Witaj, Habro! W komentarzach do jednego z naszych czytelnicy zadali ciekawe pytanie: „Po co potrzebny dysk flash z szyfrowaniem sprzętowym, skoro dostępny jest TrueCrypt?” – a nawet wyrazili pewne obawy dotyczące „Jak można się upewnić, że w oprogramowaniu i sprzęcie dysku Kingston nie ma żadnych zakładek ?” Odpowiedzieliśmy na te pytania zwięźle, ale potem uznaliśmy, że temat zasługuje na fundamentalną analizę. To właśnie zrobimy w tym poście.
Szyfrowanie sprzętowe AES, podobnie jak szyfrowanie programowe, istnieje już od dawna, ale w jaki sposób dokładnie chroni wrażliwe dane na dyskach flash? Kto certyfikuje takie dyski i czy można ufać tym certyfikatom? Po co takie „skomplikowane” dyski flash, skoro można korzystać z darmowych programów, takich jak TrueCrypt czy BitLocker. Jak widać temat zadany w komentarzach naprawdę rodzi wiele pytań. Spróbujmy to wszystko rozgryźć.
Czym szyfrowanie sprzętowe różni się od szyfrowania programowego?
W przypadku dysków flash (a także dysków HDD i SSD) do sprzętowego szyfrowania danych wykorzystywany jest specjalny chip umieszczony na płytce drukowanej urządzenia. Posiada wbudowany generator liczb losowych, który generuje klucze szyfrujące. Dane są automatycznie szyfrowane i natychmiastowo odszyfrowywane po wprowadzeniu hasła użytkownika. W tym scenariuszu dostęp do danych bez hasła jest prawie niemożliwy.
W przypadku korzystania z szyfrowania programowego „blokowanie” danych na dysku zapewnia oprogramowanie zewnętrzne, które stanowi tanią alternatywę dla metod szyfrowania sprzętowego. Do wad takiego oprogramowania można zaliczyć banalny wymóg regularnych aktualizacji w celu przeciwstawienia się coraz doskonalszym technikom hakerskim. Ponadto do odszyfrowania danych wykorzystywana jest moc procesu komputerowego (a nie oddzielny układ sprzętowy) i tak naprawdę poziom ochrony komputera określa poziom ochrony dysku.
Główną cechą dysków z szyfrowaniem sprzętowym jest oddzielny procesor kryptograficzny, którego obecność mówi nam, że klucze szyfrujące nigdy nie opuszczają dysku USB, w przeciwieństwie do kluczy programowych, które można tymczasowo przechowywać w pamięci RAM lub na dysku twardym komputera. A ponieważ szyfrowanie programowe wykorzystuje pamięć komputera do przechowywania liczby prób logowania, nie jest w stanie powstrzymać ataków metodą brute-force na hasło lub klucz. Licznik prób logowania może być stale resetowany przez osobę atakującą, dopóki program do automatycznego łamania haseł nie znajdzie żądanej kombinacji.
Swoją drogą…, w komentarzach do artykułu „„Użytkownicy zauważyli również, że na przykład program TrueCrypt ma przenośny tryb pracy. Nie jest to jednak duża zaleta. Faktem jest, że w tym przypadku program szyfrujący jest przechowywany w pamięci dysku flash, co czyni go bardziej podatnym na ataki.
Konkluzja: podejście programowe nie zapewnia tak wysokiego poziomu bezpieczeństwa jak szyfrowanie AES. To raczej podstawowa obrona. Z drugiej strony szyfrowanie programowe ważnych danych jest wciąż lepsze niż brak szyfrowania. I ten fakt pozwala nam wyraźnie rozróżnić tego rodzaju kryptografię: szyfrowanie sprzętowe dysków flash jest koniecznością raczej dla sektora korporacyjnego (na przykład, gdy pracownicy firmy korzystają z dysków wydanych w pracy); a oprogramowanie jest bardziej odpowiednie do potrzeb użytkownika.
