Hallo, Habr! In de reacties op een van onze lezers stelden een interessante vraag: "Waarom heb je een flashdrive met hardware-encryptie nodig als TrueCrypt beschikbaar is?" - en uitten zelfs enkele zorgen over "Hoe kun je ervoor zorgen dat er geen bladwijzers zijn in de software en hardware van een Kingston-schijf ?” We beantwoordden deze vragen bondig, maar besloten toen dat het onderwerp een fundamentele analyse verdiende. Dit is wat we in dit bericht gaan doen.
AES-hardware-encryptie bestaat, net als software-encryptie, al heel lang, maar hoe beschermt het precies gevoelige gegevens op flashdrives? Wie certificeert dergelijke schijven en zijn deze certificeringen te vertrouwen? Wie heeft zulke ‘complexe’ flashdrives nodig als je gratis programma’s als TrueCrypt of BitLocker kunt gebruiken? Zoals je kunt zien, roept het onderwerp dat in de reacties wordt gesteld echt veel vragen op. Laten we proberen het allemaal uit te zoeken.
Hoe verschilt hardware-encryptie van software-encryptie?
In het geval van flashdrives (evenals HDD's en SSD's) wordt een speciale chip op de printplaat van het apparaat gebruikt om hardwaregegevensversleuteling te implementeren. Het heeft een ingebouwde generator voor willekeurige getallen die coderingssleutels genereert. Gegevens worden automatisch gecodeerd en onmiddellijk gedecodeerd wanneer u uw gebruikerswachtwoord invoert. In dit scenario is het vrijwel onmogelijk om zonder wachtwoord toegang te krijgen tot de gegevens.
Bij gebruik van software-encryptie wordt het “vergrendelen” van de gegevens op de schijf verzorgd door externe software, die fungeert als een goedkoop alternatief voor hardware-encryptiemethoden. Nadelen van dergelijke software kunnen onder meer zijn dat er regelmatig updates nodig zijn om weerstand te bieden tegen steeds betere hacktechnieken. Bovendien wordt de kracht van een computerproces (in plaats van een afzonderlijke hardwarechip) gebruikt om gegevens te decoderen, en in feite bepaalt het beschermingsniveau van de pc het beschermingsniveau van de schijf.
Het belangrijkste kenmerk van schijven met hardware-encryptie is een afzonderlijke cryptografische processor, waarvan de aanwezigheid ons vertelt dat encryptiesleutels de USB-drive nooit verlaten, in tegenstelling tot softwaresleutels die tijdelijk kunnen worden opgeslagen in het RAM-geheugen of de harde schijf van de computer. En omdat software-encryptie gebruikmaakt van pc-geheugen om het aantal inlogpogingen op te slaan, kan het geen brute force-aanvallen op een wachtwoord of sleutel stoppen. De teller van de inlogpogingen kan continu door een aanvaller worden gereset totdat het automatische programma voor het kraken van wachtwoorden de gewenste combinatie vindt.
Trouwens..., in de reacties op het artikel ““Gebruikers merkten ook op dat het TrueCrypt-programma bijvoorbeeld een draagbare bedieningsmodus heeft. Dit is echter geen groot voordeel. Feit is dat in dit geval het coderingsprogramma wordt opgeslagen in het geheugen van de flashdrive, waardoor het kwetsbaarder wordt voor aanvallen.
Kortom: de softwarebenadering biedt niet zo’n hoog beveiligingsniveau als AES-encryptie. Het is meer een basisverdediging. Aan de andere kant is softwarematige versleuteling van belangrijke gegevens nog steeds beter dan helemaal geen versleuteling. En dit feit stelt ons in staat een duidelijk onderscheid te maken tussen dit soort cryptografie: hardware-encryptie van flashdrives is eerder een noodzaak voor het bedrijfsleven (bijvoorbeeld wanneer bedrijfsmedewerkers schijven gebruiken die op het werk zijn uitgegeven); en software is beter geschikt voor gebruikersbehoeften.
