Hej, Habr! I kommentarerna till en av våra läsare ställde en intressant fråga: "Varför behöver du en flash-enhet med hårdvarukryptering när TrueCrypt är tillgänglig?" - och uttryckte till och med några farhågor om "Hur kan du se till att det inte finns några bokmärken i programvaran och hårdvaran på en Kingston-enhet ?” Vi besvarade dessa frågor kortfattat, men beslutade sedan att ämnet förtjänade en grundläggande analys. Detta är vad vi kommer att göra i det här inlägget.
AES-hårdvarukryptering, liksom programvarukryptering, har funnits länge, men exakt hur skyddar den känsliga data på flash-enheter? Vem certifierar sådana enheter och kan man lita på dessa certifieringar? Vem behöver sådana "komplexa" flashenheter om du kan använda gratisprogram som TrueCrypt eller BitLocker. Som du kan se väcker ämnet som ställs i kommentarerna verkligen många frågor. Låt oss försöka lista ut allt.
Hur skiljer sig hårdvarukryptering från mjukvarukryptering?
När det gäller flash-enheter (liksom hårddiskar och SSD-enheter) används ett speciellt chip på enhetens kretskort för att implementera hårdvarudatakryptering. Den har en inbyggd slumptalsgenerator som genererar krypteringsnycklar. Data krypteras automatiskt och dekrypteras omedelbart när du anger ditt användarlösenord. I det här scenariot är det nästan omöjligt att komma åt data utan ett lösenord.
När du använder mjukvarukryptering, "låsning" av data på enheten tillhandahålls av extern programvara, som fungerar som ett billigt alternativ till hårdvarukrypteringsmetoder. Nackdelar med sådan programvara kan inkludera det banala kravet på regelbundna uppdateringar för att ge motstånd mot ständigt förbättrade hackningstekniker. Dessutom används kraften i en datorprocess (snarare än ett separat hårdvaruchip) för att dekryptera data, och i själva verket bestämmer skyddsnivån för datorn enhetens skyddsnivå.
Huvudfunktionen hos enheter med hårdvarukryptering är en separat kryptografisk processor, vars närvaro talar om för oss att krypteringsnycklar aldrig lämnar USB-enheten, till skillnad från programnycklar som tillfälligt kan lagras i datorns RAM eller hårddisk. Och eftersom mjukvarukryptering använder PC-minne för att lagra antalet inloggningsförsök, kan den inte stoppa brute force-attacker på ett lösenord eller nyckel. Räknaren för inloggningsförsök kan återställas kontinuerligt av en angripare tills det automatiska lösenordsknäckningsprogrammet hittar den önskade kombinationen.
Förresten..., i kommentarerna till artikeln “"Användare noterade också att till exempel TrueCrypt-programmet har ett portabelt driftläge. Detta är dock ingen stor fördel. Faktum är att i det här fallet är krypteringsprogrammet lagrat i minnet på flashenheten, vilket gör det mer sårbart för attacker.
Sammanfattning: mjukvarumetoden ger inte lika hög säkerhetsnivå som AES-kryptering. Det är mer ett grundläggande försvar. Å andra sidan är mjukvarukryptering av viktig data fortfarande bättre än ingen kryptering alls. Och detta faktum tillåter oss att tydligt skilja mellan dessa typer av kryptografi: hårdvarukryptering av flash-enheter är snarare en nödvändighet för företagssektorn (till exempel när företagsanställda använder enheter som utfärdats på jobbet); och programvara är mer lämpad för användarnas behov.
Kingston delar dock upp sina drivmodeller (till exempel IronKey S1000) i Basic- och Enterprise-versioner. När det gäller funktionalitet och skyddsegenskaper är de nästan identiska med varandra, men företagsversionen erbjuder möjligheten att hantera enheten med hjälp av SafeConsole/IronKey EMS-mjukvara. Med denna programvara fungerar enheten med antingen moln eller lokala servrar för att på distans upprätthålla lösenordsskydd och åtkomstpolicyer. Användare ges möjlighet att återställa förlorade lösenord och administratörer kan byta enheter som inte längre används till nya uppgifter.
