Сайн уу, Хабр! Бидний нэгэнд бичсэн сэтгэгдэл дээр
Програм хангамжийн шифрлэлт гэх мэт AES техник хангамжийн шифрлэлт нь удаан хугацааны туршид байсаар ирсэн боловч флаш диск дээрх эмзэг мэдээллийг яг яаж хамгаалдаг вэ? Ийм хөтчүүдийг хэн баталгаажуулдаг вэ, эдгээр гэрчилгээнд итгэж болох уу? Хэрэв та TrueCrypt эсвэл BitLocker зэрэг үнэгүй програмуудыг ашиглаж чадвал ийм "цогц" флаш дискүүд хэнд хэрэгтэй вэ. Таны харж байгаагаар сэтгэгдэл дээр асуусан сэдэв үнэхээр олон асуултыг төрүүлдэг. Бүгдийг ойлгохыг хичээцгээе.
Техник хангамжийн шифрлэлт нь програм хангамжийн шифрлэлтээс юугаараа ялгаатай вэ?
Флаш дискний хувьд (түүнчлэн HDD болон SSD) төхөөрөмжийн хэлхээний самбар дээр байрлах тусгай чипийг техник хангамжийн өгөгдлийн шифрлэлтийг хэрэгжүүлэхэд ашигладаг. Энэ нь шифрлэлтийн түлхүүр үүсгэдэг санамсаргүй тоо үүсгэгчтэй. Таныг хэрэглэгчийн нууц үгээ оруулахад өгөгдөл автоматаар шифрлэгдсэн бөгөөд шууд шифрлэгддэг. Энэ тохиолдолд нууц үггүйгээр өгөгдөлд хандах нь бараг боломжгүй юм.
Програм хангамжийн шифрлэлтийг ашиглах үед диск дээрх өгөгдлийг "түгжих" нь техник хангамжийн шифрлэлтийн аргуудаас хямд өртөгтэй гадаад програм хангамжаар хангадаг. Ийм програм хангамжийн сул тал нь байнга сайжирч байгаа хакердах арга техникийг эсэргүүцэхийн тулд тогтмол шинэчлэлт хийх шаардлага байж болно. Нэмж дурдахад, компьютерийн процессын хүчийг (тусдаа техник хангамжийн чип биш) өгөгдлийн кодыг тайлахад ашигладаг бөгөөд үнэндээ PC-ийн хамгаалалтын түвшин нь хөтчийн хамгаалалтын түвшинг тодорхойлдог.
Техник хангамжийн шифрлэлт бүхий хөтчүүдийн гол онцлог нь тусдаа криптограф процессор бөгөөд компьютерийн RAM эсвэл хатуу дискэнд түр хугацаагаар хадгалагдах програм хангамжийн түлхүүрүүдээс ялгаатай нь шифрлэлтийн түлхүүрүүд нь USB драйваас хэзээ ч гардаггүй гэдгийг бидэнд хэлдэг. Програм хангамжийн шифрлэлт нь нэвтрэх оролдлогын тоог хадгалахын тулд компьютерийн санах ойг ашигладаг тул нууц үг эсвэл түлхүүрийн эсрэг халдлагыг зогсоож чадахгүй. Нууц үг эвдэх автомат програм хүссэн хослолыг олох хүртэл нэвтрэх оролдлогын тоолуурыг халдагчид тасралтгүй шинэчилж болно.
Дашрамд хэлэхэд ..., нийтлэлийн сэтгэгдэлд "
Доод шугам: програм хангамжийн арга нь AES шифрлэлт шиг өндөр түвшний аюулгүй байдлыг хангадаггүй. Энэ нь илүү үндсэн хамгаалалт юм. Нөгөөтэйгүүр, чухал өгөгдлийн програм хангамжийн шифрлэлт нь огт шифрлээгүйгээс дээр хэвээр байна. Энэ баримт нь эдгээр төрлийн криптографийн хооронд тодорхой ялгах боломжийг бидэнд олгодог: флаш дискний техник хангамжийн шифрлэлт нь корпорацийн салбарт зайлшгүй шаардлагатай байдаг (жишээлбэл, компанийн ажилтнууд ажил дээрээ гаргасан хөтчүүдийг ашиглах үед); програм хангамж нь хэрэглэгчийн хэрэгцээнд илүү тохиромжтой.
