Hei, Habr! I kommentarfeltet til en av våre leserne stilte et interessant spørsmål: "Hvorfor trenger du en flash-stasjon med maskinvarekryptering når TrueCrypt er tilgjengelig?" - og uttrykte til og med noen bekymringer om "Hvordan kan du sørge for at det ikke er noen bokmerker i programvaren og maskinvaren til en Kingston-stasjon ?” Vi svarte kort på disse spørsmålene, men bestemte oss for at emnet fortjente en grunnleggende analyse. Dette skal vi gjøre i dette innlegget.
AES-maskinvarekryptering, som programvarekryptering, har eksistert i lang tid, men hvordan beskytter det sensitive data på flash-stasjoner? Hvem sertifiserer slike stasjoner, og kan disse sertifiseringene stole på? Hvem trenger slike "komplekse" flash-stasjoner hvis du kan bruke gratis programmer som TrueCrypt eller BitLocker. Som du kan se, reiser emnet som stilles i kommentarene virkelig mange spørsmål. La oss prøve å finne ut av alt.
Hvordan skiller maskinvarekryptering seg fra programvarekryptering?
Når det gjelder flash-stasjoner (så vel som HDD-er og SSD-er), brukes en spesiell brikke på enhetens kretskort for å implementere maskinvaredatakryptering. Den har en innebygd tilfeldig tallgenerator som genererer krypteringsnøkler. Data blir automatisk kryptert og dekryptert umiddelbart når du skriver inn brukerpassordet ditt. I dette scenariet er det nesten umulig å få tilgang til dataene uten passord.
Når du bruker programvarekryptering, "låsing" av dataene på stasjonen leveres av ekstern programvare, som fungerer som et rimelig alternativ til maskinvarekrypteringsmetoder. Ulemper med slik programvare kan inkludere det banale kravet om regelmessige oppdateringer for å tilby motstand mot stadig bedre hackingteknikker. I tillegg brukes kraften til en dataprosess (i stedet for en separat maskinvarebrikke) til å dekryptere data, og faktisk avgjør beskyttelsesnivået til PC-en beskyttelsesnivået til stasjonen.
Hovedtrekket til stasjoner med maskinvarekryptering er en egen kryptografisk prosessor, hvis tilstedeværelse forteller oss at krypteringsnøkler aldri forlater USB-stasjonen, i motsetning til programvarenøkler som midlertidig kan lagres i datamaskinens RAM eller harddisk. Og fordi programvarekryptering bruker PC-minne til å lagre antall påloggingsforsøk, kan den ikke stoppe brute force-angrep på et passord eller en nøkkel. Telleren for påloggingsforsøk kan kontinuerlig tilbakestilles av en angriper til det automatiske passordknekkingsprogrammet finner ønsket kombinasjon.
Forresten..., i kommentarene til artikkelen ""Brukere bemerket også at for eksempel TrueCrypt-programmet har en bærbar driftsmodus. Dette er imidlertid ingen stor fordel. Faktum er at i dette tilfellet er krypteringsprogrammet lagret i minnet til flash-stasjonen, og dette gjør det mer sårbart for angrep.
Bunnlinjen: programvaretilnærmingen gir ikke et like høyt sikkerhetsnivå som AES-kryptering. Det er mer et grunnleggende forsvar. På den annen side er programvarekryptering av viktige data fortsatt bedre enn ingen kryptering i det hele tatt. Og dette faktum tillater oss å skille klart mellom disse typer kryptografi: maskinvarekryptering av flash-stasjoner er snarere en nødvendighet for bedriftssektoren (for eksempel når bedriftsansatte bruker stasjoner utstedt på jobben); og programvare er mer egnet for brukerbehov.
Kingston deler imidlertid stasjonsmodellene (for eksempel IronKey S1000) inn i Basic- og Enterprise-versjoner. Når det gjelder funksjonalitet og beskyttelsesegenskaper, er de nesten identiske med hverandre, men bedriftsversjonen tilbyr muligheten til å administrere stasjonen ved hjelp av SafeConsole/IronKey EMS-programvare. Med denne programvaren fungerer stasjonen med enten sky- eller lokale servere for å håndheve passordbeskyttelse og tilgangspolicyer eksternt. Brukere får muligheten til å gjenopprette tapte passord, og administratorer kan bytte stasjoner som ikke lenger er i bruk til nye oppgaver.
Hvordan fungerer Kingston-flash-stasjoner med AES-kryptering?
