Përshëndetje, Habr! Në komentet e njërit prej nesh lexuesit bënë një pyetje interesante: "Pse keni nevojë për një flash drive me kriptim harduer kur TrueCrypt është i disponueshëm?" - dhe madje shprehën disa shqetësime rreth "Si mund të siguroheni që nuk ka faqerojtës në softuerin dhe harduerin e një disku Kingston ?” Ne iu përgjigjëm këtyre pyetjeve në mënyrë të përmbledhur, por më pas vendosëm që tema meritonte një analizë themelore. Kjo është ajo që ne do të bëjmë në këtë postim.
Kriptimi i harduerit AES, si ai i softuerit, ka ekzistuar për një kohë të gjatë, por si i mbron saktësisht të dhënat e ndjeshme në disqet flash? Kush i certifikon disqet e tilla dhe a mund t'u besohet këtyre certifikatave? Kush ka nevojë për disqe të tilla "komplekse" flash nëse mund të përdorni programe falas si TrueCrypt ose BitLocker. Siç mund ta shihni, tema e bërë në komente ngre vërtet shumë pyetje. Le të përpiqemi t'i kuptojmë të gjitha.
Si ndryshon kriptimi i harduerit nga ai i softuerit?
Në rastin e disqeve flash (si dhe HDD dhe SSD), një çip i veçantë i vendosur në bordin e qarkut të pajisjes përdoret për të zbatuar enkriptimin e të dhënave të harduerit. Ai ka një gjenerator të integruar të numrave të rastësishëm që gjeneron çelësat e enkriptimit. Të dhënat kodohen automatikisht dhe deshifrohen menjëherë kur futni fjalëkalimin tuaj të përdoruesit. Në këtë skenar, është pothuajse e pamundur të aksesosh të dhënat pa një fjalëkalim.
Kur përdorni kriptimin e softuerit, "kyçja" e të dhënave në disk sigurohet nga softuer i jashtëm, i cili vepron si një alternativë me kosto të ulët ndaj metodave të kriptimit të harduerit. Disavantazhet e një softueri të tillë mund të përfshijnë kërkesën banale për përditësime të rregullta në mënyrë që të ofrojnë rezistencë ndaj teknikave gjithnjë e më të përmirësuara të hakerimit. Për më tepër, fuqia e një procesi kompjuterik (në vend të një çipi të veçantë hardueri) përdoret për të deshifruar të dhënat, dhe, në fakt, niveli i mbrojtjes së PC-së përcakton nivelin e mbrojtjes së diskut.
Karakteristika kryesore e disqeve me enkriptim harduerësh është një procesor kriptografik i veçantë, prania e të cilit na tregon se çelësat e enkriptimit nuk largohen kurrë nga disku USB, ndryshe nga çelësat e softuerit që mund të ruhen përkohësisht në RAM-in ose hard diskun e kompjuterit. Dhe për shkak se kriptimi i softuerit përdor memorien e kompjuterit për të ruajtur numrin e përpjekjeve për hyrje, ai nuk mund të ndalojë sulmet me forcë brutale ndaj një fjalëkalimi ose çelësi. Numri i përpjekjeve për hyrje mund të rivendoset vazhdimisht nga një sulmues derisa programi automatik i thyerjes së fjalëkalimit të gjejë kombinimin e dëshiruar.
Nga rruga ..., në komentet e artikullit ""Përdoruesit vunë re gjithashtu se, për shembull, programi TrueCrypt ka një mënyrë funksionimi portativ. Megjithatë, ky nuk është një avantazh i madh. Fakti është se në këtë rast programi i enkriptimit ruhet në kujtesën e flash drive, dhe kjo e bën atë më të prekshëm ndaj sulmeve.
Përfundimi: qasja e softuerit nuk ofron një nivel të lartë sigurie sa kriptimi AES. Është më shumë një mbrojtje bazë. Nga ana tjetër, kriptimi i softuerit i të dhënave të rëndësishme është akoma më i mirë se pa kriptim fare. Dhe ky fakt na lejon të bëjmë dallimin e qartë midis këtyre llojeve të kriptografisë: kriptimi i harduerit të disqeve flash është një domosdoshmëri, përkundrazi, për sektorin e korporatave (për shembull, kur punonjësit e kompanisë përdorin disqe të lëshuara në punë); dhe softueri është më i përshtatshëm për nevojat e përdoruesve.
