Pozdravljeni, Habr! V komentarjih na enega od naših bralci so postavili zanimivo vprašanje: »Zakaj potrebujete bliskovni pogon s strojno šifriranjem, če je na voljo TrueCrypt?« - in celo izrazili nekaj pomislekov glede »Kako se lahko prepričate, da v programski in strojni opremi pogona Kingston ni zaznamkov ?" Na ta vprašanja smo odgovorili jedrnato, nato pa se odločili, da si tema zasluži temeljno analizo. To bomo storili v tej objavi.
Strojno šifriranje AES, tako kot programsko šifriranje, obstaja že dolgo, toda kako natančno ščiti občutljive podatke na bliskovnih pogonih? Kdo certificira takšne pogone in ali je tem certifikatom mogoče zaupati? Kdo potrebuje tako "zapletene" bliskovne pogone, če lahko uporabljate brezplačne programe, kot sta TrueCrypt ali BitLocker. Kot lahko vidite, tema, zastavljena v komentarjih, res sproža veliko vprašanj. Poskusimo vse ugotoviti.
Kako se šifriranje strojne opreme razlikuje od šifriranja programske opreme?
V primeru bliskovnih pogonov (pa tudi trdih diskov in diskov SSD) se za izvajanje strojnega šifriranja podatkov uporablja poseben čip, ki se nahaja na vezju naprave. Ima vgrajen generator naključnih števil, ki generira šifrirne ključe. Podatki so samodejno šifrirani in takoj dešifrirani, ko vnesete uporabniško geslo. V tem primeru je skoraj nemogoče dostopati do podatkov brez gesla.
Pri uporabi programskega šifriranja »zaklepanje« podatkov na disku zagotavlja zunanja programska oprema, ki deluje kot poceni alternativa metodam strojnega šifriranja. Pomanjkljivosti takšne programske opreme lahko vključujejo banalno zahtevo po rednih posodobitvah, da se uprejo čedalje boljšim tehnikam vdiranja. Poleg tega se za dešifriranje podatkov uporablja moč računalniškega procesa (namesto ločenega strojnega čipa) in pravzaprav raven zaščite osebnega računalnika določa raven zaščite pogona.
Glavna značilnost diskov s strojno šifriranjem je ločen kriptografski procesor, katerega prisotnost nam pove, da šifrirni ključi nikoli ne zapustijo pogona USB, za razliko od programskih ključev, ki jih je mogoče začasno shraniti v RAM ali trdi disk računalnika. In ker šifriranje programske opreme uporablja pomnilnik računalnika za shranjevanje števila poskusov prijave, ne more ustaviti napadov s surovo silo na geslo ali ključ. Števec poskusov prijave lahko napadalec neprestano ponastavlja, dokler program za samodejno razbijanje gesel ne najde želene kombinacije.
Mimogrede ..., v komentarjih k članku "»Uporabniki so opazili tudi, da ima na primer program TrueCrypt prenosni način delovanja. Vendar to ni velika prednost. Dejstvo je, da je v tem primeru šifrirni program shranjen v pomnilniku bliskovnega pogona, zaradi česar je bolj ranljiv za napade.
Bistvo: programski pristop ne zagotavlja tako visoke ravni varnosti kot šifriranje AES. To je bolj osnovna obramba. Po drugi strani pa je programsko šifriranje pomembnih podatkov še vedno boljše od nikakršnega šifriranja. In to dejstvo nam omogoča jasno razlikovanje med temi vrstami kriptografije: strojno šifriranje bliskovnih pogonov je bolj nujno za podjetniški sektor (na primer, ko zaposleni v podjetju uporabljajo pogone, izdane v službi); in programska oprema je bolj primerna za potrebe uporabnikov.
Kingston pa deli svoje pogonske modele (na primer IronKey S1000) na različici Basic in Enterprise. Po funkcionalnosti in zaščitnih lastnostih sta med seboj skoraj enaka, vendar korporativna različica ponuja možnost upravljanja pogona s programsko opremo SafeConsole/IronKey EMS. S to programsko opremo disk deluje z oblakom ali lokalnimi strežniki za oddaljeno uveljavljanje zaščite z geslom in pravilnikov dostopa. Uporabniki imajo možnost obnoviti izgubljena gesla, skrbniki pa lahko preklopijo pogone, ki niso več v uporabi, na nove naloge.
Kako delujejo bliskovni pogoni Kingston s šifriranjem AES?
Kingston uporablja 256-bitno strojno šifriranje AES-XTS (z uporabo neobveznega ključa polne dolžine) za vse svoje varne pogone. Kot smo že omenili, bliskovni pogoni v svoji komponentni bazi vsebujejo ločen čip za šifriranje in dešifriranje podatkov, ki deluje kot nenehno aktiven generator naključnih števil.
