄ Å”is jautÄjums, iespÄjams, ir viens no galvenajiem. KomentÄros pie raksta par Kingston DataTraveler diskdziÅiem mÄs saskÄrÄmies ar vÄl vienu interesantu jautÄjumu: "Vai jÅ«su ierÄ«cÄm ir treÅ”o puÅ”u neatkarÄ«gi speciÄlisti?" Nu... tÄ ir loÄ£iska interese: lietotÄji vÄlas pÄrliecinÄties, ka mÅ«su USB diskdziÅi nesatur bieži sastopamas kļūdas, piemÄram, vÄju Å”ifrÄÅ”anu vai iespÄju apiet paroles ievadi. Un Å”ajÄ raksta daÄ¼Ä mÄs runÄsim par to, kÄdas sertifikÄcijas procedÅ«ras tiek pakļautas Kingston diskdziÅiem, pirms tie saÅem patiesi droÅ”u zibatmiÅas disku statusu.
KurÅ” garantÄ uzticamÄ«bu? Å Ä·iet, ka mÄs varÄtu teikt: "Kingstons to paveica - tas to garantÄ." Bet Å”ajÄ gadÄ«jumÄ Å”Äds apgalvojums bÅ«s nepareizs, jo ražotÄjs ir ieinteresÄtÄ puse. TÄpÄc visus produktus pÄrbauda treÅ”Ä puse ar neatkarÄ«gu ekspertÄ«zi. KonkrÄti, Kingston aparatÅ«ras Å”ifrÄtie diskdziÅi (izÅemot DTLPG3) ir kriptogrÄfijas moduļa validÄcijas programmas (CMVP) dalÄ«bnieki un ir sertificÄti atbilstoÅ”i federÄlajam informÄcijas apstrÄdes standartam (FIPS). DiskdziÅi ir sertificÄti arÄ« saskaÅÄ ar GLBA, HIPPA, HITECH, PCI un GTSA standartiem.
1. KriptogrÄfiskÄ moduļa validÄcijas programma
CMVP programma ir ASV TirdzniecÄ«bas departamenta NacionÄlÄ standartu un tehnoloÄ£iju institÅ«ta un KanÄdas KiberdroŔības centra kopÄ«gs projekts. Projekta mÄrÄ·is ir stimulÄt pieprasÄ«jumu pÄc pÄrbaudÄ«tÄm kriptogrÄfijas ierÄ«cÄm un nodroÅ”inÄt droŔības rÄdÄ«tÄjus federÄlajÄm aÄ£entÅ«rÄm un regulÄtajÄm nozarÄm (piemÄram, finanÅ”u un veselÄ«bas aprÅ«pes iestÄdÄm), kas tiek izmantotas iekÄrtu iepirkumÄ.
IerÄ«ces pÄrbauda saskaÅÄ ar kriptogrÄfijas un droŔības prasÄ«bu kopumu neatkarÄ«gÄs kriptogrÄfijas un droŔības testÄÅ”anas laboratorijÄs, kuras ir akreditÄtas NacionÄlajÄ brÄ«vprÄtÄ«go laboratoriju akreditÄcijas programmÄ (NVLAP). TajÄ paÅ”Ä laikÄ katrs laboratorijas ziÅojums tiek pÄrbaudÄ«ts, vai tas atbilst FederÄlajam informÄcijas apstrÄdes standartam (FIPS) 140-2, un to apstiprina CMVP.
Moduļus, kas ir pÄrbaudÄ«ti kÄ saderÄ«gi ar FIPS 140-2, ASV un KanÄdas federÄlajÄm aÄ£entÅ«rÄm ieteicams izmantot lÄ«dz 22. gada 2026. septembrim. PÄc tam tie tiks iekļauti arhÄ«vu sarakstÄ, lai gan tos joprojÄm varÄs izmantot. 22. gada 2020. septembrÄ« noslÄdzÄs pieteikumu pieÅemÅ”ana validÄcijai atbilstoÅ”i FIPS 140-3 standartam. Kad ierÄ«ces bÅ«s izturÄjuÅ”as pÄrbaudes, tÄs uz pieciem gadiem tiks pÄrvietotas uz aktÄ«vo pÄrbaudÄ«to un uzticamo ierÄ«Äu sarakstu. Ja kriptogrÄfijas ierÄ«ce neiztur verifikÄciju, to nav ieteicams izmantot valsts aÄ£entÅ«rÄs ASV un KanÄdÄ.