Kingston verdeelt zijn schijfmodellen (bijvoorbeeld IronKey S1000) echter in Basic- en Enterprise-versies. Qua functionaliteit en beschermingseigenschappen zijn ze vrijwel identiek aan elkaar, maar de bedrijfsversie biedt de mogelijkheid om de schijf te beheren met behulp van SafeConsole/IronKey EMS-software. Met deze software werkt de schijf met cloud- of lokale servers om op afstand wachtwoordbeveiliging en toegangsbeleid af te dwingen. Gebruikers krijgen de mogelijkheid om verloren wachtwoorden te herstellen en beheerders kunnen schijven die niet langer in gebruik zijn, overzetten naar nieuwe taken.
Hoe werken Kingston-flashdrives met AES-codering?
Kingston gebruikt 256-bit AES-XTS hardware-encryptie (met behulp van een optionele sleutel van volledige lengte) voor al zijn beveiligde schijven. Zoals we hierboven hebben opgemerkt, bevatten flashdrives in hun componentenbasis een afzonderlijke chip voor het coderen en decoderen van gegevens, die fungeert als een constant actieve generator van willekeurige getallen.
Wanneer u een apparaat voor de eerste keer op een USB-poort aansluit, vraagt de Initialisatie-installatiewizard u om een hoofdwachtwoord in te stellen om toegang te krijgen tot het apparaat. Nadat de schijf is geactiveerd, beginnen de coderingsalgoritmen automatisch te werken in overeenstemming met de gebruikersvoorkeuren.
Tegelijkertijd blijft voor de gebruiker het werkingsprincipe van de flashdrive ongewijzigd: hij kan nog steeds bestanden downloaden en in het geheugen van het apparaat plaatsen, net als wanneer hij met een gewone USB-flashdrive werkt. Het enige verschil is dat wanneer u de flashdrive op een nieuwe computer aansluit, u het ingestelde wachtwoord moet invoeren om toegang te krijgen tot uw gegevens.
Waarom en wie heeft flashdrives met hardware-encryptie nodig?
Voor organisaties waar gevoelige gegevens deel uitmaken van de bedrijfsvoering (financieel, gezondheidszorg of overheid), is encryptie het meest betrouwbare beschermingsmiddel. AES-hardware-encryptie is een schaalbare oplossing die door elk bedrijf kan worden gebruikt: van particulieren en kleine bedrijven tot grote bedrijven, maar ook door militaire en overheidsorganisaties. Om dit probleem wat specifieker te bekijken, is het gebruik van gecodeerde USB-drives noodzakelijk:
- Om de veiligheid van vertrouwelijke bedrijfsgegevens te waarborgen
- Om klantinformatie te beschermen
- Om bedrijven te beschermen tegen winstderving en klantenloyaliteit
Het is vermeldenswaard dat sommige fabrikanten van veilige flashdrives (waaronder Kingston) bedrijven maatwerkoplossingen bieden die zijn ontworpen om aan de behoeften en doelstellingen van klanten te voldoen. Maar de in massa geproduceerde lijnen (inclusief DataTraveler-flashdrives) kunnen hun taken perfect aan en zijn in staat beveiliging op bedrijfsniveau te bieden.
1. Het waarborgen van de veiligheid van vertrouwelijke bedrijfsgegevens
In 2017 ontdekte een inwoner van Londen in een van de parken een USB-stick die niet met een wachtwoord beveiligde informatie bevatte met betrekking tot de veiligheid van de luchthaven Heathrow, waaronder de locatie van bewakingscamera’s en gedetailleerde informatie over veiligheidsmaatregelen in het geval van de aankomst van hoge ambtenaren. De flashdrive bevatte ook gegevens over elektronische passen en toegangscodes voor beperkte delen van de luchthaven.
