Hello, Habr! Dalam komen kepada salah seorang daripada kami pembaca bertanya soalan yang menarik: "Mengapa anda memerlukan pemacu kilat dengan penyulitan perkakasan apabila TrueCrypt tersedia?" - dan juga menyatakan beberapa kebimbangan tentang "Bagaimana anda boleh memastikan bahawa tiada penanda halaman dalam perisian dan perkakasan pemacu Kingston ?β Kami menjawab soalan-soalan ini dengan ringkas, tetapi kemudian memutuskan bahawa topik itu patut mendapat analisis asas. Inilah yang akan kami lakukan dalam entri ini.
Penyulitan perkakasan AES, seperti penyulitan perisian, telah wujud sejak sekian lama, tetapi bagaimana sebenarnya ia melindungi data sensitif pada pemacu kilat? Siapa yang memperakui pemacu sedemikian, dan bolehkah pensijilan ini dipercayai? Siapa yang memerlukan pemacu kilat "kompleks" sedemikian jika anda boleh menggunakan program percuma seperti TrueCrypt atau BitLocker. Seperti yang anda lihat, topik yang ditanya dalam komen benar-benar menimbulkan banyak persoalan. Mari cuba fikirkan semuanya.
Bagaimanakah penyulitan perkakasan berbeza daripada penyulitan perisian?
Dalam kes pemacu kilat (serta HDD dan SSD), cip khas yang terletak pada papan litar peranti digunakan untuk melaksanakan penyulitan data perkakasan. Ia mempunyai penjana nombor rawak terbina dalam yang menjana kunci penyulitan. Data disulitkan secara automatik dan dinyahsulit serta-merta apabila anda memasukkan kata laluan pengguna anda. Dalam senario ini, hampir mustahil untuk mengakses data tanpa kata laluan.
Apabila menggunakan penyulitan perisian, "mengunci" data pada pemacu disediakan oleh perisian luaran, yang bertindak sebagai alternatif kos rendah kepada kaedah penyulitan perkakasan. Kelemahan perisian sedemikian mungkin termasuk keperluan biasa untuk kemas kini biasa untuk menawarkan rintangan kepada teknik penggodaman yang sentiasa bertambah baik. Di samping itu, kuasa proses komputer (bukannya cip perkakasan berasingan) digunakan untuk menyahsulit data, dan, sebenarnya, tahap perlindungan PC menentukan tahap perlindungan pemacu.
Ciri utama pemacu dengan penyulitan perkakasan ialah pemproses kriptografi yang berasingan, yang kehadirannya memberitahu kami bahawa kunci penyulitan tidak pernah meninggalkan pemacu USB, tidak seperti kunci perisian yang boleh disimpan sementara dalam RAM atau cakera keras komputer. Dan kerana penyulitan perisian menggunakan memori PC untuk menyimpan bilangan percubaan log masuk, ia tidak dapat menghentikan serangan kekerasan pada kata laluan atau kunci. Kaunter percubaan log masuk boleh ditetapkan semula secara berterusan oleh penyerang sehingga program pemecahan kata laluan automatik menemui gabungan yang diingini.
By the way..., dalam ulasan artikel β"Pengguna juga menyatakan bahawa, sebagai contoh, program TrueCrypt mempunyai mod pengendalian mudah alih. Walau bagaimanapun, ini bukanlah satu kelebihan yang besar. Hakikatnya ialah dalam kes ini program penyulitan disimpan dalam ingatan pemacu kilat, dan ini menjadikannya lebih terdedah kepada serangan.
Intinya: pendekatan perisian tidak menyediakan tahap keselamatan setinggi penyulitan AES. Ia lebih kepada pertahanan asas. Sebaliknya, penyulitan perisian data penting masih lebih baik daripada tiada penyulitan langsung. Dan fakta ini membolehkan kita membezakan dengan jelas antara jenis kriptografi ini: penyulitan perkakasan pemacu kilat adalah satu keperluan, sebaliknya, untuk sektor korporat (contohnya, apabila pekerja syarikat menggunakan pemacu yang dikeluarkan di tempat kerja); dan perisian lebih sesuai untuk keperluan pengguna.