Jednak firma Kingston dzieli swoje modele dysków (na przykład IronKey S1000) na wersje Basic i Enterprise. Pod względem funkcjonalności i właściwości ochronnych są one niemal identyczne, jednak wersja korporacyjna oferuje możliwość zarządzania dyskiem za pomocą oprogramowania SafeConsole/IronKey EMS. Dzięki temu oprogramowaniu dysk współpracuje z serwerami w chmurze lub lokalnymi, aby zdalnie egzekwować ochronę hasłem i zasady dostępu. Użytkownicy mają możliwość odzyskania utraconych haseł, a administratorzy mogą przełączyć dyski, które nie są już używane, do nowych zadań.
Jak działają dyski flash firmy Kingston z szyfrowaniem AES?
Firma Kingston stosuje 256-bitowe szyfrowanie sprzętowe AES-XTS (przy użyciu opcjonalnego klucza pełnej długości) na wszystkich swoich bezpiecznych dyskach. Jak zauważyliśmy powyżej, dyski flash zawierają w swojej bazie komponentów oddzielny chip do szyfrowania i deszyfrowania danych, który działa jak stale aktywny generator liczb losowych.
Kiedy po raz pierwszy podłączasz urządzenie do portu USB, Kreator konfiguracji inicjalizacji poprosi Cię o ustawienie hasła głównego umożliwiającego dostęp do urządzenia. Po aktywacji dysku algorytmy szyfrujące automatycznie zaczną działać zgodnie z preferencjami użytkownika.
Jednocześnie dla użytkownika zasada działania pendrive'a pozostanie niezmieniona - nadal będzie mógł pobierać i umieszczać pliki w pamięci urządzenia, tak jak podczas pracy ze zwykłym pendrive'em. Jedyna różnica polega na tym, że po podłączeniu dysku flash do nowego komputera konieczne będzie wprowadzenie ustawionego hasła, aby uzyskać dostęp do swoich informacji.
Dlaczego i kto potrzebuje dysków flash z szyfrowaniem sprzętowym?
W przypadku organizacji, w których wrażliwe dane stanowią część działalności (finansowej, zdrowotnej lub rządowej), szyfrowanie jest najbardziej niezawodnym sposobem ochrony. Szyfrowanie sprzętowe AES to skalowalne rozwiązanie, z którego może skorzystać każda firma: od osób fizycznych i małych firm po duże korporacje, a także organizacje wojskowe i rządowe. Aby przyjrzeć się temu problemowi nieco bardziej szczegółowo, konieczne jest użycie szyfrowanych dysków USB:
- Aby zapewnić bezpieczeństwo poufnych danych firmowych
- Aby chronić informacje o klientach
- Aby chronić firmy przed utratą zysków i lojalności klientów
Warto zaznaczyć, że niektórzy producenci bezpiecznych dysków flash (m.in. Kingston) dostarczają korporacjom rozwiązania dostosowane do potrzeb i celów klientów. Ale linie produkowane masowo (w tym dyski flash DataTraveler) doskonale radzą sobie ze swoimi zadaniami i są w stanie zapewnić bezpieczeństwo klasy korporacyjnej.
1. Zapewnienie bezpieczeństwa poufnych danych firmowych
W 2017 r. mieszkaniec Londynu odkrył w jednym z parków dysk USB, który zawierał niechronione hasłem informacje dotyczące bezpieczeństwa lotniska Heathrow, w tym lokalizację kamer monitorujących oraz szczegółowe informacje o środkach bezpieczeństwa na wypadek przylotu wysokiej rangi urzędnicy. Pendrive zawierał także dane dotyczące przepustek elektronicznych i kodów dostępu do obszarów o ograniczonym dostępie na lotnisku.
Analitycy twierdzą, że przyczyną takich sytuacji jest analfabetyzm cybernetyczny pracowników firmy, którzy przez własne zaniedbanie mogą „wyciec” tajne dane. Dyski flash z szyfrowaniem sprzętowym częściowo rozwiązują ten problem, ponieważ w przypadku zgubienia takiego dysku nie będzie można uzyskać dostępu do znajdujących się na nim danych bez hasła głównego tego samego funkcjonariusza ds. bezpieczeństwa. W każdym razie nie neguje to faktu, że pracownicy muszą zostać przeszkoleni w zakresie obsługi dysków flash, nawet jeśli mówimy o urządzeniach chronionych szyfrowaniem.