Ko napravo prvič povežete z vrati USB, vas čarovnik za nastavitev inicializacije pozove, da nastavite glavno geslo za dostop do naprave. Po aktiviranju pogona bodo šifrirni algoritmi samodejno začeli delovati v skladu z uporabniškimi nastavitvami.
Hkrati bo za uporabnika načelo delovanja bliskovnega pogona ostalo nespremenjeno - še vedno bo lahko prenašal in postavljal datoteke v pomnilnik naprave, kot pri delu z običajnim bliskovnim pogonom USB. Edina razlika je v tem, da ko bliskovni pogon povežete z novim računalnikom, boste morali vnesti nastavljeno geslo za dostop do svojih podatkov.
Zakaj in kdo potrebuje bliskovne pogone s strojno šifriranjem?
Za organizacije, kjer so občutljivi podatki del poslovanja (bodisi finančne, zdravstvene ali vladne), je šifriranje najzanesljivejši način zaščite. Strojno šifriranje AES je razširljiva rešitev, ki jo lahko uporablja vsako podjetje: od posameznikov in malih podjetij do velikih korporacij, pa tudi vojaških in vladnih organizacij. Če si želite podrobneje ogledati to težavo, je potrebna uporaba šifriranih pogonov USB:
- Za zagotovitev varnosti zaupnih podatkov podjetja
- Za zaščito podatkov o strankah
- Za zaščito podjetij pred izgubo dobička in zvestobo strank
Treba je omeniti, da nekateri proizvajalci varnih bliskovnih pogonov (vključno s Kingstonom) zagotavljajo korporacijam prilagojene rešitve, zasnovane za potrebe in cilje strank. Toda množično proizvedene linije (vključno z bliskovnimi pogoni DataTraveler) se odlično spopadajo s svojimi nalogami in so sposobne zagotoviti varnost korporativnega razreda.
1. Zagotavljanje varnosti zaupnih podatkov podjetja
Leta 2017 je prebivalec Londona v enem od parkov odkril pogon USB, ki je vseboval informacije o varnosti letališča Heathrow, ki niso bile zaščitene z geslom, vključno z lokacijo nadzornih kamer in podrobnimi informacijami o varnostnih ukrepih v primeru prihoda visoki uradniki. Na bliskovnem pogonu so bili tudi podatki o elektronskih prepustnicah in kodah za dostop do zaprtih območij letališča.
Analitiki pravijo, da je razlog za takšne situacije kibernetska nepismenost zaposlenih v podjetju, ki lahko iz lastne malomarnosti »izpustijo« tajne podatke. Flash diski s strojno enkripcijo to težavo delno rešijo, saj v primeru izgube diska do podatkov na njem ne boste mogli dostopati brez glavnega gesla istega varnostnika. Vsekakor pa to ne zanika dejstva, da morajo biti zaposleni usposobljeni za rokovanje z bliskovnimi diski, tudi če govorimo o napravah, zaščitenih s šifriranjem.
2. Zaščita podatkov o strankah
Še pomembnejša naloga vsake organizacije je skrb za podatke o strankah, ki ne smejo biti izpostavljeni tveganju ogrožanja. Mimogrede, prav te informacije se najpogosteje prenašajo med različnimi poslovnimi sektorji in so praviloma zaupne: na primer lahko vsebujejo podatke o finančnih transakcijah, zdravstveno zgodovino itd.
3. Zaščita pred izgubo dobička in zvestobo strank
Uporaba naprav USB s šifriranjem strojne opreme lahko pomaga preprečiti uničujoče posledice za organizacije. Podjetja, ki kršijo zakone o varstvu osebnih podatkov, so lahko kaznovana z visokimi zneski. Zato se je treba vprašati: ali je vredno tvegati izmenjavo informacij brez ustrezne zaščite?
Tudi brez upoštevanja finančnega vpliva je lahko količina časa in sredstev, porabljenih za odpravo varnostnih napak, ki se pojavijo, prav tako pomembna. Poleg tega, če kršitev podatkov ogrozi podatke strank, podjetje tvega zvestobo blagovni znamki, zlasti na trgih, kjer obstajajo konkurenti, ki ponujajo podoben izdelek ali storitev.
Kdo jamči za odsotnost "zaznamkov" proizvajalca pri uporabi bliskovnih pogonov s strojnim šifriranjem?