Walau bagaimanapun, Kingston membahagikan model pemacunya (contohnya, IronKey S1000) kepada versi Asas dan Perusahaan. Dari segi fungsi dan sifat perlindungan, ia hampir sama antara satu sama lain, tetapi versi korporat menawarkan keupayaan untuk mengurus pemacu menggunakan perisian SafeConsole/IronKey EMS. Dengan perisian ini, pemacu berfungsi dengan sama ada pelayan awan atau tempatan untuk menguatkuasakan perlindungan kata laluan dan dasar akses dari jauh. Pengguna diberi peluang untuk memulihkan kata laluan yang hilang dan pentadbir boleh menukar pemacu yang tidak lagi digunakan kepada tugas baharu.
Bagaimanakah pemacu kilat Kingston dengan penyulitan AES berfungsi?
Kingston menggunakan penyulitan perkakasan AES-XTS 256-bit (menggunakan kunci panjang penuh pilihan) untuk semua pemacu selamatnya. Seperti yang kami nyatakan di atas, pemacu kilat mengandungi dalam pangkalan komponennya cip berasingan untuk menyulitkan dan menyahsulit data, yang bertindak sebagai penjana nombor rawak yang sentiasa aktif.
Apabila anda menyambungkan peranti ke port USB buat kali pertama, Wizard Persediaan Permulaan menggesa anda untuk menetapkan kata laluan induk untuk mengakses peranti. Selepas mengaktifkan pemacu, algoritma penyulitan akan mula berfungsi secara automatik mengikut keutamaan pengguna.
Pada masa yang sama, bagi pengguna, prinsip operasi pemacu denyar akan kekal tidak berubah - dia masih boleh memuat turun dan meletakkan fail dalam memori peranti, seperti ketika bekerja dengan pemacu kilat USB biasa. Satu-satunya perbezaan ialah apabila anda menyambungkan pemacu kilat ke komputer baharu, anda perlu memasukkan kata laluan yang ditetapkan untuk mendapatkan akses kepada maklumat anda.
Mengapa dan siapa yang memerlukan pemacu kilat dengan penyulitan perkakasan?
Bagi organisasi yang data sensitif adalah sebahagian daripada perniagaan (sama ada kewangan, penjagaan kesihatan atau kerajaan), penyulitan ialah cara perlindungan yang paling boleh dipercayai. Penyulitan perkakasan AES ialah penyelesaian berskala yang boleh digunakan oleh mana-mana syarikat: daripada individu dan perniagaan kecil kepada syarikat besar, serta organisasi tentera dan kerajaan. Untuk melihat isu ini dengan lebih khusus, menggunakan pemacu USB yang disulitkan adalah perlu:
- Untuk memastikan keselamatan data syarikat sulit
- Untuk melindungi maklumat pelanggan
- Untuk melindungi syarikat daripada kehilangan keuntungan dan kesetiaan pelanggan
Perlu diingat bahawa sesetengah pengeluar pemacu kilat selamat (termasuk Kingston) menyediakan syarikat penyelesaian tersuai yang direka bentuk untuk memenuhi keperluan dan objektif pelanggan. Tetapi talian yang dihasilkan secara besar-besaran (termasuk pemacu kilat DataTraveler) mengatasi tugas mereka dengan sempurna dan mampu menyediakan keselamatan kelas korporat.
1. Memastikan keselamatan data syarikat sulit
Pada tahun 2017, seorang penduduk London menemui pemacu USB di salah satu taman yang mengandungi maklumat tidak dilindungi kata laluan yang berkaitan dengan keselamatan Lapangan Terbang Heathrow, termasuk lokasi kamera pengawasan dan maklumat terperinci tentang langkah keselamatan sekiranya ketibaan pegawai tinggi. Pemacu kilat itu juga mengandungi data mengenai pas elektronik dan kod akses ke kawasan larangan lapangan terbang.