Гэсэн хэдий ч Кингстон өөрийн хөтчийн загваруудаа (жишээ нь, IronKey S1000) үндсэн болон Enterprise хувилбарт хуваадаг. Функциональ байдал, хамгаалалтын шинж чанаруудын хувьд тэдгээр нь хоорондоо бараг адилхан боловч корпорацийн хувилбар нь SafeConsole/IronKey EMS программ хангамжийг ашиглан дискийг удирдах боломжийг санал болгодог. Энэхүү програм хангамжийн тусламжтайгаар диск нь нууц үгийн хамгаалалт болон хандалтын бодлогыг алсаас хэрэгжүүлэхийн тулд клоуд эсвэл дотоод серверүүдтэй ажилладаг. Хэрэглэгчдэд алдагдсан нууц үгээ сэргээх боломжийг олгож, администраторууд ашиглаагүй дискээ шинэ ажил руу шилжүүлэх боломжтой.
AES шифрлэлттэй Kingston флаш дискүүд хэрхэн ажилладаг вэ?
Kingston бүх аюулгүй хөтчүүддээ 256 битийн AES-XTS техник хангамжийн шифрлэлтийг (заавал биш бүрэн хэмжээний түлхүүр ашиглан) ашигладаг. Дээр дурьдсанчлан флаш дискүүд нь байнгын идэвхтэй санамсаргүй тоо үүсгэгчийн үүрэг гүйцэтгэдэг өгөгдлийг шифрлэх, тайлах тусдаа чипийг бүрэлдэхүүн хэсгүүдийн үндсэн хэсэгт агуулдаг.
Та төхөөрөмжийг USB порт руу анх удаа холбоход эхлүүлэх тохиргооны шидтэн танд төхөөрөмжид нэвтрэх үндсэн нууц үг тохируулахыг сануулна. Драйвыг идэвхжүүлсний дараа шифрлэлтийн алгоритмууд хэрэглэгчийн тохиргооны дагуу автоматаар ажиллаж эхэлнэ.
Үүний зэрэгцээ, хэрэглэгчийн хувьд флаш дискний ажиллах зарчим өөрчлөгдөхгүй хэвээр байх болно - тэр ердийн USB флаш дисктэй ажиллахтай адил төхөөрөмжийн санах ойд файлуудыг татаж авах, байрлуулах боломжтой хэвээр байх болно. Ганц ялгаа нь та флаш дискээ шинэ компьютерт холбохдоо мэдээлэлдээ нэвтрэхийн тулд тохируулсан нууц үгээ оруулах шаардлагатай болно.
Техник хангамжийн шифрлэлт бүхий флаш диск яагаад, хэнд хэрэгтэй вэ?
Нууц мэдээлэл нь бизнесийн нэг хэсэг (санхүү, эрүүл мэнд, засгийн газар) байдаг байгууллагуудын хувьд шифрлэлт нь хамгийн найдвартай хамгаалах хэрэгсэл юм.
- Компанийн нууц мэдээллийн аюулгүй байдлыг хангах
- Хэрэглэгчийн мэдээллийг хамгаалахын тулд
- Компаниудыг ашиг алдах, үйлчлүүлэгчийн үнэнч байдлаас хамгаалах
Зарим аюулгүй флаш диск үйлдвэрлэгчид (Кингстоныг оруулаад) корпорацуудад үйлчлүүлэгчдийн хэрэгцээ, зорилгод нийцүүлэн тохируулсан шийдлүүдийг санал болгодог гэдгийг тэмдэглэх нь зүйтэй. Гэхдээ олноор үйлдвэрлэсэн шугамууд (DataTraveler флаш дискийг оруулаад) даалгавраа төгс биелүүлж, корпорацийн зэрэглэлийн аюулгүй байдлыг хангах чадвартай.
1. Компанийн нууц мэдээллийн аюулгүй байдлыг хангах
2017 онд Лондонгийн нэгэн оршин суугч цэцэрлэгт хүрээлэнгүүдийн нэгээс Хитроу нисэх онгоцны буудлын аюулгүй байдалтай холбоотой нууц үгээр хамгаалагдаагүй мэдээлэл, тэр дундаа хяналтын камерын байршил, ирэх тохиолдолд аюулгүй байдлын арга хэмжээний талаар дэлгэрэнгүй мэдээлэл агуулсан USB диск илрүүлжээ. өндөр албан тушаалтнууд. Мөн флаш дискэнд нисэх онгоцны буудлын хязгаарлалтын бүсэд нэвтрэх цахим үнэмлэх болон нэвтрэх кодуудын талаарх мэдээлэл байсан.