2. Ochrona informacji o klientach
Jeszcze ważniejszym zadaniem każdej organizacji jest dbanie o dane klientów, które nie powinny być narażone na ryzyko kradzieży. Nawiasem mówiąc, to właśnie te informacje są najczęściej przekazywane między różnymi sektorami biznesowymi i z reguły są poufne: na przykład mogą zawierać dane dotyczące transakcji finansowych, historii medycznej itp.
3. Zabezpieczenie przed utratą zysków i lojalności klientów
Korzystanie z urządzeń USB z szyfrowaniem sprzętowym może pomóc w zapobieganiu katastrofalnym konsekwencjom dla organizacji. Firmy naruszające przepisy dotyczące ochrony danych osobowych mogą zostać ukarane wysokimi karami. Należy zatem zadać pytanie: czy warto podejmować ryzyko udostępniania informacji bez odpowiedniej ochrony?
Nawet bez uwzględnienia skutków finansowych ilość czasu i zasobów poświęconych na naprawianie występujących błędów bezpieczeństwa może być równie znacząca. Ponadto, jeśli naruszenie danych naraża dane klientów, firma ryzykuje lojalność wobec marki, szczególnie na rynkach, na których działają konkurenci oferujący podobny produkt lub usługę.
Kto gwarantuje brak „zakładek” od producenta podczas korzystania z dysków flash z szyfrowaniem sprzętowym?
W poruszonym przez nas temacie to pytanie jest być może jednym z głównych. Wśród komentarzy do artykułu o dyskach Kingston DataTraveler natknęliśmy się na kolejne ciekawe pytanie: „Czy Twoje urządzenia posiadają audyty przeprowadzane przez niezależnych specjalistów zewnętrznych?” Cóż... to logiczne zainteresowanie: użytkownicy chcą mieć pewność, że nasze dyski USB nie zawierają typowych błędów, takich jak słabe szyfrowanie lub możliwość ominięcia wprowadzania hasła. W tej części artykułu porozmawiamy o tym, jakie procedury certyfikacyjne przechodzą dyski Kingston, zanim otrzymają status naprawdę bezpiecznych dysków flash.
Kto gwarantuje niezawodność? Wydawałoby się, że śmiało moglibyśmy powiedzieć: „Kingston to zrobił – to gwarantuje”. Ale w tym przypadku takie stwierdzenie będzie nieprawidłowe, ponieważ producentem jest zainteresowana strona. Dlatego wszystkie produkty są testowane przez stronę trzecią posiadającą niezależną wiedzę. W szczególności dyski szyfrowane sprzętowo firmy Kingston (z wyjątkiem DTLPG3) uczestniczą w programie sprawdzania poprawności modułów kryptograficznych (CMVP) i posiadają certyfikat Federal Information Processing Standard (FIPS). Dyski są również certyfikowane zgodnie ze standardami GLBA, HIPPA, HITECH, PCI i GTSA.
1. Program walidacji modułu kryptograficznego
Program CMVP jest wspólnym projektem Narodowego Instytutu Standardów i Technologii Departamentu Handlu USA oraz Kanadyjskiego Centrum Cyberbezpieczeństwa. Celem projektu jest pobudzenie popytu na sprawdzone urządzenia kryptograficzne i zapewnienie wskaźników bezpieczeństwa agencjom federalnym i branżom regulowanym (takim jak instytucje finansowe i opieka zdrowotna), które są wykorzystywane przy zakupach sprzętu.
Urządzenia są testowane pod kątem zestawu wymagań kryptograficznych i bezpieczeństwa przez niezależne laboratoria testujące kryptografię i bezpieczeństwo akredytowane w ramach Krajowego Dobrowolnego Programu Akredytacji Laboratoriów (NVLAP). Jednocześnie każdy raport laboratoryjny jest sprawdzany pod kątem zgodności z Federalnym Standardem Przetwarzania Informacji (FIPS) 140-2 i potwierdzany przez CMVP.
