Ahoj Habr! V komentároch k jednému z našich čitatelia položili zaujímavú otázku: „Prečo potrebujete flash disk s hardvérovým šifrovaním, keď je k dispozícii TrueCrypt?“ – a dokonca vyjadrili určité obavy týkajúce sa „Ako sa môžete uistiť, že v softvéri a hardvéri disku Kingston nie sú žiadne záložky? ?" Na tieto otázky sme odpovedali stručne, ale potom sme sa rozhodli, že téma si zaslúži fundamentálnu analýzu. To je to, čo urobíme v tomto príspevku.
Hardvérové šifrovanie AES, podobne ako softvérové šifrovanie, existuje už dlho, ale ako presne chráni citlivé údaje na flash diskoch? Kto certifikuje takéto disky a dá sa týmto certifikáciám dôverovať? Kto potrebuje také „komplexné“ flash disky, ak môžete použiť bezplatné programy ako TrueCrypt alebo BitLocker. Ako vidíte, téma položená v komentároch skutočne vyvoláva veľa otázok. Skúsme na to všetko prísť.
Ako sa hardvérové šifrovanie líši od softvérového šifrovania?
V prípade flash diskov (ako aj HDD a SSD) sa na implementáciu hardvérového šifrovania údajov používa špeciálny čip umiestnený na doske s plošnými spojmi zariadenia. Má vstavaný generátor náhodných čísel, ktorý generuje šifrovacie kľúče. Údaje sú automaticky šifrované a okamžite dešifrované, keď zadáte svoje používateľské heslo. V tomto scenári je takmer nemožné získať prístup k údajom bez hesla.
Pri použití softvérového šifrovania zabezpečuje „uzamknutie“ údajov na disku externý softvér, ktorý funguje ako lacná alternatíva k metódam hardvérového šifrovania. Nevýhody takéhoto softvéru môžu zahŕňať banálnu požiadavku na pravidelné aktualizácie s cieľom poskytnúť odolnosť voči neustále sa zlepšujúcim hackerským technikám. Okrem toho sa na dešifrovanie údajov používa výkon počítačového procesu (namiesto samostatného hardvérového čipu) av skutočnosti úroveň ochrany počítača určuje úroveň ochrany disku.
Hlavnou vlastnosťou diskov s hardvérovým šifrovaním je samostatný kryptografický procesor, ktorého prítomnosť nám hovorí, že šifrovacie kľúče nikdy neopúšťajú USB disk, na rozdiel od softvérových kľúčov, ktoré môžu byť dočasne uložené v pamäti RAM počítača alebo na pevnom disku. A keďže softvérové šifrovanie využíva pamäť počítača na ukladanie počtu pokusov o prihlásenie, nedokáže zastaviť útoky na heslo alebo kľúč hrubou silou. Počítadlo pokusov o prihlásenie môže útočník nepretržite resetovať, kým program na automatické prelomenie hesla nenájde požadovanú kombináciu.
Mimochodom..., v komentároch k článku “„Používatelia tiež poznamenali, že napríklad program TrueCrypt má prenosný prevádzkový režim. To však nie je veľká výhoda. Faktom je, že v tomto prípade je šifrovací program uložený v pamäti flash disku, čo ho robí zraniteľnejším voči útokom.
Zrátané a podčiarknuté: softvérový prístup neposkytuje takú vysokú úroveň zabezpečenia ako šifrovanie AES. Je to skôr základná obrana. Na druhej strane, softvérové šifrovanie dôležitých údajov je stále lepšie ako žiadne šifrovanie. A táto skutočnosť nám umožňuje jasne rozlišovať medzi týmito typmi kryptografie: hardvérové šifrovanie flash diskov je nevyhnutnosťou skôr pre firemný sektor (napríklad keď zamestnanci spoločnosti používajú disky vydané v práci); a softvér je vhodnejší pre potreby používateľov.
Kingston však svoje modely pohonov (napríklad IronKey S1000) delí na verzie Basic a Enterprise. Z hľadiska funkčnosti a ochranných vlastností sú navzájom takmer totožné, no firemná verzia ponúka možnosť spravovať disk pomocou softvéru SafeConsole/IronKey EMS. Pomocou tohto softvéru disk spolupracuje buď s cloudovými alebo lokálnymi servermi, aby na diaľku vynútil ochranu heslom a zásady prístupu. Používatelia majú možnosť obnoviť stratené heslá a správcovia môžu prepínať jednotky, ktoré sa už nepoužívajú, na nové úlohy.
Ako fungujú flash disky Kingston so šifrovaním AES?
Kingston používa 256-bitové hardvérové šifrovanie AES-XTS (pomocou voliteľného kľúča plnej dĺžky) pre všetky svoje zabezpečené disky. Ako sme uviedli vyššie, flash disky obsahujú vo svojej súčiastkovej základni samostatný čip na šifrovanie a dešifrovanie dát, ktorý funguje ako neustále aktívny generátor náhodných čísel.