Analisten zeggen dat de reden voor dergelijke situaties het cybergeletterdheid van werknemers van het bedrijf is, die door hun eigen nalatigheid geheime gegevens kunnen ‘lekken’. Flash-drives met hardware-encryptie lossen dit probleem gedeeltelijk op, want als zo'n drive verloren gaat, heb je geen toegang tot de gegevens erop zonder het hoofdwachtwoord van dezelfde beveiligingsfunctionaris. Dit neemt in ieder geval niet weg dat werknemers moeten worden opgeleid om met flashdrives om te gaan, ook als het gaat om apparaten die zijn beveiligd met encryptie.
2. Klantinformatie beschermen
Een nog belangrijker taak voor elke organisatie is het zorgen voor klantgegevens, die niet onderhevig mogen zijn aan het risico van compromittering. Overigens is het deze informatie die het vaakst wordt overgedragen tussen verschillende bedrijfssectoren en in de regel vertrouwelijk is: het kan bijvoorbeeld gegevens bevatten over financiële transacties, medische geschiedenis, enz.
3. Bescherming tegen winstderving en klantenloyaliteit
Het gebruik van USB-apparaten met hardware-encryptie kan verwoestende gevolgen voor organisaties helpen voorkomen. Bedrijven die de wetgeving inzake de bescherming van persoonsgegevens schenden, kunnen boetes krijgen van grote bedragen. Daarom moet de vraag worden gesteld: is het de moeite waard om het risico te nemen om informatie te delen zonder de juiste bescherming?
Zelfs zonder rekening te houden met de financiële gevolgen kan de hoeveelheid tijd en middelen die worden besteed aan het corrigeren van beveiligingsfouten die zich voordoen net zo groot zijn. Als een datalek bovendien klantgegevens in gevaar brengt, riskeert het bedrijf merkloyaliteit, vooral op markten waar concurrenten een soortgelijk product of een soortgelijke dienst aanbieden.
Wie garandeert de afwezigheid van “bladwijzers” van de fabrikant bij gebruik van flashdrives met hardware-encryptie?
In het onderwerp dat we aan de orde hebben gesteld, is deze vraag misschien wel een van de belangrijkste. Onder de commentaren op het artikel over Kingston DataTraveler-schijven kwamen we nog een interessante vraag tegen: "Hebben uw apparaten audits ondergaan van externe, onafhankelijke specialisten?" Nou... het is een logisch belang: gebruikers willen er zeker van zijn dat onze USB-drives geen veelvoorkomende fouten bevatten, zoals zwakke codering of de mogelijkheid om wachtwoordinvoer te omzeilen. En in dit deel van het artikel zullen we praten over welke certificeringsprocedures Kingston-schijven ondergaan voordat ze de status van echt veilige flashdrives krijgen.
Wie garandeert de betrouwbaarheid? Het lijkt erop dat we heel goed zouden kunnen zeggen: “Kingston heeft het gehaald – het garandeert het.” Maar in dit geval zal een dergelijke verklaring onjuist zijn, aangezien de fabrikant een belanghebbende partij is. Daarom worden alle producten getest door een derde partij met onafhankelijke expertise. Met name hardwaregecodeerde schijven van Kingston (met uitzondering van DTLPG3) nemen deel aan het Cryptographic Module Validation Program (CMVP) en zijn gecertificeerd volgens de Federal Information Processing Standard (FIPS). De schijven zijn bovendien gecertificeerd volgens GLBA-, HIPPA-, HITECH-, PCI- en GTSA-normen.
1. Validatieprogramma voor cryptografische modules
Het CMVP-programma is een gezamenlijk project van het National Institute of Standards and Technology van het Amerikaanse ministerie van Handel en het Canadian Cyber Security Center. Het doel van het project is om de vraag naar beproefde cryptografische apparaten te stimuleren en beveiligingsstatistieken te bieden aan federale instanties en gereguleerde industrieën (zoals financiële instellingen en gezondheidszorginstellingen) die worden gebruikt bij de aanschaf van apparatuur.