Moduły zweryfikowane pod kątem zgodności z FIPS 140-2 są zalecane do użytku przez agencje federalne w USA i Kanadzie do 22 września 2026 r. Następnie zostaną one umieszczone na liście archiwalnej, chociaż nadal będzie można z nich korzystać. W dniu 22 września 2020 roku zakończył się przyjmowanie wniosków do walidacji według standardu FIPS 140-3. Gdy urządzenia pomyślnie przejdą weryfikację, zostaną przeniesione na aktywną listę zweryfikowanych i zaufanych urządzeń na pięć lat. Jeśli urządzenie kryptograficzne nie przejdzie weryfikacji, nie zaleca się jego używania w agencjach rządowych w Stanach Zjednoczonych i Kanadzie.
2. Jakie wymagania bezpieczeństwa nakłada certyfikacja FIPS?
Zhakowanie danych nawet z niecertyfikowanego zaszyfrowanego dysku jest trudne i niewiele osób może to zrobić, więc wybierając dysk konsumencki do użytku domowego z certyfikatem, nie musisz się tym przejmować. W sektorze korporacyjnym sytuacja jest inna: wybierając bezpieczne dyski USB, firmy często przywiązują wagę do poziomów certyfikacji FIPS. Jednak nie każdy ma jasne pojęcie, co oznaczają te poziomy.
Obecny standard FIPS 140-2 definiuje cztery różne poziomy bezpieczeństwa, jakie mogą spełniać dyski flash. Pierwszy poziom zapewnia umiarkowany zestaw funkcji bezpieczeństwa. Czwarty poziom implikuje surowe wymagania dotyczące samoobrony urządzeń. Poziomy drugi i trzeci stanowią gradację tych wymagań i stanowią swego rodzaju złoty środek.
- Bezpieczeństwo poziomu XNUMX: Dyski USB z certyfikatem poziomu XNUMX wymagają co najmniej jednego algorytmu szyfrowania lub innej funkcji bezpieczeństwa.
- Drugi poziom bezpieczeństwa: tutaj dysk ma nie tylko zapewniać ochronę kryptograficzną, ale także wykrywać nieautoryzowane włamania na poziomie oprogramowania sprzętowego, jeśli ktoś spróbuje otworzyć dysk.
- Trzeci poziom bezpieczeństwa: polega na zapobieganiu włamaniom poprzez niszczenie „kluczy szyfrujących”. Oznacza to, że wymagana jest reakcja na próby penetracji. Ponadto trzeci poziom gwarantuje wyższy poziom ochrony przed zakłóceniami elektromagnetycznymi: to znaczy odczytywanie danych z dysku flash za pomocą bezprzewodowych urządzeń hakerskich nie będzie działać.
- Czwarty poziom bezpieczeństwa: najwyższy poziom, który polega na pełnej ochronie modułu kryptograficznego, co zapewnia maksymalne prawdopodobieństwo wykrycia i przeciwdziałania nieautoryzowanym próbom dostępu przez nieuprawnionego użytkownika. Pendrive'y, które otrzymały certyfikat czwartego poziomu, posiadają także opcje ochrony uniemożliwiające włamanie poprzez zmianę napięcia i temperatury otoczenia.
Następujące dyski firmy Kingston mają certyfikat FIPS 140-2 poziom 2000: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. Kluczową cechą tych dysków jest ich zdolność reagowania na próbę włamania: jeśli hasło zostanie wprowadzone niepoprawnie XNUMX razy, dane na dysku zostaną zniszczone.
Co jeszcze potrafią dyski flash firmy Kingston poza szyfrowaniem?
Jeśli chodzi o pełne bezpieczeństwo danych, na ratunek przychodzą sprzętowe szyfrowanie dysków flash, wbudowane programy antywirusowe, ochrona przed wpływami zewnętrznymi, synchronizacja z chmurami osobistymi i inne funkcje, które omówimy poniżej. Nie ma dużej różnicy w dyskach flash z szyfrowaniem programowym. Diabeł tkwi w szczegółach. I oto co.