Keď prvýkrát pripojíte zariadenie k portu USB, Sprievodca nastavením inicializácie vás vyzve, aby ste nastavili hlavné heslo na prístup k zariadeniu. Po aktivácii disku začnú šifrovacie algoritmy automaticky pracovať v súlade s preferenciami používateľa.
Zároveň pre používateľa zostane princíp fungovania flash disku nezmenený - stále bude môcť sťahovať a umiestňovať súbory do pamäte zariadenia, ako pri práci s bežným USB flash diskom. Jediný rozdiel je v tom, že keď pripojíte flash disk k novému počítaču, budete musieť zadať nastavené heslo, aby ste získali prístup k svojim informáciám.
Prečo a kto potrebuje flash disky s hardvérovým šifrovaním?
Pre organizácie, kde sú citlivé údaje súčasťou podnikania (či už finančné, zdravotnícke alebo vládne), je šifrovanie najspoľahlivejším prostriedkom ochrany. Hardvérové šifrovanie AES je škálovateľné riešenie, ktoré môže použiť každá spoločnosť: od jednotlivcov a malých podnikov až po veľké korporácie, ako aj vojenské a vládne organizácie. Ak sa chcete na tento problém pozrieť trochu konkrétnejšie, je potrebné použiť šifrované jednotky USB:
- Na zaistenie bezpečnosti dôverných údajov spoločnosti
- Na ochranu informácií o zákazníkoch
- Chrániť spoločnosti pred stratou zisku a lojality zákazníkov
Stojí za zmienku, že niektorí výrobcovia bezpečných flash diskov (vrátane Kingstonu) poskytujú korporáciám prispôsobené riešenia navrhnuté tak, aby vyhovovali potrebám a cieľom zákazníkov. Ale sériovo vyrábané linky (vrátane flash diskov DataTraveler) sa dobre vyrovnávajú so svojimi úlohami a sú schopné poskytnúť bezpečnosť na podnikovej úrovni.
1. Zabezpečenie bezpečnosti dôverných údajov spoločnosti
V roku 2017 objavil obyvateľ Londýna v jednom z parkov USB disk, ktorý obsahoval heslom chránené informácie súvisiace s bezpečnosťou letiska Heathrow, vrátane umiestnenia monitorovacích kamier a podrobných informácií o bezpečnostných opatreniach v prípade príchodu vysokí funkcionári. Flash disk obsahoval aj údaje o elektronických preukazoch a prístupových kódoch do zakázaných oblastí letiska.
Analytici tvrdia, že dôvodom takýchto situácií je kybernetická negramotnosť zamestnancov spoločnosti, ktorí môžu „uniknúť“ tajné údaje vlastnou nedbalosťou. Flash disky s hardvérovým šifrovaním tento problém čiastočne riešia, pretože v prípade straty takéhoto disku sa bez hlavného hesla toho istého bezpečnostného pracovníka nedostanete k údajom na ňom. V každom prípade to nevyvracia skutočnosť, že zamestnanci musia byť vyškolení na manipuláciu s flash diskami, aj keď hovoríme o zariadeniach chránených šifrovaním.
2. Ochrana informácií o zákazníkoch
Ešte dôležitejšou úlohou pre každú organizáciu je starostlivosť o údaje o zákazníkoch, ktoré by nemali byť vystavené riziku kompromitácie. Mimochodom, práve tieto informácie sa najčastejšie prenášajú medzi rôznymi sektormi podnikania a sú spravidla dôverné: môžu napríklad obsahovať údaje o finančných transakciách, anamnéze atď.
3. Ochrana pred stratou zisku a lojalitou zákazníkov
Používanie zariadení USB s hardvérovým šifrovaním môže pomôcť zabrániť ničivým následkom pre organizácie. Spoločnosti, ktoré porušia zákony na ochranu osobných údajov, môžu dostať vysoké pokuty. Preto si treba položiť otázku: oplatí sa riskovať zdieľanie informácií bez náležitej ochrany?
Aj bez zohľadnenia finančného dopadu môže byť množstvo času a zdrojov vynaložených na nápravu bezpečnostných chýb, ktoré sa vyskytnú, rovnako významné. Okrem toho, ak porušenie ochrany údajov ohrozí údaje zákazníkov, spoločnosť riskuje lojalitu k značke, najmä na trhoch, kde existujú konkurenti ponúkajúci podobný produkt alebo službu.
Kto zaručuje absenciu „záložiek“ od výrobcu pri používaní flash diskov s hardvérovým šifrovaním?