Hur fungerar Kingston-flashenheter med AES-kryptering?
Kingston använder 256-bitars AES-XTS-hårdvarukryptering (med en valfri fullängdsnyckel) för alla sina säkra enheter. Som vi noterade ovan innehåller flash-enheter i sin komponentbas ett separat chip för kryptering och dekryptering av data, som fungerar som en konstant aktiv slumptalsgenerator.
När du ansluter en enhet till en USB-port för första gången, uppmanar Initialization Setup Wizard dig att ställa in ett huvudlösenord för åtkomst till enheten. Efter aktivering av enheten börjar krypteringsalgoritmerna automatiskt att fungera i enlighet med användarens preferenser.
Samtidigt, för användaren, kommer principen för driften av flash-enheten att förbli oförändrad - han kommer fortfarande att kunna ladda ner och placera filer i enhetens minne, som när han arbetar med ett vanligt USB-minne. Den enda skillnaden är att när du ansluter flashenheten till en ny dator måste du ange det inställda lösenordet för att få tillgång till din information.
Varför och vem behöver flash-enheter med hårdvarukryptering?
För organisationer där känslig information är en del av verksamheten (oavsett om det är finansiellt, hälsovårds- eller statligt) är kryptering det mest tillförlitliga skyddet. AES-hårdvarukryptering är en skalbar lösning som kan användas av alla företag: från privatpersoner och småföretag till stora företag, såväl som militära och statliga organisationer. För att titta på det här problemet lite mer specifikt är det nödvändigt att använda krypterade USB-enheter:
- För att säkerställa säkerheten för konfidentiell företagsdata
- För att skydda kundinformation
- För att skydda företag från förlust av vinster och kundlojalitet
Det är värt att notera att vissa tillverkare av säkra flash-enheter (inklusive Kingston) förser företag med skräddarsydda lösningar utformade för att möta kundernas behov och mål. Men de massproducerade linjerna (inklusive DataTraveler-flashenheter) klarar sina uppgifter perfekt och kan ge säkerhet i företagsklass.
1. Säkerställa säkerheten för konfidentiell företagsdata
2017 upptäckte en invånare i London en USB-enhet i en av parkerna som innehöll icke-lösenordsskyddad information relaterad till säkerheten på Heathrow flygplats, inklusive platsen för övervakningskameror och detaljerad information om säkerhetsåtgärder i händelse av ankomst av högt uppsatta tjänstemän. Flash-enheten innehöll också data om elektroniska pass och åtkomstkoder till begränsade områden på flygplatsen.
Analytiker säger att orsaken till sådana situationer är cyberanalfabetismen hos företagsanställda, som kan "läcka" hemlig data genom sin egen vårdslöshet. Flash-enheter med hårdvarukryptering löser delvis detta problem, för om en sådan enhet går förlorad kommer du inte att kunna komma åt data på den utan huvudlösenordet för samma säkerhetsansvarig. Detta förnekar i alla fall inte det faktum att anställda måste utbildas för att hantera flash-enheter, även om vi pratar om enheter som skyddas av kryptering.
2. Skydda kundinformation
En ännu viktigare uppgift för varje organisation är att ta hand om kunddata, som inte bör riskera att kompromissa. Det är förresten denna information som oftast överförs mellan olika affärssektorer och som regel är konfidentiell: den kan till exempel innehålla uppgifter om finansiella transaktioner, medicinsk historia etc.
3. Skydd mot förlust av vinst och kundlojalitet
Att använda USB-enheter med hårdvarukryptering kan hjälpa till att förhindra förödande konsekvenser för organisationer. Företag som bryter mot personuppgiftslagarna kan få stora böter. Därför måste frågan ställas: är det värt att ta risken att dela information utan ordentligt skydd?
Även utan att ta hänsyn till de ekonomiska konsekvenserna kan mängden tid och resurser som läggs på att korrigera säkerhetsbuggar som uppstår vara lika betydande. Dessutom, om ett dataintrång äventyrar kunddata, riskerar företaget varumärkeslojalitet, särskilt på marknader där det finns konkurrenter som erbjuder en liknande produkt eller tjänst.