2. KÄdas droŔības prasÄ«bas nosaka FIPS sertifikÄcija?
Datu uzlauÅ”ana pat no nesertificÄta Å”ifrÄta diska ir sarežģīta, un to var izdarÄ«t tikai daži cilvÄki, tÄpÄc, izvÄloties patÄriÅa disku lietoÅ”anai mÄjÄs ar sertifikÄciju, jums nav jÄraizÄjas. KorporatÄ«vajÄ sektorÄ situÄcija ir citÄdÄka: izvÄloties droÅ”us USB diskus, uzÅÄmumi bieži pievÄrÅ” uzmanÄ«bu FIPS sertifikÄcijas lÄ«meÅiem. TomÄr ne visiem ir skaidrs priekÅ”stats par to, ko Å”ie lÄ«meÅi nozÄ«mÄ.
PaÅ”reizÄjais FIPS 140-2 standarts nosaka Äetrus dažÄdus droŔības lÄ«meÅus, kuriem var atbilst zibatmiÅas diski. Pirmais lÄ«menis nodroÅ”ina mÄrenu droŔības lÄ«dzekļu komplektu. Ceturtais lÄ«menis nozÄ«mÄ stingras prasÄ«bas ierÄ«Äu paÅ”aizsardzÄ«bai. Otrais un treÅ”ais lÄ«menis nodroÅ”ina Å”o prasÄ«bu gradÄciju un veido sava veida zelta vidusceļu.
- XNUMX. lÄ«meÅa droŔība: XNUMX. lÄ«meÅa sertificÄtajiem USB diskdziÅiem ir nepiecieÅ”ams vismaz viens Å”ifrÄÅ”anas algoritms vai cits droŔības lÄ«dzeklis.
- Otrais droŔības lÄ«menis: Å”eit diskam ir nepiecieÅ”ams ne tikai nodroÅ”inÄt kriptogrÄfisku aizsardzÄ«bu, bet arÄ« atklÄt nesankcionÄtus ielauÅ”anÄs gadÄ«jumus programmaparatÅ«ras lÄ«menÄ«, ja kÄds mÄÄ£ina atvÄrt disku.
- TreÅ”ais droŔības lÄ«menis: ietver uzlauÅ”anas novÄrÅ”anu, iznÄ«cinot Å”ifrÄÅ”anas āatslÄgasā. Tas nozÄ«mÄ, ka ir jÄreaÄ£Ä uz iespieÅ”anÄs mÄÄ£inÄjumiem. TÄpat treÅ”ais lÄ«menis garantÄ augstÄku aizsardzÄ«bas lÄ«meni pret elektromagnÄtiskiem traucÄjumiem: tas ir, datu nolasÄ«Å”ana no zibatmiÅas diska, izmantojot bezvadu hakeru ierÄ«ces, nedarbosies.
- Ceturtais droŔības lÄ«menis: augstÄkais lÄ«menis, kas ietver pilnÄ«gu kriptogrÄfijas moduļa aizsardzÄ«bu, kas nodroÅ”ina maksimÄlu atklÄÅ”anas un pretdarbÄ«bas iespÄjamÄ«bu jebkÄdiem nesankcionÄta lietotÄja piekļuves mÄÄ£inÄjumiem. ZibatmiÅas diski, kas saÅÄmuÅ”i ceturtÄ lÄ«meÅa sertifikÄtu, ietver arÄ« aizsardzÄ«bas iespÄjas, kas nepieļauj uzlauÅ”anu, mainot spriegumu un apkÄrtÄjÄs vides temperatÅ«ru.