Шинжээчдийн үзэж байгаагаар ийм нөхцөл байдлын шалтгаан нь компанийн ажилтнуудын цахим бичиг үсэг тайлагдаагүй, өөрсдийн хайхрамжгүй байдлаас болж нууц мэдээллийг задруулж чаддаг. Техник хангамжийн шифрлэлт бүхий флаш дискүүд нь энэ асуудлыг хэсэгчлэн шийддэг, учир нь ийм диск алдагдсан тохиолдолд та ижил хамгаалалтын албаны нууц үггүйгээр түүн дээрх өгөгдөлд хандах боломжгүй болно. Ямар ч тохиолдолд энэ нь шифрлэлтээр хамгаалагдсан төхөөрөмжүүдийн тухай ярьж байсан ч ажилтнууд флаш дисктэй ажиллахад сургагдсан байх ёстой гэдгийг үгүйсгэхгүй.
2. Хэрэглэгчийн мэдээллийг хамгаалах
Аливаа байгууллагын хувьд илүү чухал ажил бол үйлчлүүлэгчийн мэдээлэлд анхаарал тавих явдал бөгөөд энэ нь буулт хийх эрсдэлд өртөх ёсгүй. Дашрамд хэлэхэд, энэ мэдээлэл нь бизнесийн янз бүрийн салбаруудын хооронд ихэвчлэн дамждаг бөгөөд дүрмээр бол нууц байдаг: жишээлбэл, санхүүгийн гүйлгээ, эрүүл мэндийн түүх гэх мэт мэдээллийг агуулж болно.
3. Ашиг, үйлчлүүлэгчийн үнэнч байдлыг алдагдуулахаас хамгаалах
Техник хангамжийн шифрлэлт бүхий USB төхөөрөмжүүдийг ашиглах нь байгууллагуудыг сүйрүүлэх үр дагавраас урьдчилан сэргийлэхэд тусална. Хувийн мэдээллийг хамгаалах хуулийг зөрчсөн компаниуд их хэмжээний торгууль ногдуулдаг. Тиймээс асуулт асуух ёстой: зохих хамгаалалтгүйгээр мэдээлэл хуваалцах эрсдэлтэй юу?
Санхүүгийн нөлөөллийг харгалзахгүйгээр гарсан аюулгүй байдлын алдааг засахад зарцуулсан цаг хугацаа, нөөц нь мөн адил чухал байж болно. Нэмж дурдахад, хэрэв мэдээллийн зөрчил нь хэрэглэгчийн мэдээллийг алдагдуулдаг бол компани нь брэндэд үнэнч байх эрсдэлтэй, ялангуяа ижил төстэй бүтээгдэхүүн, үйлчилгээг санал болгодог өрсөлдөгчид байдаг зах зээлд.
Техник хангамжийн шифрлэлт бүхий флаш дискийг ашиглахдаа үйлдвэрлэгчээс "хавчуурга" байхгүй байх баталгааг хэн өгөх вэ?
Бидний хөндсөн сэдвийн хувьд энэ асуулт магадгүй гол асуултуудын нэг юм. Kingston DataTraveler хөтчүүдийн талаархи нийтлэлд бичсэн сэтгэгдлүүдийн дунд бид өөр нэг сонирхолтой асуулттай тулгарсан: "Таны төхөөрөмжүүд гуравдагч талын бие даасан мэргэжилтнүүдийн шалгалттай юу?" За ... энэ бол логик сонирхол юм: хэрэглэгчид манай USB хөтчүүд сул шифрлэлт эсвэл нууц үг оруулахыг тойрч гарах чадвар зэрэг нийтлэг алдаа байхгүй эсэхийг шалгахыг хүсдэг. Өгүүллийн энэ хэсэгт бид Кингстоны хөтчүүд үнэхээр аюулгүй флаш дискний статусыг хүлээн авахаасаа өмнө ямар гэрчилгээжүүлэх журамд хамрагддаг талаар ярих болно.
Найдвартай байдлыг хэн баталгаажуулах вэ? Бид "Кингстон үүнийг хийсэн - энэ нь баталгаатай" гэж хэлж болох юм шиг санагдаж байна. Гэхдээ энэ тохиолдолд үйлдвэрлэгч нь сонирхогч тал тул ийм мэдэгдэл буруу байх болно. Тиймээс бүх бүтээгдэхүүнийг бие даасан туршлагатай гуравдагч этгээдээр шалгадаг. Ялангуяа Kingston-ийн техник хангамжаар шифрлэгдсэн хөтчүүд (DTLPG3-аас бусад) нь Cryptographic Module Validation Program (CMVP)-ийн оролцогчид бөгөөд Холбооны Мэдээлэл Боловсруулах Стандартын (FIPS) гэрчилгээтэй байдаг. Мөн хөтчүүд нь GLBA, HIPPA, HITECH, PCI, GTSA стандартын дагуу баталгаажсан.