Apparaten worden getest op basis van een reeks cryptografische en beveiligingsvereisten door onafhankelijke cryptografie- en beveiligingstestlaboratoria die zijn geaccrediteerd door het National Voluntary Laboratory Accreditation Program (NVLAP). Tegelijkertijd wordt elk laboratoriumrapport gecontroleerd op naleving van Federal Information Processing Standard (FIPS) 140-2 en bevestigd door CMVP.
Modules waarvan is geverifieerd dat ze voldoen aan FIPS 140-2, worden tot en met 22 september 2026 aanbevolen voor gebruik door Amerikaanse en Canadese federale instanties. Hierna worden ze opgenomen in de archieflijst, maar kunnen ze nog steeds worden gebruikt. Op 22 september 2020 eindigde de acceptatie van aanvragen voor validatie volgens de FIPS 140-3-standaard. Zodra de apparaten de controles doorstaan, worden ze voor vijf jaar verplaatst naar de actieve lijst met geteste en vertrouwde apparaten. Als een cryptografisch apparaat de verificatie niet doorstaat, wordt het gebruik ervan bij overheidsinstanties in de Verenigde Staten en Canada niet aanbevolen.
2. Welke veiligheidseisen stelt de FIPS-certificering?
Het hacken van gegevens, zelfs vanaf een niet-gecertificeerde gecodeerde schijf, is moeilijk en maar weinig mensen kunnen dat, dus als u een consumentenschijf voor thuisgebruik met certificering kiest, hoeft u zich daar geen zorgen over te maken. In het bedrijfsleven is de situatie anders: bij het kiezen van veilige USB-drives hechten bedrijven vaak belang aan FIPS-certificeringsniveaus. Niet iedereen heeft echter een duidelijk idee van wat deze niveaus betekenen.
De huidige FIPS 140-2-standaard definieert vier verschillende beveiligingsniveaus waaraan flashdrives kunnen voldoen. Het eerste niveau biedt een gematigde reeks beveiligingsfuncties. Het vierde niveau impliceert strenge eisen voor de zelfbescherming van apparaten. Niveau twee en drie geven een gradatie van deze eisen en vormen een soort gulden middenweg.
- Niveau XNUMX-beveiliging: Niveau XNUMX-gecertificeerde USB-drives vereisen ten minste één coderingsalgoritme of een andere beveiligingsfunctie.
- Het tweede beveiligingsniveau: hier is de schijf niet alleen vereist om cryptografische bescherming te bieden, maar ook om ongeautoriseerde inbraken op firmwareniveau te detecteren als iemand de schijf probeert te openen.
- Het derde beveiligingsniveau: het voorkomen van hacking door het vernietigen van encryptiesleutels. Dat wil zeggen dat er een reactie op penetratiepogingen vereist is. Bovendien garandeert het derde niveau een hoger niveau van bescherming tegen elektromagnetische interferentie: dat wil zeggen dat het lezen van gegevens van een flashdrive met behulp van draadloze hackapparaten niet zal werken.
- Het vierde beveiligingsniveau: het hoogste niveau, dat volledige bescherming van de cryptografische module omvat, wat de maximale waarschijnlijkheid biedt van detectie en tegenmaatregelen tegen ongeoorloofde toegangspogingen door een ongeautoriseerde gebruiker. Flashdrives die een certificaat van het vierde niveau hebben ontvangen, bevatten ook beveiligingsopties die hacken door verandering van de spanning en de omgevingstemperatuur niet toestaan.
De volgende Kingston-schijven zijn gecertificeerd volgens FIPS 140-2 Level 2000: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. Het belangrijkste kenmerk van deze schijven is hun vermogen om te reageren op een inbraakpoging: als het wachtwoord tien keer verkeerd wordt ingevoerd, worden de gegevens op de schijf vernietigd.
Wat kunnen Kingston-flashdrives nog meer doen naast encryptie?
Als het gaat om volledige gegevensbeveiliging, komen hardware-encryptie van flashdrives, ingebouwde antivirussen, bescherming tegen invloeden van buitenaf, synchronisatie met persoonlijke clouds en andere functies die we hieronder zullen bespreken, te hulp. Er is geen groot verschil tussen flashdrives met software-encryptie. De duivel is in de details. En hier is wat.