Å Ädi Kingston diskdziÅi ir sertificÄti atbilstoÅ”i FIPS 140-2 2000. lÄ«menim: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. Å o disku galvenÄ iezÄ«me ir to spÄja reaÄ£Ät uz ielauÅ”anÄs mÄÄ£inÄjumu: ja parole tiek ievadÄ«ta nepareizi XNUMX reizes, diskÄ esoÅ”ie dati tiks iznÄ«cinÄti.
Ko vÄl Kingston zibatmiÅas diski var darÄ«t, izÅemot Å”ifrÄÅ”anu?
RunÄjot par pilnÄ«gu datu droŔību, palÄ«gÄ nÄk zibatmiÅas disku aparatÅ«ras Å”ifrÄÅ”ana, iebÅ«vÄtie antivÄ«rusi, aizsardzÄ«ba pret ÄrÄjÄm ietekmÄm, sinhronizÄcija ar personÄ«gajiem mÄkoÅiem un citas funkcijas, par kurÄm mÄs runÄsim tÄlÄk. ZibatmiÅas diskiem ar programmatÅ«ras Å”ifrÄÅ”anu nav lielas atŔķirÄ«bas. Velns slÄpjas detaļÄs. Un lÅ«k, kas.
1. Kingston DataTraveler 2000
Å
emsim, piemÄram, USB disku.
DataTraveler 2000 iekÅ”pusÄ ir 40 mAh litija polimÄru akumulators, un Kingston pircÄjiem iesaka pirms lietoÅ”anas vismaz stundu pievienot disku USB portam, lai akumulators varÄtu uzlÄdÄties. Starp citu, vienÄ no iepriekÅ”Äjiem materiÄliem
2. Kingston DataTraveler Locker+ G3
Ja mÄs runÄjam par Kingston modeli
Viens no jautÄjumiem, ko mums uzdod mÅ«su lasÄ«tÄji, ir: "Bet kÄ no dublÄjuma iegÅ«t Å”ifrÄtus datus?" Ä»oti vienkÄrÅ”i. Fakts ir tÄds, ka, veicot sinhronizÄciju ar mÄkoni, informÄcija tiek atÅ”ifrÄta, un dublÄjuma aizsardzÄ«ba mÄkonÄ« ir atkarÄ«ga no paÅ”a mÄkoÅa iespÄjÄm. TÄpÄc Å”Ädas procedÅ«ras tiek veiktas tikai pÄc lietotÄja ieskatiem. Bez viÅa atļaujas dati netiks augÅ”upielÄdÄti mÄkonÄ«.
3. Kingston DataTraveler Vault konfidencialitÄte 3.0
Bet Kingston ierīces
Kingston DT Vault Privacy 3.0 ir izstrÄdÄta un paredzÄta galvenokÄrt IT profesionÄļiem. Tas ļauj administratoriem to izmantot kÄ atseviŔķu disku vai pievienot to kÄ daļu no centralizÄta pÄrvaldÄ«bas risinÄjuma, kÄ arÄ« to var izmantot, lai konfigurÄtu vai attÄli atiestatÄ«tu paroles un konfigurÄtu ierÄ«ces politikas. Kingston pat pievienoja USB 3.0, kas ļauj pÄrsÅ«tÄ«t droÅ”us datus daudz ÄtrÄk nekÄ USB 2.0.
KopumÄ DT Vault Privacy 3.0 ir lieliska iespÄja korporatÄ«vajam sektoram un organizÄcijÄm, kurÄm nepiecieÅ”ama maksimÄla datu aizsardzÄ«ba. To var arÄ« ieteikt visiem lietotÄjiem, kuri izmanto datorus, kas atrodas publiskajos tÄ«klos.
Lai iegÅ«tu vairÄk informÄcijas par Kingston produktiem, sazinieties ar
Avots: www.habr.com