1. Криптографийн модулийг баталгаажуулах програм
CMVP хөтөлбөр нь АНУ-ын Худалдааны яамны Стандарт, технологийн үндэсний хүрээлэн болон Канадын кибер аюулгүй байдлын төвийн хамтарсан төсөл юм. Төслийн зорилго нь баталгаажсан криптографийн төхөөрөмжийн эрэлтийг өдөөж, тоног төхөөрөмж худалдан авахад ашигладаг холбооны агентлагууд болон зохицуулалттай үйлдвэрүүдэд (санхүү, эрүүл мэндийн байгууллагууд гэх мэт) аюулгүй байдлын хэмжүүрээр хангах явдал юм.
Төхөөрөмжүүдийг Үндэсний сайн дурын лабораторийн магадлан итгэмжлэлийн хөтөлбөр (NVLAP) -аар магадлан итгэмжлэгдсэн бие даасан криптограф болон аюулгүй байдлын туршилтын лабораториудаар криптограф болон аюулгүй байдлын шаардлагын дагуу туршина. Үүний зэрэгцээ лабораторийн тайлан бүрийг Холбооны мэдээлэл боловсруулах стандарт (FIPS) 140-2-д нийцэж байгаа эсэхийг шалгаж, CMVP-ээр баталгаажуулдаг.
FIPS 140-2 стандартад нийцсэн гэж баталгаажсан модулиудыг АНУ болон Канадын холбооны агентлагууд 22 оны 2026-р сарын 22 хүртэл ашиглахыг зөвлөж байна. Үүний дараа тэдгээрийг ашиглах боломжтой хэвээр байгаа ч архивын жагсаалтад оруулах болно. 2020 оны 140-р сарын 3-нд FIPS XNUMX-XNUMX стандартын дагуу баталгаажуулах өргөдлийг хүлээн авах ажил дууссан. Төхөөрөмжүүд шалгалтанд тэнцсэний дараа тэдгээрийг таван жилийн турш туршсан, итгэмжлэгдсэн төхөөрөмжүүдийн идэвхтэй жагсаалтад шилжүүлэх болно. Хэрэв криптограф төхөөрөмж баталгаажуулалтад тэнцээгүй бол түүнийг АНУ, Канадын төрийн байгууллагуудад ашиглахыг зөвлөдөггүй.
2. FIPS гэрчилгээ нь аюулгүй байдлын ямар шаардлагыг тавьдаг вэ?
Баталгаажаагүй шифрлэгдсэн драйваас өгөгдлийг хакердах нь хэцүү бөгөөд цөөхөн хүн хийж чаддаг тул гэр ахуйн гэрчилгээтэй хэрэглэгчийн дискийг сонгохдоо та санаа зовох хэрэггүй болно. Корпорацийн салбарт байдал өөр байна: аюулгүй USB хөтчүүдийг сонгохдоо компаниуд FIPS гэрчилгээний түвшинг чухалчилдаг. Гэсэн хэдий ч хүн бүр эдгээр түвшин ямар утгатай болохыг тодорхой мэдэхгүй байна.
Одоогийн FIPS 140-2 стандарт нь флаш дискний аюулгүй байдлын дөрвөн өөр түвшинг тодорхойлдог. Эхний түвшин нь дунд зэргийн хамгаалалтын функцийг хангадаг. Дөрөв дэх түвшин нь төхөөрөмжийг өөрийгөө хамгаалах хатуу шаардлагыг илэрхийлдэг. Хоёр ба гуравдугаар түвшин нь эдгээр шаардлагын зэрэглэлийг өгч, нэг төрлийн алтан дундажийг бүрдүүлдэг.
- XNUMX-р түвшний аюулгүй байдал: XNUMX-р түвшний баталгаажсан USB хөтчүүдэд дор хаяж нэг шифрлэлтийн алгоритм эсвэл бусад хамгаалалтын функц шаардлагатай.
- Аюулгүй байдлын хоёр дахь түвшин: энд хөтөч нь зөвхөн криптографийн хамгаалалтыг хангахаас гадна хэн нэгэн дискийг нээхийг оролдвол програм хангамжийн түвшинд зөвшөөрөлгүй халдлагыг илрүүлэх шаардлагатай.
- Аюулгүй байдлын гурав дахь түвшин: шифрлэлтийн "түлхүүрүүдийг" устгах замаар хакердахаас сэргийлнэ. Өөрөөр хэлбэл, нэвтрэх оролдлогод хариу өгөх шаардлагатай. Гурав дахь түвшин нь цахилгаан соронзон хөндлөнгийн оролцооноос илүү өндөр түвшний хамгаалалтыг баталгаажуулдаг: өөрөөр хэлбэл утасгүй хакердах төхөөрөмж ашиглан флаш дискнээс өгөгдлийг унших нь ажиллахгүй болно.
