Olá, Habr! Nos comentários de um de nossos os leitores fizeram uma pergunta interessante: “Por que você precisa de uma unidade flash com criptografia de hardware quando o TrueCrypt está disponível?” - e até expressaram algumas preocupações sobre “Como você pode ter certeza de que não há marcadores no software e hardware de uma unidade Kingston ?” Respondemos a essas perguntas de forma sucinta, mas depois decidimos que o tema merecia uma análise fundamental. Isso é o que faremos neste post.
A criptografia de hardware AES, assim como a criptografia de software, já existe há muito tempo, mas como exatamente ela protege dados confidenciais em unidades flash? Quem certifica essas unidades e essas certificações são confiáveis? Quem precisa de drives flash tão “complexos” se você pode usar programas gratuitos como TrueCrypt ou BitLocker. Como você pode ver, o tema questionado nos comentários realmente levanta muitas questões. Vamos tentar descobrir tudo.
Como a criptografia de hardware difere da criptografia de software?
No caso de unidades flash (assim como HDDs e SSDs), um chip especial localizado na placa de circuito do dispositivo é usado para implementar a criptografia de dados de hardware. Possui um gerador de números aleatórios integrado que gera chaves de criptografia. Os dados são criptografados automaticamente e descriptografados instantaneamente quando você insere sua senha de usuário. Nesse cenário, é quase impossível acessar os dados sem senha.
Ao usar criptografia de software, o “bloqueio” dos dados na unidade é fornecido por software externo, que atua como uma alternativa de baixo custo aos métodos de criptografia de hardware. As desvantagens de tal software podem incluir a exigência banal de atualizações regulares, a fim de oferecer resistência a técnicas de hacking cada vez melhores. Além disso, o poder de um processo de computador (em vez de um chip de hardware separado) é usado para descriptografar os dados e, de fato, o nível de proteção do PC determina o nível de proteção da unidade.
A principal característica das unidades com criptografia de hardware é um processador criptográfico separado, cuja presença nos diz que as chaves de criptografia nunca saem da unidade USB, ao contrário das chaves de software que podem ser armazenadas temporariamente na RAM ou no disco rígido do computador. E como a criptografia de software usa a memória do PC para armazenar o número de tentativas de login, ela não pode impedir ataques de força bruta a uma senha ou chave. O contador de tentativas de login pode ser redefinido continuamente por um invasor até que o programa automático de quebra de senha encontre a combinação desejada.
Já agora..., nos comentários ao artigo ““Os usuários também notaram que, por exemplo, o programa TrueCrypt possui um modo operacional portátil. No entanto, esta não é uma grande vantagem. O fato é que neste caso o programa de criptografia fica armazenado na memória do pen drive, o que o torna mais vulnerável a ataques.
Resumindo: a abordagem de software não oferece um nível de segurança tão alto quanto a criptografia AES. É mais uma defesa básica. Por outro lado, a criptografia de dados importantes por software ainda é melhor do que nenhuma criptografia. E este fato nos permite distinguir claramente entre esses tipos de criptografia: a criptografia de hardware de pen drives é uma necessidade, antes, para o setor corporativo (por exemplo, quando os funcionários da empresa usam drives emitidos no trabalho); e o software é mais adequado às necessidades do usuário.
No entanto, a Kingston divide seus modelos de drives (por exemplo, IronKey S1000) nas versões Basic e Enterprise. Em termos de funcionalidade e propriedades de proteção, eles são quase idênticos entre si, mas a versão corporativa oferece a capacidade de gerenciar a unidade usando o software SafeConsole/IronKey EMS. Com este software, a unidade funciona com servidores em nuvem ou locais para aplicar remotamente proteção por senha e políticas de acesso. Os usuários têm a oportunidade de recuperar senhas perdidas e os administradores podem trocar unidades que não estão mais em uso para novas tarefas.
Como funcionam as unidades flash Kingston com criptografia AES?
A Kingston usa criptografia de hardware AES-XTS de 256 bits (usando uma chave completa opcional) para todas as suas unidades seguras. Como observamos acima, as unidades flash contêm em sua base de componentes um chip separado para criptografar e descriptografar dados, que atua como um gerador de números aleatórios constantemente ativo.