Sidoqoftë, Kingston i ndan modelet e tij të disqeve (për shembull, IronKey S1000) në versionet Basic dhe Enterprise. Për sa i përket funksionalitetit dhe veçorive të mbrojtjes, ato janë pothuajse identike me njëri-tjetrin, por versioni i korporatës ofron aftësinë për të menaxhuar diskun duke përdorur softuerin SafeConsole/IronKey EMS. Me këtë softuer, disku punon ose me serverët cloud ose lokalë për të zbatuar në distancë politikat e mbrojtjes me fjalëkalim dhe aksesit. Përdoruesve u jepet mundësia të rikuperojnë fjalëkalimet e humbura dhe administratorët janë në gjendje të kalojnë disqet që nuk janë më në përdorim në detyra të reja.
Si funksionojnë disqet Kingston flash me enkriptim AES?
Kingston përdor kriptimin e harduerit 256-bit AES-XTS (duke përdorur një çelës opsional me gjatësi të plotë) për të gjithë disqet e tij të sigurt. Siç kemi përmendur më lart, disqet flash përmbajnë në bazën e tyre përbërës një çip të veçantë për enkriptimin dhe deshifrimin e të dhënave, i cili vepron si një gjenerues vazhdimisht aktiv i numrave të rastësishëm.
Kur lidhni një pajisje me një port USB për herë të parë, magjistari i konfigurimit të inicializimit ju kërkon të vendosni një fjalëkalim kryesor për të hyrë në pajisje. Pas aktivizimit të diskut, algoritmet e kriptimit do të fillojnë të punojnë automatikisht në përputhje me preferencat e përdoruesit.
Në të njëjtën kohë, për përdoruesin, parimi i funksionimit të flash drive do të mbetet i pandryshuar - ai do të jetë ende në gjendje të shkarkojë dhe vendosë skedarë në kujtesën e pajisjes, si kur punon me një USB flash drive të rregullt. Dallimi i vetëm është se kur lidhni flash drive me një kompjuter të ri, do t'ju duhet të vendosni fjalëkalimin e caktuar për të fituar akses në informacionin tuaj.
Pse dhe kujt i duhen disqet flash me kriptim të harduerit?
Për organizatat ku të dhënat e ndjeshme janë pjesë e biznesit (qoftë financiare, shëndetësore apo qeveritare), kriptimi është mjeti më i besueshëm i mbrojtjes. Kriptimi i harduerit AES është një zgjidhje e shkallëzuar që mund të përdoret nga çdo kompani: nga individët dhe bizneset e vogla deri te korporatat e mëdha, si dhe organizatat ushtarake dhe qeveritare. Për ta parë këtë çështje pak më konkretisht, është e nevojshme përdorimi i disqeve USB të koduar:
- Për të garantuar sigurinë e të dhënave konfidenciale të kompanisë
- Për të mbrojtur informacionin e klientit
- Për të mbrojtur kompanitë nga humbja e fitimeve dhe besnikëria e klientit
Vlen të përmendet se disa prodhues të disqeve flash të sigurt (përfshirë Kingston) u ofrojnë korporatave zgjidhje të personalizuara të dizajnuara për të përmbushur nevojat dhe objektivat e klientëve. Por linjat e prodhuara në masë (përfshirë disqet flash DataTraveler) përballen me detyrat e tyre në mënyrë të përsosur dhe janë të afta të ofrojnë siguri të klasit të korporatës.
1. Garantimi i sigurisë së të dhënave konfidenciale të kompanisë
Në vitin 2017, një banor i Londrës zbuloi një disk USB në një nga parqet që përmbante informacione të pambrojtura me fjalëkalim në lidhje me sigurinë e Aeroportit Heathrow, duke përfshirë vendndodhjen e kamerave të vëzhgimit dhe informacion të detajuar në lidhje me masat e sigurisë në rast të mbërritjes së zyrtarë të lartë. Flash drive përmbante gjithashtu të dhëna për lejet elektronike dhe kodet e hyrjes në zonat e kufizuara të aeroportit.