V temi, ki smo jo izpostavili, je to vprašanje morda eno glavnih. Med komentarji na članek o pogonih Kingston DataTraveler smo naleteli na še eno zanimivo vprašanje: "Ali imajo vaše naprave revizije neodvisnih strokovnjakov tretjih oseb?" No ... to je logično zanimanje: uporabniki se želijo prepričati, da naši pogoni USB ne vsebujejo običajnih napak, kot je šibko šifriranje ali možnost zaobiti vnos gesla. In v tem delu članka bomo govorili o tem, kakšne certifikacijske postopke opravijo pogoni Kingston, preden prejmejo status resnično varnih bliskovnih pogonov.
Kdo jamči za zanesljivost? Zdi se, da bi lahko rekli: "Kingston je to naredil - to zagotavlja." Toda v tem primeru bo takšna izjava napačna, saj je proizvajalec zainteresirana stranka. Zato vse izdelke testira tretja oseba z neodvisnim strokovnim znanjem. Zlasti pogoni Kingston, šifrirani s strojno opremo (z izjemo DTLPG3), so udeleženci v programu za preverjanje veljavnosti kriptografskega modula (CMVP) in so certificirani po zveznem standardu za obdelavo informacij (FIPS). Pogoni so tudi certificirani po standardih GLBA, HIPPA, HITECH, PCI in GTSA.
1. Program za validacijo kriptografskega modula
Program CMVP je skupni projekt Nacionalnega inštituta za standarde in tehnologijo ameriškega ministrstva za trgovino in Kanadskega centra za kibernetsko varnost. Cilj projekta je spodbuditi povpraševanje po preverjenih kriptografskih napravah in zagotoviti varnostne meritve zveznim agencijam in reguliranim industrijam (kot so finančne in zdravstvene ustanove), ki se uporabljajo pri nabavi opreme.
Naprave so preizkušene glede na nabor kriptografskih in varnostnih zahtev s strani neodvisnih laboratorijev za testiranje kriptografije in varnosti, ki jih je akreditiral Nacionalni program prostovoljne akreditacije laboratorijev (NVLAP). Hkrati se vsako laboratorijsko poročilo preveri glede skladnosti z zveznim standardom za obdelavo informacij (FIPS) 140-2 in potrdi CMVP.
Module, preverjene kot skladne s FIPS 140-2, priporočajo za uporabo zvezne agencije ZDA in Kanade do 22. septembra 2026. Po tem bodo uvrščeni v arhivski seznam, vendar jih bo še vedno mogoče uporabljati. 22. septembra 2020 se je zaključilo sprejemanje vlog za validacijo po standardu FIPS 140-3. Ko naprave prestanejo preverjanja, bodo za pet let premaknjene na aktivni seznam preizkušenih in zaupanja vrednih naprav. Če kriptografska naprava ne prestane preverjanja, njena uporaba v vladnih agencijah v Združenih državah in Kanadi ni priporočljiva.
2. Katere varnostne zahteve nalaga certifikat FIPS?
Vdiranje v podatke celo iz necertificiranega šifriranega pogona je težko in le malokdo ga zmore, zato se vam pri izbiri potrošniškega pogona za domačo uporabo s certifikatom ni treba truditi. V podjetniškem sektorju je situacija drugačna: pri izbiri varnih pogonov USB podjetja pogosto pripisujejo pomen stopnjam certifikata FIPS. Vendar pa nimajo vsi jasne predstave o tem, kaj te ravni pomenijo.
Trenutni standard FIPS 140-2 določa štiri različne varnostne ravni, ki jih lahko dosežejo bliskovni pogoni. Prva raven zagotavlja zmeren nabor varnostnih funkcij. Četrta stopnja pomeni stroge zahteve za samozaščito naprav. Druga in tretja stopnja zagotavljata stopnjevanje teh zahtev in tvorita nekakšno zlato sredino.
- Varnost XNUMX. stopnje: Pogoni USB s certifikatom XNUMX. stopnje zahtevajo vsaj en šifrirni algoritem ali drugo varnostno funkcijo.
- Druga stopnja varnosti: tukaj je potreben pogon ne le za zagotavljanje kriptografske zaščite, ampak tudi za zaznavanje nepooblaščenih vdorov na ravni vdelane programske opreme, če nekdo poskuša odpreti pogon.
- Tretja raven varnosti: vključuje preprečevanje vdiranja z uničenjem šifrirnih "ključev". To pomeni, da je potreben odziv na poskuse prodora. Tudi tretja raven zagotavlja višjo stopnjo zaščite pred elektromagnetnimi motnjami: to pomeni, da branje podatkov z bliskovnega pogona z uporabo brezžičnih hekerskih naprav ne bo delovalo.
- Četrta stopnja varnosti: najvišja stopnja, ki vključuje popolno zaščito kriptografskega modula, ki zagotavlja največjo verjetnost zaznave in zoperstavljanja morebitnim poskusom nepooblaščenega dostopa s strani nepooblaščenega uporabnika. Flash diski, ki so prejeli certifikat četrte stopnje, vključujejo tudi možnosti zaščite, ki ne dovoljujejo vdiranja s spreminjanjem napetosti in temperature okolja.