Ao conectar um dispositivo a uma porta USB pela primeira vez, o Assistente de configuração de inicialização solicitará que você defina uma senha mestra para acessar o dispositivo. Após ativar a unidade, os algoritmos de criptografia começarão a funcionar automaticamente de acordo com as preferências do usuário.
Ao mesmo tempo, para o usuário, o princípio de funcionamento do pen drive permanecerá inalterado - ele ainda poderá baixar e colocar arquivos na memória do dispositivo, como ao trabalhar com um pen drive normal. A única diferença é que ao conectar o pen drive a um novo computador, você precisará inserir a senha definida para ter acesso às suas informações.
Por que e quem precisa de drives flash com criptografia de hardware?
Para organizações onde dados confidenciais fazem parte do negócio (sejam financeiros, de saúde ou governamentais), a criptografia é o meio de proteção mais confiável. A criptografia de hardware AES é uma solução escalonável que pode ser usada por qualquer empresa: desde indivíduos e pequenas empresas até grandes corporações, bem como organizações militares e governamentais. Para analisar esse problema um pouco mais especificamente, é necessário usar unidades USB criptografadas:
- Para garantir a segurança dos dados confidenciais da empresa
- Para proteger as informações do cliente
- Para proteger as empresas contra perdas de lucros e fidelização de clientes
Vale a pena notar que alguns fabricantes de unidades flash seguras (incluindo a Kingston) fornecem às empresas soluções personalizadas projetadas para atender às necessidades e objetivos dos clientes. Mas as linhas produzidas em massa (incluindo unidades flash DataTraveler) cumprem perfeitamente suas tarefas e são capazes de fornecer segurança de classe corporativa.
1. Garantir a segurança dos dados confidenciais da empresa
Em 2017, um morador de Londres descobriu um drive USB em um dos parques que continha informações não protegidas por senha relacionadas à segurança do Aeroporto de Heathrow, incluindo a localização de câmeras de vigilância e informações detalhadas sobre medidas de segurança em caso de chegada de funcionários de alto escalão. O pendrive também continha dados sobre passes eletrônicos e códigos de acesso a áreas restritas do aeroporto.
Analistas afirmam que a razão para tais situações é o analfabetismo cibernético dos funcionários da empresa, que podem “vazar” dados secretos por negligência própria. Unidades flash com criptografia de hardware resolvem parcialmente esse problema, pois se tal unidade for perdida, você não poderá acessar os dados nela contidos sem a senha mestra do mesmo responsável pela segurança. De qualquer forma, isso não nega o fato de que os funcionários devem ser treinados para manusear pen drives, mesmo que se trate de dispositivos protegidos por criptografia.
2. Protegendo as informações do cliente
Uma tarefa ainda mais importante para qualquer organização é cuidar dos dados dos clientes, que não devem estar sujeitos ao risco de comprometimento. Aliás, são essas informações que mais frequentemente são transferidas entre diferentes setores de atividade e, via de regra, são confidenciais: por exemplo, podem conter dados sobre transações financeiras, histórico médico, etc.
3. Proteção contra lucros cessantes e fidelização de clientes
O uso de dispositivos USB com criptografia de hardware pode ajudar a prevenir consequências devastadoras para as organizações. As empresas que violam as leis de proteção de dados pessoais podem ser multadas em quantias elevadas. Portanto, cabe a pergunta: vale a pena correr o risco de compartilhar informações sem a devida proteção?
Mesmo sem levar em conta o impacto financeiro, a quantidade de tempo e recursos gastos na correção de bugs de segurança que ocorrem pode ser igualmente significativo. Além disso, se uma violação de dados comprometer os dados do cliente, a empresa arrisca a fidelidade à marca, especialmente em mercados onde existem concorrentes que oferecem um produto ou serviço semelhante.
Quem garante a ausência de “marcadores” do fabricante ao usar pen drives com criptografia de hardware?