1. Kingston DataTraveler 2000
Weźmy na przykład dysk USB. . To jeden z pendrive'ów z szyfrowaniem sprzętowym, ale jednocześnie jedyny, który posiada własną fizyczną klawiaturę na obudowie. Ta 11-przyciskowa klawiatura sprawia, że DT2000 jest całkowicie niezależny od systemów hosta (aby korzystać z DataTraveler 2000, należy nacisnąć przycisk Klucz, następnie wprowadzić hasło i ponownie nacisnąć przycisk Klucz). Ponadto ten pendrive ma stopień ochrony IP57 przed wodą i kurzem (co zaskakujące, firma Kingston nie podaje tego nigdzie ani na opakowaniu, ani w specyfikacjach na oficjalnej stronie internetowej).
W pamięci DataTraveler 2000 znajduje się bateria litowo-polimerowa o pojemności 40 mAh, a firma Kingston zaleca kupującym podłączenie dysku do portu USB na co najmniej godzinę przed użyciem, aby umożliwić naładowanie baterii. Swoją drogą w jednym z poprzednich materiałów : Nie ma powodu do zmartwień - pendrive nie jest aktywowany w ładowarce, ponieważ system nie wysyła żadnych żądań do kontrolera. Dlatego nikt nie ukradnie Twoich danych poprzez włamania do sieci bezprzewodowej.
2. Kingston DataTraveler Locker+ G3
Jeśli mówimy o modelu Kingston – przyciąga uwagę możliwością skonfigurowania kopii zapasowej danych z pendrive’a do magazynu w chmurze Google, OneDrive, Amazon Cloud czy Dropbox. Zapewniona jest także synchronizacja danych z tymi usługami.
Jedno z pytań, jakie zadają nam nasi czytelnicy, brzmi: „Ale jak wyciągnąć zaszyfrowane dane z kopii zapasowej?” Bardzo prosta. Faktem jest, że podczas synchronizacji z chmurą informacje są odszyfrowywane, a ochrona kopii zapasowej w chmurze zależy od możliwości samej chmury. Dlatego takie procedury są wykonywane wyłącznie według uznania użytkownika. Bez jego zgody żadne dane nie zostaną przesłane do chmury.
3. Kingston DataTraveler Vault Privacy 3.0
Ale urządzenia Kingston Mają także wbudowany program antywirusowy Drive Security firmy ESET. Ten ostatni chroni dane przed inwazją na dysk USB wirusów, programów szpiegujących, trojanów, robaków, rootkitów i połączeniem z komputerami innych osób, można powiedzieć, że się nie boi. Program antywirusowy natychmiast ostrzeże właściciela dysku o potencjalnych zagrożeniach, jeśli takie zostaną wykryte. W takim przypadku użytkownik nie musi samodzielnie instalować oprogramowania antywirusowego i płacić za tę opcję. ESET Drive Security jest preinstalowany na dysku flash z pięcioletnią licencją.
Kingston DT Vault Privacy 3.0 został zaprojektowany i skierowany przede wszystkim do specjalistów IT. Umożliwia administratorom używanie go jako samodzielnego dysku lub dodanie go jako części scentralizowanego rozwiązania do zarządzania, a także może służyć do konfigurowania lub zdalnego resetowania haseł i konfigurowania zasad urządzeń. Firma Kingston dodała nawet złącze USB 3.0, które umożliwia przesyłanie bezpiecznych danych znacznie szybciej niż USB 2.0.
Ogólnie rzecz biorąc, DT Vault Privacy 3.0 to doskonała opcja dla sektora korporacyjnego i organizacji, które wymagają maksymalnej ochrony swoich danych. Można go także polecić wszystkim użytkownikom korzystającym z komputerów znajdujących się w sieciach publicznych.
Aby uzyskać więcej informacji na temat produktów firmy Kingston, skontaktuj się z nami .
Źródło: www.habr.com