Penganalisis berkata sebab situasi sedemikian adalah buta huruf siber pekerja syarikat, yang boleh "membocorkan" data rahsia melalui kecuaian mereka sendiri. Pemacu kilat dengan penyulitan perkakasan sebahagiannya menyelesaikan masalah ini, kerana jika pemacu sedemikian hilang, anda tidak akan dapat mengakses data padanya tanpa kata laluan induk pegawai keselamatan yang sama. Walau apa pun, ini tidak menafikan fakta bahawa pekerja mesti dilatih untuk mengendalikan pemacu kilat, walaupun kita bercakap tentang peranti yang dilindungi oleh penyulitan.
2. Melindungi maklumat pelanggan
Tugas yang lebih penting bagi mana-mana organisasi ialah menjaga data pelanggan, yang tidak sepatutnya tertakluk kepada risiko kompromi. Ngomong-ngomong, maklumat inilah yang paling kerap dipindahkan antara sektor perniagaan yang berbeza dan, sebagai peraturan, adalah sulit: sebagai contoh, ia mungkin mengandungi data mengenai transaksi kewangan, sejarah perubatan, dsb.
3. Perlindungan terhadap kehilangan keuntungan dan kesetiaan pelanggan
Menggunakan peranti USB dengan penyulitan perkakasan boleh membantu mencegah akibat yang memusnahkan organisasi. Syarikat yang melanggar undang-undang perlindungan data peribadi boleh didenda dengan jumlah yang besar. Oleh itu, soalan mesti ditanya: adakah patut mengambil risiko berkongsi maklumat tanpa perlindungan yang sewajarnya?
Walaupun tanpa mengambil kira kesan kewangan, jumlah masa dan sumber yang dibelanjakan untuk membetulkan pepijat keselamatan yang berlaku boleh menjadi sama penting. Selain itu, jika pelanggaran data menjejaskan data pelanggan, syarikat itu mempertaruhkan kesetiaan jenama, terutamanya dalam pasaran yang terdapat pesaing yang menawarkan produk atau perkhidmatan yang serupa.
Siapa yang menjamin ketiadaan "penanda halaman" daripada pengilang apabila menggunakan pemacu kilat dengan penyulitan perkakasan?
Dalam topik yang kami bangkitkan, soalan ini mungkin salah satu yang utama. Antara komen pada artikel tentang pemacu Kingston DataTraveler, kami menemui satu lagi soalan menarik: "Adakah peranti anda mempunyai audit daripada pakar bebas pihak ketiga?" Nah... ini minat logik: pengguna ingin memastikan pemacu USB kami tidak mengandungi ralat biasa, seperti penyulitan lemah atau keupayaan untuk memintas kemasukan kata laluan. Dan dalam bahagian artikel ini kita akan bercakap tentang prosedur pensijilan yang dilalui oleh Kingston sebelum menerima status pemacu kilat yang benar-benar selamat.
Siapa yang menjamin kebolehpercayaan? Nampaknya kita boleh mengatakan bahawa, "Kingston berjaya - ia menjaminnya." Tetapi dalam kes ini, pernyataan sedemikian akan menjadi tidak betul, kerana pengilang adalah pihak yang berminat. Oleh itu, semua produk diuji oleh pihak ketiga dengan kepakaran bebas. Khususnya, pemacu disulitkan perkakasan Kingston (kecuali DTLPG3) adalah peserta dalam Program Pengesahan Modul Kriptografi (CMVP) dan diperakui oleh Piawaian Pemprosesan Maklumat Persekutuan (FIPS). Pemacu juga diperakui mengikut piawaian GLBA, HIPPA, HITECH, PCI dan GTSA.
1. Program pengesahan modul kriptografi
Program CMVP ialah projek bersama Institut Piawaian dan Teknologi Kebangsaan Jabatan Perdagangan AS dan Pusat Keselamatan Siber Kanada. Matlamat projek adalah untuk merangsang permintaan untuk peranti kriptografi yang terbukti dan menyediakan metrik keselamatan kepada agensi persekutuan dan industri terkawal (seperti institusi kewangan dan penjagaan kesihatan) yang digunakan dalam pemerolehan peralatan.
Peranti diuji terhadap satu set keperluan kriptografi dan keselamatan oleh kriptografi bebas dan makmal ujian keselamatan yang diakreditasi oleh Program Akreditasi Makmal Sukarela Kebangsaan (NVLAP). Pada masa yang sama, setiap laporan makmal diperiksa untuk pematuhan Piawaian Pemprosesan Maklumat Persekutuan (FIPS) 140-2 dan disahkan oleh CMVP.