1. Kingston DataTraveler 2000
Laten we bijvoorbeeld een USB-stick nemen. . Dit is een van de flashdrives met hardware-encryptie, maar tegelijkertijd de enige met een eigen fysiek toetsenbord op de behuizing. Dit toetsenbord met 11 knoppen maakt de DT2000 volledig onafhankelijk van hostsystemen (om de DataTraveler 2000 te gebruiken, moet u op de sleutelknop drukken, vervolgens uw wachtwoord invoeren en nogmaals op de sleutelknop drukken). Bovendien heeft deze flashdrive een IP57-beschermingsgraad tegen water en stof (verrassend genoeg vermeldt Kingston dit nergens op de verpakking of in de specificaties op de officiële website).
Er zit een lithium-polymeerbatterij van 2000 mAh in de DataTraveler 40, en Kingston adviseert kopers om de drive minimaal een uur in een USB-poort aan te sluiten voordat u hem gebruikt, zodat de batterij kan opladen. Trouwens, in een van de vorige materialen : Er is geen reden tot bezorgdheid: de flashdrive is niet geactiveerd in de oplader omdat er door het systeem geen verzoeken aan de controller zijn. Daarom zal niemand uw gegevens stelen via draadloze inbraken.
2. Kingston DataTraveler Locker+ G3
Als we het hebben over het Kingston-model – het trekt de aandacht met de mogelijkheid om gegevensback-up te configureren vanaf een flashstation naar Google-cloudopslag, OneDrive, Amazon Cloud of Dropbox. Gegevenssynchronisatie met deze services is ook mogelijk.
Een van de vragen die onze lezers ons stellen is: “Maar hoe kunnen we gecodeerde gegevens uit een back-up halen?” Erg makkelijk. Feit is dat bij synchronisatie met de cloud de informatie wordt gedecodeerd en dat de bescherming van back-ups in de cloud afhankelijk is van de mogelijkheden van de cloud zelf. Daarom worden dergelijke procedures uitsluitend naar goeddunken van de gebruiker uitgevoerd. Zonder zijn toestemming worden er geen gegevens naar de cloud geüpload.
3. Kingston DataTraveler Vault Privacy 3.0
Maar de Kingston-apparaten Ze worden ook geleverd met ingebouwde Drive Security-antivirus van ESET. Dit laatste beschermt gegevens tegen invasie van een USB-station door virussen, spyware, Trojaanse paarden, wormen, rootkits en verbindingen met de computers van anderen, je zou kunnen zeggen dat het niet bang is. De antivirus waarschuwt de eigenaar van de schijf onmiddellijk over mogelijke bedreigingen, als deze worden gedetecteerd. In dit geval hoeft de gebruiker niet zelf antivirussoftware te installeren en voor deze optie te betalen. ESET Drive Security is vooraf geïnstalleerd op een flashstation met een licentie van vijf jaar.
Kingston DT Vault Privacy 3.0 is in de eerste plaats ontworpen en gericht op IT-professionals. Het stelt beheerders in staat om het te gebruiken als een zelfstandige schijf of toe te voegen als onderdeel van een gecentraliseerde beheeroplossing, en kan ook worden gebruikt om wachtwoorden te configureren of op afstand opnieuw in te stellen en apparaatbeleid te configureren. Kingston heeft zelfs USB 3.0 toegevoegd, waarmee u beveiligde gegevens veel sneller kunt overbrengen dan USB 2.0.
Over het geheel genomen is DT Vault Privacy 3.0 een uitstekende optie voor het bedrijfsleven en organisaties die maximale bescherming van hun gegevens nodig hebben. Het kan ook worden aanbevolen aan alle gebruikers die computers gebruiken die zich op openbare netwerken bevinden.
Neem voor meer informatie over Kingston-producten contact op met .
Bron: www.habr.com