No tema que levantamos, esta questão é talvez uma das principais. Entre os comentários ao artigo sobre as unidades Kingston DataTraveler, nos deparamos com outra pergunta interessante: “Seus dispositivos são auditados por especialistas independentes terceirizados?” Bem... é um interesse lógico: os usuários querem ter certeza de que nossas unidades USB não contêm erros comuns, como criptografia fraca ou a capacidade de ignorar a entrada de senha. E nesta parte do artigo falaremos sobre quais procedimentos de certificação as unidades Kingston passam antes de receber o status de unidades flash verdadeiramente seguras.
Quem garante confiabilidade? Parece que poderíamos muito bem dizer que “a Kingston conseguiu – ela garante isso”. Mas, neste caso, tal afirmação será incorreta, uma vez que o fabricante é o interessado. Portanto, todos os produtos são testados por terceiros com experiência independente. Em particular, as unidades criptografadas por hardware Kingston (com exceção do DTLPG3) são participantes do Programa de Validação de Módulo Criptográfico (CMVP) e são certificadas pelo Federal Information Processing Standard (FIPS). Os drives também são certificados de acordo com os padrões GLBA, HIPPA, HITECH, PCI e GTSA.
1. Programa de validação de módulo criptográfico
O programa CMVP é um projeto conjunto do Instituto Nacional de Padrões e Tecnologia do Departamento de Comércio dos EUA e do Centro Canadense de Segurança Cibernética. O objetivo do projeto é estimular a demanda por dispositivos criptográficos comprovados e fornecer métricas de segurança para agências federais e indústrias regulamentadas (como instituições financeiras e de saúde) que são utilizadas na aquisição de equipamentos.
Os dispositivos são testados em relação a um conjunto de requisitos criptográficos e de segurança por laboratórios independentes de criptografia e testes de segurança credenciados pelo Programa Nacional de Credenciamento de Laboratórios Voluntários (NVLAP). Ao mesmo tempo, cada relatório laboratorial é verificado quanto à conformidade com o Federal Information Processing Standard (FIPS) 140-2 e confirmado pelo CMVP.
Os módulos verificados como compatíveis com FIPS 140-2 são recomendados para uso pelas agências federais dos EUA e do Canadá até 22 de setembro de 2026. Depois disso, eles serão incluídos na lista de arquivos, embora ainda possam ser utilizados. Em 22 de setembro de 2020 encerrou-se a aceitação de pedidos de validação de acordo com a norma FIPS 140-3. Assim que os dispositivos passarem nas verificações, eles serão movidos para a lista ativa de dispositivos testados e confiáveis por cinco anos. Se um dispositivo criptográfico não passar na verificação, seu uso em agências governamentais dos Estados Unidos e do Canadá não é recomendado.
2. Quais requisitos de segurança a certificação FIPS impõe?
Hackear dados mesmo de uma unidade criptografada não certificada é difícil e poucas pessoas conseguem fazê-lo, portanto, ao escolher uma unidade de consumidor para uso doméstico com certificação, você não precisa se preocupar. No setor corporativo, a situação é diferente: ao escolher unidades USB seguras, as empresas muitas vezes atribuem importância aos níveis de certificação FIPS. No entanto, nem todos têm uma ideia clara do que significam esses níveis.
O atual padrão FIPS 140-2 define quatro níveis de segurança diferentes que as unidades flash podem atender. O primeiro nível fornece um conjunto moderado de recursos de segurança. O quarto nível implica requisitos rigorosos para a autoproteção dos dispositivos. Os níveis dois e três fornecem uma gradação desses requisitos e formam uma espécie de meio-termo.
- Segurança de nível XNUMX: as unidades USB certificadas de nível XNUMX exigem pelo menos um algoritmo de criptografia ou outro recurso de segurança.
- O segundo nível de segurança: aqui a unidade é necessária não apenas para fornecer proteção criptográfica, mas também para detectar invasões não autorizadas no nível do firmware se alguém tentar abrir a unidade.
- O terceiro nível de segurança: envolve a prevenção de hackers, destruindo “chaves” de criptografia. Ou seja, é necessária uma resposta às tentativas de penetração. Além disso, o terceiro nível garante um maior nível de proteção contra interferências eletromagnéticas: ou seja, a leitura de dados de uma unidade flash usando dispositivos de hacking sem fio não funcionará.