Modul yang disahkan sebagai mematuhi FIPS 140-2 disyorkan untuk digunakan oleh agensi persekutuan AS dan Kanada sehingga 22 September 2026. Selepas ini, mereka akan dimasukkan ke dalam senarai arkib, walaupun mereka masih boleh digunakan. Pada 22 September 2020, penerimaan permohonan untuk pengesahan mengikut piawaian FIPS 140-3 telah tamat. Setelah peranti lulus semakan, peranti itu akan dialihkan ke senarai aktif peranti yang diuji dan dipercayai selama lima tahun. Jika peranti kriptografi tidak lulus pengesahan, penggunaannya di agensi kerajaan di Amerika Syarikat dan Kanada tidak disyorkan.
2. Apakah keperluan keselamatan yang dikenakan oleh pensijilan FIPS?
Menggodam data walaupun daripada pemacu disulitkan yang tidak diperakui adalah sukar dan hanya sedikit orang yang boleh melakukannya, jadi apabila memilih pemacu pengguna untuk kegunaan rumah dengan pensijilan, anda tidak perlu bersusah payah. Dalam sektor korporat, keadaannya berbeza: apabila memilih pemacu USB yang selamat, syarikat sering mementingkan tahap pensijilan FIPS. Walau bagaimanapun, tidak semua orang mempunyai idea yang jelas tentang maksud tahap ini.
Piawaian FIPS 140-2 semasa mentakrifkan empat tahap keselamatan berbeza yang boleh dipenuhi oleh pemacu kilat. Tahap pertama menyediakan set ciri keselamatan yang sederhana. Tahap keempat membayangkan keperluan ketat untuk perlindungan diri peranti. Tahap dua dan tiga memberikan penggredan keperluan ini dan membentuk sejenis min emas.
- Keselamatan Tahap XNUMX: Pemacu USB diperakui Tahap XNUMX memerlukan sekurang-kurangnya satu algoritma penyulitan atau ciri keselamatan lain.
- Tahap keselamatan kedua: di sini pemacu diperlukan bukan sahaja untuk menyediakan perlindungan kriptografi, tetapi juga untuk mengesan pencerobohan yang tidak dibenarkan pada peringkat perisian tegar jika seseorang cuba membuka pemacu.
- Tahap keselamatan ketiga: melibatkan pencegahan penggodaman dengan memusnahkan "kunci" penyulitan. Iaitu, tindak balas terhadap percubaan penembusan diperlukan. Juga, tahap ketiga menjamin tahap perlindungan yang lebih tinggi terhadap gangguan elektromagnet: iaitu membaca data dari pemacu kilat menggunakan peranti penggodaman wayarles tidak akan berfungsi.
- Tahap keselamatan keempat: tahap tertinggi, yang melibatkan perlindungan lengkap modul kriptografi, yang memberikan kebarangkalian maksimum pengesanan dan tindakan balas terhadap sebarang percubaan akses tanpa kebenaran oleh pengguna yang tidak dibenarkan. Pemacu kilat yang telah menerima sijil tahap keempat juga termasuk pilihan perlindungan yang tidak membenarkan penggodaman dengan menukar voltan dan suhu ambien.
Pemacu Kingston berikut diperakui untuk FIPS 140-2 Tahap 2000: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. Ciri utama pemacu ini ialah keupayaannya untuk bertindak balas terhadap percubaan pencerobohan: jika kata laluan dimasukkan dengan salah XNUMX kali, data pada pemacu akan dimusnahkan.
Apa lagi yang boleh dilakukan oleh pemacu kilat Kingston selain penyulitan?
Apabila ia datang untuk melengkapkan keselamatan data, bersama-sama dengan penyulitan perkakasan pemacu kilat, antivirus terbina dalam, perlindungan daripada pengaruh luaran, penyegerakan dengan awan peribadi dan ciri lain yang akan kami bincangkan di bawah datang untuk menyelamatkan. Tiada perbezaan besar dalam pemacu kilat dengan penyulitan perisian. Syaitan ada dalam butirannya. Dan inilah yang.