Analistët thonë se arsyeja për situata të tilla është analfabetizmi kibernetik i punonjësve të kompanisë, të cilët mund të "rrjedhin" të dhëna sekrete nga neglizhenca e tyre. Disqet flash me enkriptim të harduerit e zgjidhin pjesërisht këtë problem, sepse nëse një disk i tillë humbet, nuk do të mund të përdorni të dhënat në të pa fjalëkalimin kryesor të të njëjtit oficer sigurie. Në çdo rast, kjo nuk e mohon faktin që punonjësit duhet të trajnohen për të trajtuar disqet flash, edhe nëse po flasim për pajisje të mbrojtura nga enkriptimi.
2. Mbrojtja e informacionit të klientit
Një detyrë edhe më e rëndësishme për çdo organizatë është të kujdeset për të dhënat e klientëve, të cilat nuk duhet t'i nënshtrohen rrezikut të kompromisit. Nga rruga, është ky informacion që më së shpeshti transferohet midis sektorëve të ndryshëm të biznesit dhe, si rregull, është konfidencial: për shembull, ai mund të përmbajë të dhëna për transaksionet financiare, historinë mjekësore, etj.
3. Mbrojtje kundër humbjes së fitimit dhe besnikërisë së klientit
Përdorimi i pajisjeve USB me enkriptim harduer mund të ndihmojë në parandalimin e pasojave shkatërruese për organizatat. Kompanitë që shkelin ligjet për mbrojtjen e të dhënave personale mund të gjobiten me shuma të mëdha. Prandaj, duhet shtruar pyetja: a ia vlen të marrësh rrezikun e shkëmbimit të informacionit pa mbrojtjen e duhur?
Edhe pa marrë parasysh ndikimin financiar, sasia e kohës dhe burimeve të shpenzuara për korrigjimin e gabimeve të sigurisë që ndodhin mund të jetë po aq e rëndësishme. Për më tepër, nëse një shkelje e të dhënave komprometon të dhënat e klientit, kompania rrezikon besnikërinë e markës, veçanërisht në tregjet ku ka konkurrentë që ofrojnë një produkt ose shërbim të ngjashëm.
Kush garanton mungesën e "faqeshënuesve" nga prodhuesi kur përdorni disqe flash me kriptim harduerësh?
Në temën që kemi ngritur, kjo pyetje është ndoshta një nga kryesoret. Ndër komentet e artikullit për disqet Kingston DataTraveler, hasëm një pyetje tjetër interesante: "A kanë pajisjet tuaja auditime nga specialistë të pavarur të palëve të treta?" Epo... është një interes logjik: përdoruesit duan të sigurohen që disqet tona USB të mos përmbajnë gabime të zakonshme, të tilla si enkriptimi i dobët ose aftësia për të anashkaluar futjen e fjalëkalimit. Dhe në këtë pjesë të artikullit do të flasim për procedurat e certifikimit që i nënshtrohen disqet Kingston përpara se të marrin statusin e disqeve flash vërtet të sigurta.
Kush garanton besueshmërinë? Duket se mund të themi fare mirë se, "Kingston e bëri atë - e garanton atë." Por në këtë rast, një deklaratë e tillë do të jetë e pasaktë, pasi prodhuesi është një palë e interesuar. Prandaj, të gjitha produktet testohen nga një palë e tretë me ekspertizë të pavarur. Në veçanti, disqet e koduar me harduer Kingston (me përjashtim të DTLPG3) janë pjesëmarrës në Programin e Validimit të Modulit Kriptografik (CMVP) dhe janë të certifikuar sipas Standardit Federal të Përpunimit të Informacionit (FIPS). Disqet janë gjithashtu të certifikuar sipas standardeve GLBA, HIPPA, HITECH, PCI dhe GTSA.
1. Programi i vlefshmërisë së modulit kriptografik
Programi CMVP është një projekt i përbashkët i Institutit Kombëtar të Standardeve dhe Teknologjisë të Departamentit Amerikan të Tregtisë dhe Qendrës Kanadeze të Sigurisë Kibernetike. Qëllimi i projektit është të stimulojë kërkesën për pajisje kriptografike të provuara dhe të sigurojë metrikë sigurie për agjencitë federale dhe industritë e rregulluara (të tilla si institucionet financiare dhe të kujdesit shëndetësor) që përdoren në prokurimin e pajisjeve.