- Дөрөв дэх аюулгүй байдлын түвшин: криптограф модулийн бүрэн хамгаалалтыг багтаасан хамгийн дээд түвшин бөгөөд энэ нь зөвшөөрөлгүй хэрэглэгчийн зөвшөөрөлгүй нэвтрэх оролдлогыг илрүүлэх, эсэргүүцэх хамгийн их боломжийг олгодог. Дөрөв дэх түвшний гэрчилгээ авсан флаш дискүүд нь хүчдэл ба орчны температурыг өөрчлөх замаар хакердахыг зөвшөөрдөггүй хамгаалалтын сонголтуудыг агуулдаг.
Дараах Kingston хөтчүүд нь FIPS 140-2 2000-р түвшний гэрчилгээтэй: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. Эдгээр хөтчүүдийн гол онцлог нь халдлагын оролдлогод хариу өгөх чадвар юм: хэрэв нууц үгийг XNUMX удаа буруу оруулсан бол хөтөч дээрх өгөгдөл устах болно.
Kingston флаш дискүүд шифрлэлтээс өөр юу хийж чадах вэ?
Мэдээллийн бүрэн аюулгүй байдлын тухайд флэш дискний техник хангамжийн шифрлэлт, суурилуулсан вирусны эсрэг програм, гадны нөлөөллөөс хамгаалах, хувийн үүлтэй синхрончлол болон доор хэлэлцэх бусад функцууд аврах ажилд ирнэ. Програм хангамжийн шифрлэлттэй флаш дискний хувьд тийм ч их ялгаа байхгүй. Чөтгөр нь нарийн ширийн зүйлд байдаг. Тэгээд энд юу байна.
1. Kingston DataTraveler 2000
Жишээлбэл, USB дискийг авч үзье.
DataTraveler 2000 дотор 40 мАч лити полимер батерей байгаа бөгөөд Кингстон худалдан авагчдад дискээ ашиглахаасаа өмнө ядаж нэг цагийн турш USB порт руу залгаж зайгаа цэнэглэхийг зөвлөж байна. Дашрамд хэлэхэд, өмнөх материалуудын аль нэгэнд
2. Kingston DataTraveler Locker+ G3
Хэрэв бид Кингстоны загварын талаар ярих юм бол
Уншигчдын маань асуудаг асуултуудын нэг бол: "Гэхдээ нөөцлөлтөөс шифрлэгдсэн өгөгдлийг хэрхэн авах вэ?" Маш энгийн. Баримт нь үүлтэй синхрончлох үед мэдээллийг тайлж, үүлэн дээрх нөөцлөлтийг хамгаалах нь үүлний чадвараас хамаардаг. Тиймээс ийм журмыг зөвхөн хэрэглэгчийн үзэмжээр гүйцэтгэдэг. Түүний зөвшөөрөлгүйгээр үүлэнд ямар ч өгөгдөл байршуулахгүй.
3. Kingston DataTraveler Vault нууцлал 3.0
Гэхдээ Кингстоны төхөөрөмжүүд
Kingston DT Vault Privacy 3.0 нь үндсэндээ мэдээллийн технологийн мэргэжилтнүүдэд зориулагдсан. Энэ нь администраторуудад үүнийг бие даасан диск болгон ашиглах эсвэл төвлөрсөн удирдлагын шийдлийн нэг хэсэг болгон нэмэх боломжийг олгодог бөгөөд нууц үгийг тохируулах, алсаас шинэчлэх, төхөөрөмжийн бодлогыг тохируулахад ашиглаж болно. Кингстон бүр USB 3.0-ийг нэмсэн бөгөөд энэ нь танд USB 2.0-ээс хамаагүй хурдан найдвартай өгөгдлийг дамжуулах боломжийг олгодог.
Ерөнхийдөө DT Vault Privacy 3.0 нь өгөгдлөө дээд зэргээр хамгаалах шаардлагатай корпорацийн салбар болон байгууллагуудын хувьд маш сайн сонголт юм. Үүнийг нийтийн сүлжээнд байрладаг компьютер ашигладаг бүх хэрэглэгчдэд санал болгож болно.
Kingston бүтээгдэхүүний талаар дэлгэрэнгүй мэдээлэл авахыг хүсвэл холбоо барина уу
Эх сурвалж: www.habr.com