1. Kingston DataTraveler 2000
Mari kita ambil pemacu USB sebagai contoh. . Ini adalah salah satu pemacu kilat dengan penyulitan perkakasan, tetapi pada masa yang sama satu-satunya dengan papan kekunci fizikalnya sendiri pada kes itu. Pad kekunci 11 butang ini menjadikan DT2000 bebas sepenuhnya daripada sistem hos (untuk menggunakan DataTraveler 2000, anda mesti menekan butang Kekunci, kemudian masukkan kata laluan anda, dan tekan butang Kekunci sekali lagi). Di samping itu, pemacu kilat ini mempunyai tahap perlindungan IP57 terhadap air dan habuk (yang menghairankan, Kingston tidak menyatakan ini di mana-mana sama ada pada pembungkusan atau dalam spesifikasi di laman web rasmi).
Terdapat bateri polimer litium 2000mAh di dalam DataTraveler 40, dan Kingston menasihatkan pembeli untuk memasangkan pemacu ke dalam port USB selama sekurang-kurangnya sejam sebelum menggunakannya untuk membolehkan bateri dicas. By the way, dalam salah satu bahan sebelumnya : Tiada sebab untuk bimbang - pemacu denyar tidak diaktifkan dalam pengecas kerana tiada permintaan kepada pengawal oleh sistem. Oleh itu, tiada siapa yang akan mencuri data anda melalui pencerobohan tanpa wayar.
2. Kingston DataTraveler Locker+ G3
Jika kita bercakap tentang model Kingston β ia menarik perhatian dengan keupayaan untuk mengkonfigurasi sandaran data daripada pemacu kilat ke storan awan Google, OneDrive, Amazon Cloud atau Dropbox. Penyegerakan data dengan perkhidmatan ini juga disediakan.
Salah satu soalan yang ditanya oleh pembaca kami ialah: "Tetapi bagaimana untuk mengambil data yang disulitkan daripada sandaran?" Sangat ringkas. Hakikatnya ialah apabila menyegerakkan dengan awan, maklumat itu dinyahsulit, dan perlindungan sandaran pada awan bergantung pada keupayaan awan itu sendiri. Oleh itu, prosedur sedemikian dilakukan semata-mata mengikut budi bicara pengguna. Tanpa kebenarannya, tiada data akan dimuat naik ke awan.
3. Kingston DataTraveler Vault Privasi 3.0
Tetapi peranti Kingston Ia juga disertakan dengan antivirus Drive Security terbina dalam daripada ESET. Yang terakhir melindungi data daripada pencerobohan pemacu USB oleh virus, perisian pengintip, Trojan, worm, rootkit, dan sambungan ke komputer orang lain, seseorang mungkin berkata, ia tidak takut. Antivirus akan serta-merta memberi amaran kepada pemilik pemacu tentang kemungkinan ancaman, jika ada yang dikesan. Dalam kes ini, pengguna tidak perlu memasang sendiri perisian anti-virus dan membayar untuk pilihan ini. ESET Drive Security diprapasang pada pemacu kilat dengan lesen lima tahun.
Kingston DT Vault Privacy 3.0 direka dan disasarkan terutamanya kepada profesional IT. Ia membenarkan pentadbir menggunakannya sebagai pemacu kendiri atau menambahkannya sebagai sebahagian daripada penyelesaian pengurusan berpusat, dan juga boleh digunakan untuk mengkonfigurasi atau menetapkan semula kata laluan dari jauh dan mengkonfigurasi dasar peranti. Kingston juga menambahkan USB 3.0, yang membolehkan anda memindahkan data selamat lebih cepat daripada USB 2.0.
Secara keseluruhan, DT Vault Privacy 3.0 ialah pilihan yang sangat baik untuk sektor korporat dan organisasi yang memerlukan perlindungan maksimum bagi data mereka. Ia juga boleh disyorkan kepada semua pengguna yang menggunakan komputer yang terletak di rangkaian awam.
Untuk maklumat lanjut tentang produk Kingston, hubungi .
Sumber: www.habr.com