V téme, ktorú sme nastolili, je táto otázka možno jednou z hlavných. Medzi komentármi k článku o diskoch Kingston DataTraveler sme narazili na ďalšiu zaujímavú otázku: „Majú vaše zariadenia audity od nezávislých špecialistov tretích strán?“ Nuž... je to logický záujem: používatelia sa chcú uistiť, že naše USB disky neobsahujú bežné chyby, ako je slabé šifrovanie alebo schopnosť obísť zadávanie hesla. A v tejto časti článku si povieme, aké certifikačné postupy podstupujú disky Kingston, kým získajú status skutočne bezpečných flash diskov.
Kto garantuje spoľahlivosť? Mohlo by sa zdať, že by sme mohli povedať, že „Kingston to vyrobil – to zaručuje.“ V tomto prípade však bude takéto vyhlásenie nesprávne, pretože výrobca je zainteresovanou stranou. Preto sú všetky produkty testované treťou stranou s nezávislými odbornými znalosťami. Konkrétne, hardvérovo šifrované disky Kingston (s výnimkou DTLPG3) sú účastníkmi programu na overenie kryptografických modulov (CMVP) a sú certifikované podľa Federal Information Processing Standard (FIPS). Pohony sú tiež certifikované podľa noriem GLBA, HIPPA, HITECH, PCI a GTSA.
1. Program na overenie kryptografických modulov
Program CMVP je spoločným projektom Národného inštitútu pre štandardy a technológie Ministerstva obchodu USA a Kanadského centra kybernetickej bezpečnosti. Cieľom projektu je stimulovať dopyt po overených kryptografických zariadeniach a poskytovať bezpečnostné metriky federálnym agentúram a regulovaným odvetviam (ako sú finančné a zdravotnícke inštitúcie), ktoré sa používajú pri obstarávaní zariadení.
Zariadenia sú testované podľa súboru kryptografických a bezpečnostných požiadaviek nezávislými kryptografickými a bezpečnostnými testovacími laboratóriami akreditovanými Národným programom akreditácie dobrovoľných laboratórií (NVLAP). Zároveň je každá laboratórna správa kontrolovaná z hľadiska súladu s Federálnym štandardom spracovania informácií (FIPS) 140-2 a potvrdená CMVP.
Moduly overené ako kompatibilné s FIPS 140-2 sa odporúčajú na používanie federálnymi agentúrami USA a Kanady do 22. septembra 2026. Potom budú zaradené do zoznamu archívov, aj keď ich bude možné naďalej používať. Dňa 22 sa skončilo prijímanie žiadostí o validáciu podľa štandardu FIPS 2020-140. Keď zariadenia prejdú kontrolami, presunú sa na päť rokov do aktívneho zoznamu testovaných a dôveryhodných zariadení. Ak kryptografické zariadenie neprejde overením, jeho použitie vo vládnych agentúrach v USA a Kanade sa neodporúča.
2. Aké bezpečnostné požiadavky kladie certifikácia FIPS?
Hackovanie údajov aj z necertifikovaného šifrovaného disku je náročné a dokáže to len málokto, takže pri výbere spotrebiteľského disku na domáce použitie s certifikáciou sa nemusíte obťažovať. V podnikovom sektore je situácia iná: pri výbere bezpečných USB diskov spoločnosti často pripisujú dôležitosť úrovniam certifikácie FIPS. Nie každý však má jasnú predstavu o tom, čo tieto úrovne znamenajú.
Súčasný štandard FIPS 140-2 definuje štyri rôzne úrovne zabezpečenia, ktoré môžu flash disky spĺňať. Prvá úroveň poskytuje miernu sadu bezpečnostných funkcií. Štvrtá úroveň zahŕňa prísne požiadavky na vlastnú ochranu zariadení. Úrovne dva a tri poskytujú gradáciu týchto požiadaviek a tvoria akúsi zlatú strednú cestu.
- Zabezpečenie úrovne XNUMX: Jednotky USB s certifikáciou úrovne XNUMX vyžadujú aspoň jeden šifrovací algoritmus alebo inú bezpečnostnú funkciu.
- Druhá úroveň zabezpečenia: tu sa vyžaduje, aby disk nielen poskytoval kryptografickú ochranu, ale aj aby odhalil neoprávnené prieniky na úrovni firmvéru, ak sa niekto pokúsi disk otvoriť.
- Tretia úroveň zabezpečenia: zahŕňa zabránenie hackerom zničením šifrovacích „kľúčov“. To znamená, že je potrebná reakcia na pokusy o prienik. Tretia úroveň tiež zaručuje vyššiu úroveň ochrany pred elektromagnetickým rušením: to znamená, že čítanie údajov z flash disku pomocou bezdrôtových hackerských zariadení nebude fungovať.