Vem garanterar frånvaron av "bokmärken" från tillverkaren när du använder flash-enheter med hårdvarukryptering?
I ämnet vi har tagit upp är denna fråga kanske en av de viktigaste. Bland kommentarerna till artikeln om Kingston DataTraveler-enheter stötte vi på en annan intressant fråga: "Har dina enheter revisioner från oberoende specialister från tredje part?" Tja... det är ett logiskt intresse: användare vill försäkra sig om att våra USB-enheter inte innehåller vanliga fel, som svag kryptering eller möjligheten att kringgå lösenordsinmatning. Och i den här delen av artikeln kommer vi att prata om vilka certifieringsförfaranden som Kingston-enheter genomgår innan de får statusen som riktigt säkra flashenheter.
Vem garanterar tillförlitlighet? Det verkar som att vi kan säga att "Kingston gjorde det - det garanterar det." Men i det här fallet kommer ett sådant uttalande att vara felaktigt, eftersom tillverkaren är en intresserad part. Därför testas alla produkter av en tredje part med oberoende expertis. Speciellt Kingston hårdvarukrypterade enheter (med undantag för DTLPG3) deltar i Cryptographic Module Validation Program (CMVP) och är certifierade enligt Federal Information Processing Standard (FIPS). Frekvensomriktarna är också certifierade enligt GLBA, HIPPA, HITECH, PCI och GTSA standarder.
1. Valideringsprogram för kryptografiska moduler
CMVP-programmet är ett gemensamt projekt av National Institute of Standards and Technology vid det amerikanska handelsdepartementet och Canadian Cyber Security Center. Projektets mål är att stimulera efterfrågan på beprövade kryptografiska enheter och tillhandahålla säkerhetsmått till federala myndigheter och reglerade industrier (som finans- och hälsovårdsinstitutioner) som används vid utrustningsupphandling.
Enheter testas mot en uppsättning kryptografiska krav och säkerhetskrav av oberoende kryptografi- och säkerhetstestlaboratorier ackrediterade av National Voluntary Laboratory Accreditation Program (NVLAP). Samtidigt kontrolleras varje laboratorierapport för överensstämmelse med Federal Information Processing Standard (FIPS) 140-2 och bekräftas av CMVP.
Moduler verifierade som FIPS 140-2-kompatibla rekommenderas för användning av amerikanska och kanadensiska federala myndigheter till och med den 22 september 2026. Efter detta kommer de att finnas med i arkivlistan, även om de fortfarande kommer att kunna användas. Den 22 september 2020 upphörde godtagandet av ansökningar om validering enligt FIPS 140-3-standarden. När enheterna klarar kontrollerna kommer de att flyttas till den aktiva listan över testade och betrodda enheter i fem år. Om en kryptografisk enhet inte klarar verifieringen, rekommenderas inte användningen av den i statliga myndigheter i USA och Kanada.
2. Vilka säkerhetskrav ställer FIPS-certifiering?
Att hacka data även från en ocertifierad krypterad enhet är svårt och få människor kan göra, så när du väljer en konsumentdisk för hemmabruk med certifiering behöver du inte bry dig. Inom företagssektorn är situationen annorlunda: när de väljer säkra USB-enheter lägger företag ofta vikt vid FIPS-certifieringsnivåer. Men alla har inte en klar uppfattning om vad dessa nivåer betyder.
Den nuvarande FIPS 140-2-standarden definierar fyra olika säkerhetsnivåer som flash-enheter kan uppfylla. Den första nivån ger en måttlig uppsättning säkerhetsfunktioner. Den fjärde nivån innebär strikta krav för självskydd av enheter. Nivå två och tre ger en gradering av dessa krav och bildar en sorts gyllene medelväg.
- Nivå XNUMX-säkerhet: Nivå XNUMX-certifierade USB-enheter kräver minst en krypteringsalgoritm eller annan säkerhetsfunktion.
- Den andra säkerhetsnivån: här krävs att enheten inte bara tillhandahåller kryptografiskt skydd, utan också för att upptäcka obehöriga intrång på firmwarenivå om någon försöker öppna enheten.