Kingston bruker 256-bit AES-XTS maskinvarekryptering (ved hjelp av en valgfri nøkkel i full lengde) for alle sine sikre stasjoner. Som vi bemerket ovenfor, inneholder flash-stasjoner i komponentbasen en separat brikke for kryptering og dekryptering av data, som fungerer som en konstant aktiv tilfeldig tallgenerator.
Når du kobler en enhet til en USB-port for første gang, ber Initialization Setup Wizard deg angi et hovedpassord for å få tilgang til enheten. Etter aktivering av stasjonen, vil krypteringsalgoritmer automatisk begynne å fungere i samsvar med brukerpreferansene.
Samtidig, for brukeren, vil prinsippet for drift av flash-stasjonen forbli uendret - han vil fortsatt kunne laste ned og plassere filer i enhetens minne, som når han arbeider med en vanlig USB-flash-stasjon. Den eneste forskjellen er at når du kobler flash-stasjonen til en ny datamaskin, må du angi det angitte passordet for å få tilgang til informasjonen din.
Hvorfor og hvem trenger flash-stasjoner med maskinvarekryptering?
For organisasjoner der sensitive data er en del av virksomheten (enten finans, helsevesen eller myndighet), er kryptering det mest pålitelige beskyttelsesmiddelet. AES maskinvarekryptering er en skalerbar løsning som kan brukes av alle selskaper: fra enkeltpersoner og små bedrifter til store selskaper, samt militære og statlige organisasjoner. For å se på dette problemet litt mer spesifikt, er det nødvendig å bruke krypterte USB-stasjoner:
- For å sikre sikkerheten til konfidensielle selskapsdata
- For å beskytte kundeinformasjon
- For å beskytte bedrifter mot tap av fortjeneste og kundelojalitet
Det er verdt å merke seg at noen produsenter av sikre flash-stasjoner (inkludert Kingston) gir bedrifter tilpassede løsninger designet for å møte behovene og målene til kundene. Men de masseproduserte linjene (inkludert DataTraveler-flash-stasjoner) takler oppgavene sine perfekt og er i stand til å gi sikkerhet i bedriftsklassen.
1. Sikre sikkerheten til konfidensielle selskapsdata
I 2017 oppdaget en innbygger i London en USB-stasjon i en av parkene som inneholdt ikke-passordbeskyttet informasjon relatert til sikkerheten til Heathrow lufthavn, inkludert plasseringen av overvåkingskameraer og detaljert informasjon om sikkerhetstiltak i tilfelle ankomst av høytstående embetsmenn. Flash-stasjonen inneholdt også data om elektroniske pass og tilgangskoder til begrensede områder på flyplassen.
Analytikere sier at årsaken til slike situasjoner er cyberanalfabetismen til selskapets ansatte, som kan "lekke" hemmelige data gjennom sin egen uaktsomhet. Flash-stasjoner med maskinvarekryptering løser delvis dette problemet, fordi hvis en slik stasjon går tapt, vil du ikke kunne få tilgang til dataene på den uten hovedpassordet til samme sikkerhetsansvarlig. Dette fornekter uansett ikke det faktum at ansatte må være opplært til å håndtere flash-stasjoner, selv om vi snakker om enheter som er beskyttet av kryptering.
2. Beskytte kundeinformasjon
En enda viktigere oppgave for enhver organisasjon er å ta vare på kundedata, som ikke bør være utsatt for risiko for kompromiss. Forresten, det er denne informasjonen som oftest overføres mellom ulike forretningssektorer og som regel er konfidensiell: den kan for eksempel inneholde data om økonomiske transaksjoner, sykehistorie osv.
3. Beskyttelse mot tap av fortjeneste og kundelojalitet
Bruk av USB-enheter med maskinvarekryptering kan bidra til å forhindre ødeleggende konsekvenser for organisasjoner. Bedrifter som bryter personopplysningsloven kan bli bøtelagt med store beløp. Derfor må spørsmålet stilles: er det verdt å ta risikoen ved å dele informasjon uten skikkelig beskyttelse?
Selv uten å ta hensyn til den økonomiske konsekvensen, kan mengden tid og ressurser brukt på å rette opp sikkerhetsfeil som oppstår være like betydelig. I tillegg, hvis et databrudd kompromitterer kundedata, risikerer selskapet merkelojalitet, spesielt i markeder der det er konkurrenter som tilbyr et lignende produkt eller en lignende tjeneste.
Hvem garanterer fravær av "bokmerker" fra produsenten når du bruker flash-stasjoner med maskinvarekryptering?