- Štvrtá úroveň zabezpečenia: najvyššia úroveň, ktorá zahŕňa kompletnú ochranu kryptografického modulu, ktorá poskytuje maximálnu pravdepodobnosť odhalenia a boja proti akýmkoľvek pokusom o neoprávnený prístup neoprávneným používateľom. Flash disky, ktoré získali certifikát štvrtej úrovne, obsahujú aj možnosti ochrany, ktoré neumožňujú hackovanie zmenou napätia a teploty okolia.
Nasledujúce disky Kingston sú certifikované podľa FIPS 140-2 Level 2000: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. Kľúčovou vlastnosťou týchto diskov je ich schopnosť reagovať na pokus o vniknutie: ak je heslo zadané nesprávne XNUMX-krát, údaje na disku sa zničia.
Čo iné dokážu flash disky Kingston okrem šifrovania?
Pokiaľ ide o úplné zabezpečenie dát, na pomoc prichádza hardvérové šifrovanie flash diskov, vstavané antivírusy, ochrana pred vonkajšími vplyvmi, synchronizácia s osobnými cloudmi a ďalšie funkcie, o ktorých budeme diskutovať nižšie. Pri flash diskoch so softvérovým šifrovaním nie je veľký rozdiel. Diabol je v detailoch. A tu je čo.
1. Kingston DataTraveler 2000
Vezmime si napríklad USB disk. . Ide o jeden z flash diskov s hardvérovým šifrovaním, no zároveň jediný s vlastnou fyzickou klávesnicou na obale. Vďaka tejto 11-tlačidlovej klávesnici je DT2000 úplne nezávislý od hostiteľských systémov (ak chcete použiť DataTraveler 2000, musíte stlačiť tlačidlo Key, potom zadať heslo a znova stlačiť tlačidlo Key). Tento flash disk má navyše krytie IP57 proti vode a prachu (Kingston to prekvapivo nikde neuvádza ani na obale, ani v špecifikáciách na oficiálnej stránke).
Vnútri DataTraveler 2000 je lítium-polymérová batéria s kapacitou 40 mAh a spoločnosť Kingston odporúča kupujúcim, aby pred použitím pripojili disk k portu USB aspoň na hodinu, aby sa batéria mohla nabiť. Mimochodom, v jednom z predchádzajúcich materiálov : Nie je dôvod na obavy - flash disk nie je aktivovaný v nabíjačke, pretože systém nemá žiadne požiadavky na ovládač. Preto nikto neukradne vaše dáta cez bezdrôtové prieniky.
2. Kingston DataTraveler Locker+ G3
Ak hovoríme o modeli Kingston – zaujme možnosťou konfigurovať zálohovanie dát z flash disku na cloudové úložisko Google, OneDrive, Amazon Cloud či Dropbox. Poskytuje sa aj synchronizácia dát s týmito službami.
Jedna z otázok, ktoré nám naši čitatelia kladú, je: „Ako však zo zálohy vziať šifrované údaje? Veľmi jednoduché. Faktom je, že pri synchronizácii s cloudom sa informácie dešifrujú a ochrana zálohy v cloude závisí od schopností samotného cloudu. Preto sa takéto postupy vykonávajú výlučne podľa uváženia používateľa. Bez jeho súhlasu nebudú do cloudu nahrané žiadne údaje.
3. Kingston DataTraveler Vault Privacy 3.0
Ale zariadenia Kingston Dodávajú sa tiež so vstavaným antivírusom Drive Security od spoločnosti ESET. Ten druhý chráni dáta pred napadnutím USB disku vírusmi, spywarom, trójskymi koňmi, červami, rootkitmi a pripojením k počítačom iných ľudí, dalo by sa povedať, že sa nebojí. Antivírus okamžite upozorní majiteľa disku na potenciálne hrozby, ak nejaké sú zistené. V tomto prípade používateľ nemusí sám inštalovať antivírusový softvér a platiť za túto možnosť. ESET Drive Security je predinštalovaný na flash disku s päťročnou licenciou.
Kingston DT Vault Privacy 3.0 je navrhnutý a zameraný predovšetkým na IT profesionálov. Umožňuje správcom používať ho ako samostatný disk alebo ho pridať ako súčasť riešenia centralizovanej správy a možno ho použiť aj na konfiguráciu alebo vzdialené resetovanie hesiel a konfiguráciu pravidiel zariadenia. Kingston dokonca pridal USB 3.0, ktorý umožňuje prenášať zabezpečené dáta oveľa rýchlejšie ako USB 2.0.
Celkovo je DT Vault Privacy 3.0 vynikajúcou voľbou pre firemný sektor a organizácie, ktoré vyžadujú maximálnu ochranu svojich údajov. Možno ho odporučiť aj všetkým používateľom, ktorí používajú počítače umiestnené vo verejných sieťach.
Pre viac informácií o produktoch Kingston kontaktujte .
Zdroj: hab.com