- O quarto nível de segurança: o nível mais alto, que envolve a proteção completa do módulo criptográfico, que proporciona a máxima probabilidade de detecção e combate a qualquer tentativa de acesso não autorizado por um usuário não autorizado. As unidades flash que receberam um certificado de quarto nível também incluem opções de proteção que não permitem hackers alterando a tensão e a temperatura ambiente.
As seguintes unidades Kingston são certificadas para FIPS 140-2 Nível 2000: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. A principal característica dessas unidades é a capacidade de responder a uma tentativa de invasão: se a senha for digitada incorretamente XNUMX vezes, os dados da unidade serão destruídos.
O que mais as unidades flash Kingston podem fazer além da criptografia?
Quando se trata de segurança completa de dados, junto com criptografia de hardware de pen drives, antivírus integrados, proteção contra influências externas, sincronização com nuvens pessoais e outros recursos que discutiremos a seguir vêm em socorro. Não há grande diferença em unidades flash com criptografia de software. O diabo está nos detalhes. E aqui está o que.
1. Kingston DataTraveler 2000
Vamos pegar uma unidade USB, por exemplo. . Este é um dos pen drives com criptografia de hardware, mas ao mesmo tempo o único com teclado físico próprio no case. Este teclado de 11 botões torna o DT2000 completamente independente dos sistemas host (para usar o DataTraveler 2000, você deve pressionar o botão Key, digitar sua senha e pressionar o botão Key novamente). Além disso, este pen drive possui grau de proteção IP57 contra água e poeira (surpreendentemente, a Kingston não afirma isso em nenhum lugar, nem na embalagem nem nas especificações do site oficial).
Há uma bateria de polímero de lítio de 2000mAh dentro do DataTraveler 40, e Kingston aconselha os compradores a conectar a unidade a uma porta USB por pelo menos uma hora antes de usá-la para permitir que a bateria carregue. Aliás, em um dos materiais anteriores : Não há motivo para preocupação - o pen drive não está ativado no carregador porque não há solicitações do sistema ao controlador. Portanto, ninguém roubará seus dados por meio de invasões sem fio.
2. Armário Kingston DataTraveler + G3
Se falarmos sobre o modelo Kingston – chama a atenção pela capacidade de configurar backup de dados de um pen drive para armazenamento em nuvem do Google, OneDrive, Amazon Cloud ou Dropbox. A sincronização de dados com esses serviços também é fornecida.
Uma das perguntas que nossos leitores nos fazem é: “Mas como tirar dados criptografados de um backup?” Muito simples. O fato é que ao sincronizar com a nuvem, as informações são descriptografadas, e a proteção do backup na nuvem depende das capacidades da própria nuvem. Portanto, tais procedimentos são realizados exclusivamente a critério do usuário. Sem a sua permissão, nenhum dado será carregado na nuvem.
3. Privacidade do Kingston DataTraveler Vault 3.0
Mas os dispositivos Kingston Eles também vêm com antivírus Drive Security integrado da ESET. Este último protege os dados da invasão de um drive USB por vírus, spyware, cavalos de Tróia, worms, rootkits e conexão com computadores de outras pessoas, pode-se dizer, não tem medo. O antivírus avisará instantaneamente o proprietário da unidade sobre ameaças potenciais, se alguma for detectada. Nesse caso, o usuário não precisa instalar ele mesmo um software antivírus e pagar por esta opção. O ESET Drive Security vem pré-instalado em uma unidade flash com licença de cinco anos.
Kingston DT Vault Privacy 3.0 foi projetado e direcionado principalmente a profissionais de TI. Ele permite que os administradores o usem como uma unidade autônoma ou o adicionem como parte de uma solução de gerenciamento centralizado, e também pode ser usado para configurar ou redefinir senhas remotamente e configurar políticas de dispositivos. A Kingston ainda adicionou o USB 3.0, que permite transferir dados seguros muito mais rápido que o USB 2.0.
No geral, o DT Vault Privacy 3.0 é uma excelente opção para o setor corporativo e organizações que exigem proteção máxima de seus dados. Também pode ser recomendado a todos os usuários que utilizam computadores localizados em redes públicas.
Para obter mais informações sobre os produtos Kingston, entre em contato .
Fonte: habr.com