I temaet vi har tatt opp, er kanskje dette spørsmålet et av de viktigste. Blant kommentarene til artikkelen om Kingston DataTraveler-stasjoner, kom vi over et annet interessant spørsmål: "Har enhetene dine revisjoner fra tredjeparts uavhengige spesialister?" Vel... det er en logisk interesse: brukere vil forsikre seg om at våre USB-stasjoner ikke inneholder vanlige feil, for eksempel svak kryptering eller muligheten til å omgå passordinntasting. Og i denne delen av artikkelen vil vi snakke om hvilke sertifiseringsprosedyrer Kingston-stasjoner gjennomgår før de mottar statusen til virkelig sikre flash-stasjoner.
Hvem garanterer pålitelighet? Det ser ut til at vi godt kunne si at "Kingston klarte det - det garanterer det." Men i dette tilfellet vil en slik uttalelse være feil, siden produsenten er en interessert part. Derfor er alle produkter testet av en tredjepart med uavhengig ekspertise. Spesielt Kingston maskinvarekrypterte stasjoner (med unntak av DTLPG3) er deltakere i Cryptographic Module Validation Program (CMVP) og er sertifisert i henhold til Federal Information Processing Standard (FIPS). Drivene er også sertifisert i henhold til GLBA, HIPPA, HITECH, PCI og GTSA standarder.
1. Valideringsprogram for kryptografisk modul
CMVP-programmet er et felles prosjekt av National Institute of Standards and Technology ved det amerikanske handelsdepartementet og Canadian Cyber Security Center. Prosjektets mål er å stimulere etterspørselen etter velprøvde kryptografiske enheter og gi sikkerhetsmålinger til føderale byråer og regulerte industrier (som finans- og helseinstitusjoner) som brukes i utstyrsanskaffelser.
Enheter testes mot et sett med kryptografiske og sikkerhetskrav av uavhengige kryptografi- og sikkerhetstestlaboratorier akkreditert av National Voluntary Laboratory Accreditation Program (NVLAP). Samtidig blir hver laboratorierapport kontrollert for samsvar med Federal Information Processing Standard (FIPS) 140-2 og bekreftet av CMVP.
Moduler bekreftet som FIPS 140-2-kompatible anbefales for bruk av amerikanske og kanadiske føderale byråer til og med 22. september 2026. Etter dette vil de bli tatt med i arkivlisten, selv om de fortsatt vil kunne brukes. 22. september 2020 opphørte aksepten av søknader om validering i henhold til FIPS 140-3-standarden. Når enhetene har bestått kontrollene, vil de bli flyttet til den aktive listen over testede og pålitelige enheter i fem år. Hvis en kryptografisk enhet ikke består verifiseringen, anbefales ikke bruk i offentlige etater i USA og Canada.
2. Hvilke sikkerhetskrav stiller FIPS-sertifiseringen?
Hacking av data selv fra en usertifisert kryptert stasjon er vanskelig, og få mennesker kan gjøre det, så når du velger en forbrukerstasjon for hjemmebruk med sertifisering, trenger du ikke å bry deg. I bedriftssektoren er situasjonen annerledes: når de velger sikre USB-stasjoner, legger bedrifter ofte vekt på FIPS-sertifiseringsnivåer. Imidlertid har ikke alle en klar ide om hva disse nivåene betyr.
Den nåværende FIPS 140-2-standarden definerer fire forskjellige sikkerhetsnivåer som flash-stasjoner kan møte. Det første nivået gir et moderat sett med sikkerhetsfunksjoner. Det fjerde nivået innebærer strenge krav til selvbeskyttelse av enheter. Nivå to og tre gir en gradering av disse kravene og danner en slags gylden middelvei.
- Nivå XNUMX-sikkerhet: Nivå XNUMX-sertifiserte USB-stasjoner krever minst én krypteringsalgoritme eller annen sikkerhetsfunksjon.
- Det andre sikkerhetsnivået: her kreves stasjonen ikke bare for å gi kryptografisk beskyttelse, men også for å oppdage uautoriserte inntrengninger på fastvarenivå hvis noen prøver å åpne stasjonen.
- Det tredje sikkerhetsnivået: involverer å forhindre hacking ved å ødelegge "nøkler". Det vil si at det kreves respons på penetrasjonsforsøk. Det tredje nivået garanterer også et høyere nivå av beskyttelse mot elektromagnetisk interferens: det vil si at det ikke vil fungere å lese data fra en flash-stasjon ved hjelp av trådløse hackingenheter.