Pajisjet testohen kundrejt një sërë kërkesash kriptografike dhe të sigurisë nga laboratorë të pavarur të kriptografisë dhe testimit të sigurisë të akredituar nga Programi Kombëtar i Akreditimit Vullnetar të Laboratorit (NVLAP). Në të njëjtën kohë, çdo raport laboratorik kontrollohet për pajtueshmërinë me Standardin Federal të Përpunimit të Informacionit (FIPS) 140-2 dhe konfirmohet nga CMVP.
Modulet e verifikuara si në përputhje me FIPS 140-2 rekomandohen për përdorim nga agjencitë federale të SHBA-së dhe Kanadasë deri më 22 shtator 2026. Pas kësaj, ato do të përfshihen në listën e arkivave, megjithëse do të mund të përdoren ende. Më 22 shtator 2020 përfundoi pranimi i aplikimeve për vlefshmëri sipas standardit FIPS 140-3. Pasi pajisjet të kalojnë kontrollet, ato do të zhvendosen në listën aktive të pajisjeve të testuara dhe të besuara për pesë vjet. Nëse një pajisje kriptografike nuk e kalon verifikimin, përdorimi i saj në agjencitë qeveritare në Shtetet e Bashkuara dhe Kanada nuk rekomandohet.
2. Çfarë kërkesash sigurie vendos certifikimi FIPS?
Hakerimi i të dhënave edhe nga një disk i koduar i pacertifikuar është i vështirë dhe pak njerëz mund ta bëjnë, kështu që kur zgjidhni një makinë konsumatore për përdorim në shtëpi me certifikim, nuk keni pse të shqetësoheni. Në sektorin e korporatave, situata është e ndryshme: kur zgjedhin disqe të sigurta USB, kompanitë shpesh i kushtojnë rëndësi niveleve të certifikimit FIPS. Sidoqoftë, jo të gjithë kanë një ide të qartë se çfarë nënkuptojnë këto nivele.
Standardi aktual FIPS 140-2 përcakton katër nivele të ndryshme sigurie që mund të përmbushin disqet flash. Niveli i parë ofron një grup të moderuar të veçorive të sigurisë. Niveli i katërt nënkupton kërkesa strikte për vetë-mbrojtjen e pajisjeve. Nivelet dy dhe tre ofrojnë një gradim të këtyre kërkesave dhe formojnë një lloj mesatareje të artë.
- Siguria e nivelit XNUMX: Disqet USB të certifikuara të nivelit XNUMX kërkojnë të paktën një algoritëm enkriptimi ose veçori të tjera sigurie.
- Niveli i dytë i sigurisë: këtu disku kërkohet jo vetëm për të siguruar mbrojtje kriptografike, por edhe për të zbuluar ndërhyrje të paautorizuara në nivelin e firmuerit nëse dikush përpiqet të hapë diskun.
- Niveli i tretë i sigurisë: përfshin parandalimin e hakerimit duke shkatërruar "çelësat" e enkriptimit. Kjo do të thotë, kërkohet një përgjigje ndaj përpjekjeve për depërtim. Gjithashtu, niveli i tretë garanton një nivel më të lartë mbrojtjeje kundër ndërhyrjeve elektromagnetike: domethënë, leximi i të dhënave nga një flash drive duke përdorur pajisje hakerimi me valë nuk do të funksionojë.
- Niveli i katërt i sigurisë: niveli më i lartë, i cili përfshin mbrojtjen e plotë të modulit kriptografik, i cili siguron probabilitetin maksimal të zbulimit dhe kundërveprimit ndaj çdo përpjekjeje të paautorizuar të aksesit nga një përdorues i paautorizuar. Flash disqet që kanë marrë një certifikatë të nivelit të katërt përfshijnë gjithashtu opsione mbrojtjeje që nuk lejojnë hakerimin duke ndryshuar tensionin dhe temperaturën e ambientit.
Disqet e mëposhtëm Kingston janë të çertifikuar në FIPS 140-2 Niveli 2000: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. Karakteristika kryesore e këtyre disqeve është aftësia e tyre për t'iu përgjigjur një përpjekjeje për ndërhyrje: nëse fjalëkalimi futet gabimisht XNUMX herë, të dhënat në disk do të shkatërrohen.
Çfarë tjetër mund të bëjnë disqet Kingston përveç kriptimit?