Naslednji pogoni Kingston so certificirani za FIPS 140-2 Level 2000: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. Ključna značilnost teh pogonov je njihova sposobnost odzivanja na poskus vdora: če geslo vnesete XNUMX-krat napačno, bodo podatki na disku uničeni.
Kaj še zmorejo bliskovni pogoni Kingston poleg šifriranja?
Ko gre za popolno varnost podatkov, poleg strojne enkripcije bliskovnih pogonov, na pomoč priskočijo vgrajeni antivirusi, zaščita pred zunanjimi vplivi, sinhronizacija z osebnimi oblaki in druge funkcije, o katerih bomo govorili v nadaljevanju. Pri bliskovnih pogonih s programsko šifriranjem ni velike razlike. Hudič je v podrobnostih. In tukaj je kaj.
1. Kingston DataTraveler 2000
Vzemimo za primer pogon USB. . To je eden od bliskovnih pogonov s strojno šifriranjem, a hkrati edini z lastno fizično tipkovnico na ohišju. Ta tipkovnica z 11 gumbi naredi DT2000 popolnoma neodvisen od gostiteljskih sistemov (če želite uporabljati DataTraveler 2000, morate pritisniti tipko Key, nato vnesti svoje geslo in ponovno pritisniti tipko Key). Poleg tega ima ta bliskovni pogon stopnjo zaščite IP57 pred vodo in prahom (presenetljivo je, da Kingston tega ne navaja nikjer niti na embalaži niti v specifikacijah na uradni spletni strani).
V DataTravelerju 2000 je litij-polimerna baterija s 40 mAh in Kingston svetuje kupcem, naj pogon priključijo na vrata USB za vsaj eno uro, preden ga uporabijo, da se baterija napolni. Mimogrede, v enem od prejšnjih materialov : Ni razloga za skrb - bliskovni pogon ni aktiviran v polnilniku, ker sistem ne pošilja nobenih zahtev krmilniku. Zato nihče ne bo ukradel vaših podatkov z brezžičnimi vdori.
2. Kingston DataTraveler Locker+ G3
Če govorimo o modelu Kingston – pritegne pozornost z zmožnostjo konfiguracije varnostnega kopiranja podatkov iz bliskovnega pogona v Google Cloud Storage, OneDrive, Amazon Cloud ali Dropbox. Zagotovljena je tudi sinhronizacija podatkov s temi storitvami.
Eno od vprašanj, ki nam jih postavljajo naši bralci, je: "Kako pa vzeti šifrirane podatke iz varnostne kopije?" Zelo preprosto. Dejstvo je, da se pri sinhronizaciji z oblakom informacije dešifrirajo, zaščita varnostne kopije v oblaku pa je odvisna od zmogljivosti samega oblaka. Zato se takšni postopki izvajajo izključno po lastni presoji uporabnika. Brez njegovega dovoljenja nobeni podatki ne bodo naloženi v oblak.
3. Zasebnost Kingston DataTraveler Vault 3.0
Toda naprave Kingston Imajo tudi vgrajen protivirusni program Drive Security podjetja ESET. Slednji ščiti podatke pred vdorom virusov, vohunskih programov, trojancev, črvov, rootkitov na USB-pogon, povezave z računalniki drugih pa se, lahko bi rekli, ne boji. Protivirusni program bo lastnika pogona takoj opozoril na morebitne grožnje, če jih zazna. V tem primeru uporabniku ni treba sam namestiti protivirusne programske opreme in plačati te možnosti. ESET Drive Security je vnaprej nameščen na bliskovnem pogonu s petletno licenco.
Kingston DT Vault Privacy 3.0 je zasnovan in namenjen predvsem IT strokovnjakom. Skrbnikom omogoča, da ga uporabljajo kot samostojni pogon ali ga dodajo kot del rešitve za centralizirano upravljanje, uporablja pa se lahko tudi za konfiguracijo ali oddaljeno ponastavitev gesel in konfiguracijo pravilnikov naprav. Kingston je celo dodal USB 3.0, ki vam omogoča veliko hitrejši prenos varnih podatkov kot USB 2.0.
Na splošno je DT Vault Privacy 3.0 odlična možnost za podjetniški sektor in organizacije, ki potrebujejo maksimalno zaščito svojih podatkov. Priporočamo ga tudi vsem uporabnikom, ki uporabljajo računalnike v javnih omrežjih.
Za več informacij o izdelkih Kingston kontaktirajte .
Vir: www.habr.com