- Det fjerde sikkerhetsnivået: det høyeste nivået, som innebærer fullstendig beskyttelse av den kryptografiske modulen, som gir maksimal sannsynlighet for gjenkjenning og motvirkning av uautoriserte tilgangsforsøk fra en uautorisert bruker. Flash-stasjoner som har mottatt et sertifikat på fjerde nivå inkluderer også beskyttelsesalternativer som ikke tillater hacking ved å endre spenningen og omgivelsestemperaturen.
Følgende Kingston-stasjoner er sertifisert til FIPS 140-2 nivå 2000: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. Nøkkelfunksjonen til disse stasjonene er deres evne til å reagere på et inntrengingsforsøk: hvis passordet skrives inn feil XNUMX ganger, vil dataene på stasjonen bli ødelagt.
Hva annet kan Kingston flash-stasjoner gjøre enn kryptering?
Når det gjelder fullstendig datasikkerhet, kommer sammen med maskinvarekryptering av flash-stasjoner, innebygde antivirus, beskyttelse mot ytre påvirkninger, synkronisering med personlige skyer og andre funksjoner som vi vil diskutere nedenfor, til unnsetning. Det er ingen stor forskjell på flash-stasjoner med programvarekryptering. Djevelen er i detaljene. Og her er hva.
1. Kingston DataTraveler 2000
La oss ta en USB-stasjon for eksempel. . Dette er en av flash-stasjonene med maskinvarekryptering, men samtidig den eneste med eget fysisk tastatur på dekselet. Dette 11-knappers tastaturet gjør DT2000 helt uavhengig av vertssystemer (for å bruke DataTraveler 2000 må du trykke på nøkkelknappen, deretter skrive inn passordet ditt og trykke på nøkkelknappen igjen). I tillegg har denne flash-stasjonen en IP57-grad av beskyttelse mot vann og støv (overraskende nok oppgir ikke Kingston dette noe sted hverken på emballasjen eller i spesifikasjonene på den offisielle nettsiden).
Det er et 2000mAh litiumpolymerbatteri inne i DataTraveler 40, og Kingston råder kjøpere til å koble stasjonen til en USB-port i minst en time før du bruker den for å la batteriet lades. Forresten, i et av de tidligere materialene : Det er ingen grunn til bekymring - flash-stasjonen er ikke aktivert i laderen fordi det ikke er noen forespørsler til kontrolleren fra systemet. Derfor vil ingen stjele dataene dine gjennom trådløse inntrengninger.
2. Kingston DataTraveler Locker+ G3
Hvis vi snakker om Kingston-modellen – det tiltrekker seg oppmerksomhet med muligheten til å konfigurere sikkerhetskopiering av data fra en flash-stasjon til Google skylagring, OneDrive, Amazon Cloud eller Dropbox. Datasynkronisering med disse tjenestene tilbys også.
Et av spørsmålene våre lesere stiller oss er: "Men hvordan ta krypterte data fra en sikkerhetskopi?" Veldig enkelt. Faktum er at når du synkroniserer med skyen, dekrypteres informasjonen, og beskyttelsen av sikkerhetskopiering på skyen avhenger av mulighetene til skyen selv. Derfor utføres slike prosedyrer utelukkende etter brukerens skjønn. Uten hans tillatelse vil ingen data bli lastet opp til skyen.
3. Kingston DataTraveler Vault Privacy 3.0
Men Kingston-enhetene De kommer også med innebygd Drive Security-antivirus fra ESET. Sistnevnte beskytter data mot invasjon av en USB-stasjon av virus, spionprogrammer, trojanere, ormer, rootkits og tilkobling til andres datamaskiner, kan man si, den er ikke redd. Antiviruset vil umiddelbart advare eieren av stasjonen om potensielle trusler, hvis noen blir oppdaget. I dette tilfellet trenger ikke brukeren selv å installere antivirusprogramvare og betale for dette alternativet. ESET Drive Security er forhåndsinstallert på en flash-stasjon med fem års lisens.
Kingston DT Vault Privacy 3.0 er designet og rettet primært mot IT-profesjonelle. Den lar administratorer bruke den som en frittstående stasjon eller legge den til som en del av en sentralisert administrasjonsløsning, og kan også brukes til å konfigurere eller eksternt tilbakestille passord og konfigurere enhetspolicyer. Kingston har til og med lagt til USB 3.0, som lar deg overføre sikre data mye raskere enn USB 2.0.
Totalt sett er DT Vault Privacy 3.0 et utmerket alternativ for bedriftssektoren og organisasjoner som krever maksimal beskyttelse av dataene sine. Den kan også anbefales til alle brukere som bruker datamaskiner plassert på offentlige nettverk.
For mer informasjon om Kingston-produkter, kontakt .
Kilde: www.habr.com