Kur bëhet fjalë për sigurinë e plotë të të dhënave, së bashku me kriptimin e harduerit të disqeve flash, antiviruset e integruar, mbrojtjen nga ndikimet e jashtme, sinkronizimin me retë personale dhe veçori të tjera që do të diskutojmë më poshtë vijnë në shpëtim. Nuk ka asnjë ndryshim të madh në disqet flash me enkriptimin e softuerit. Djalli është në detaje. Dhe ja çfarë.
1. Kingston DataTraveler 2000
Le të marrim një disk USB për shembull. . Ky është një nga disqet flash me enkriptim harduer, por në të njëjtën kohë i vetmi me tastierën e vet fizike në kasë. Kjo tastierë me 11 butona e bën DT2000 plotësisht të pavarur nga sistemet pritëse (për të përdorur DataTraveler 2000, duhet të shtypni butonin Key, më pas të vendosni fjalëkalimin tuaj dhe të shtypni përsëri butonin Key). Për më tepër, ky flash drive ka një shkallë mbrojtjeje IP57 kundër ujit dhe pluhurit (çuditërisht, Kingston nuk e deklaron këtë askund as në paketim, as në specifikimet në faqen zyrtare të internetit).
Brenda DataTraveler 2000 ka një bateri polimer litium 40 mAh dhe Kingston këshillon blerësit që ta lidhin diskun në një portë USB për të paktën një orë përpara se ta përdorin atë për të lejuar që bateria të ngarkohet. Nga rruga, në një nga materialet e mëparshme : Nuk ka arsye për t'u shqetësuar - flash drive nuk aktivizohet në karikues sepse nuk ka kërkesa për kontrolluesin nga sistemi. Prandaj, askush nuk do të vjedhë të dhënat tuaja përmes ndërhyrjeve me valë.
2. Kingston DataTraveler Locker+ G3
Nëse flasim për modelin Kingston – tërheq vëmendjen me aftësinë për të konfiguruar rezervimin e të dhënave nga një flash drive në ruajtjen e cloud të Google, OneDrive, Amazon Cloud ose Dropbox. Ofrohet gjithashtu sinkronizimi i të dhënave me këto shërbime.
Një nga pyetjet që na bëjnë lexuesit tanë është: "Por si të marrim të dhëna të koduara nga një kopje rezervë?" Shume e thjeshte. Fakti është se kur sinkronizohet me cloud, informacioni deshifrohet, dhe mbrojtja e rezervimit në cloud varet nga aftësitë e vetë cloud. Prandaj, procedura të tilla kryhen vetëm në diskrecionin e përdoruesit. Pa lejen e tij, asnjë e dhënë nuk do të ngarkohet në cloud.
3. Kingston DataTraveler Vault Privacy 3.0
Por pajisjet Kingston Ata gjithashtu vijnë me antivirus të integruar Drive Security nga ESET. Ky i fundit mbron të dhënat nga pushtimi i një USB drive nga viruset, spyware, trojans, worms, rootkits dhe lidhja me kompjuterët e njerëzve të tjerë, mund të thuhet, nuk ka frikë. Antivirusi do të paralajmërojë menjëherë pronarin e diskut për kërcënimet e mundshme, nëse zbulohen ndonjë. Në këtë rast, përdoruesi nuk ka nevojë të instalojë vetë softuer antivirus dhe të paguajë për këtë opsion. ESET Drive Security është para-instaluar në një flash drive me një licencë pesëvjeçare.
Kingston DT Vault Privacy 3.0 është projektuar dhe synuar kryesisht për profesionistët e IT. Ai i lejon administratorët ta përdorin atë si një disk të pavarur ose ta shtojnë atë si pjesë e një zgjidhjeje të centralizuar të menaxhimit, dhe gjithashtu mund të përdoret për të konfiguruar ose rivendosur nga distanca fjalëkalimet dhe për të konfiguruar politikat e pajisjes. Kingston madje shtoi USB 3.0, i cili ju lejon të transferoni të dhëna të sigurta shumë më shpejt se USB 2.0.
Në përgjithësi, DT Vault Privacy 3.0 është një opsion i shkëlqyer për sektorin e korporatave dhe organizatat që kërkojnë mbrojtje maksimale të të dhënave të tyre. Mund t'u rekomandohet gjithashtu të gjithë përdoruesve që përdorin kompjuterë të vendosur në rrjete publike.
Për më shumë informacion rreth produkteve Kingston, kontaktoni .
Burimi: www.habr.com