- Den tredje säkerhetsnivån: innebär att förhindra hackning genom att förstöra krypteringsnycklar. Det vill säga ett svar på penetrationsförsök krävs. Den tredje nivån garanterar också en högre skyddsnivå mot elektromagnetisk störning: det vill säga att läsa data från en flashenhet med trådlösa hackningsenheter kommer inte att fungera.
- Den fjärde säkerhetsnivån: den högsta nivån, som innebär ett fullständigt skydd av kryptografiska modulen, vilket ger maximal sannolikhet för upptäckt och motverkan mot eventuella obehöriga åtkomstförsök av en obehörig användare. Flash-enheter som har fått ett certifikat på fjärde nivån inkluderar också skyddsalternativ som inte tillåter hackning genom att ändra spänning och omgivningstemperatur.
Följande Kingston-enheter är certifierade enligt FIPS 140-2 nivå 2000: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. Nyckelfunktionen hos dessa enheter är deras förmåga att svara på ett intrångsförsök: om lösenordet skrivs in felaktigt XNUMX gånger kommer data på enheten att förstöras.
Vad mer kan Kingstons flash-enheter göra förutom kryptering?
När det gäller fullständig datasäkerhet, tillsammans med hårdvarukryptering av flash-enheter, inbyggda antivirus, skydd mot yttre påverkan, synkronisering med personliga moln och andra funktioner som vi kommer att diskutera nedan kommer till räddningen. Det är ingen stor skillnad på flash-enheter med mjukvarukryptering. Djävulen är i detaljerna. Och här är vad.
1. Kingston DataTraveler 2000
Låt oss ta en USB-enhet till exempel. . Detta är en av flash-enheterna med hårdvarukryptering, men samtidigt den enda med ett eget fysiskt tangentbord på fodralet. Denna knappsats med 11 knappar gör DT2000 helt oberoende av värdsystem (för att använda DataTraveler 2000 måste du trycka på knappen Nyckel, sedan ange ditt lösenord och trycka på Nyckelknappen igen). Dessutom har denna flashenhet en IP57-grad av skydd mot vatten och damm (överraskande nog anger inte Kingston detta någonstans vare sig på förpackningen eller i specifikationerna på den officiella hemsidan).
Det finns ett 2000mAh litiumpolymerbatteri inuti DataTraveler 40, och Kingston råder köpare att ansluta enheten till en USB-port i minst en timme innan du använder den för att låta batteriet laddas. Förresten, i ett av de tidigare materialen : Det finns ingen anledning att oroa sig - flashenheten är inte aktiverad i laddaren eftersom det inte finns några förfrågningar till styrenheten från systemet. Därför kommer ingen att stjäla din data genom trådlösa intrång.
2. Kingston DataTraveler Locker+ G3
Om vi pratar om Kingston-modellen – det väcker uppmärksamhet med möjligheten att konfigurera säkerhetskopiering av data från en flashenhet till Google molnlagring, OneDrive, Amazon Cloud eller Dropbox. Datasynkronisering med dessa tjänster tillhandahålls också.
En av frågorna som våra läsare ställer oss är: "Men hur tar man krypterad data från en säkerhetskopia?" Väldigt enkelt. Faktum är att vid synkronisering med molnet dekrypteras informationen, och skyddet av säkerhetskopiering på molnet beror på själva molnets möjligheter. Därför utförs sådana procedurer enbart efter användarens gottfinnande. Utan hans tillåtelse kommer ingen data att laddas upp till molnet.
3. Kingston DataTraveler Vault Privacy 3.0
Men Kingston-enheterna De kommer också med inbyggt Drive Security-antivirus från ESET. Den senare skyddar data från invasion av en USB-enhet av virus, spionprogram, trojaner, maskar, rootkits och anslutning till andras datorer, man kan säga, det är inte rädd. Antiviruset kommer omedelbart att varna ägaren av enheten om potentiella hot, om några upptäcks. I det här fallet behöver användaren inte installera antivirusprogram själv och betala för detta alternativ. ESET Drive Security är förinstallerat på en flashenhet med en femårig licens.
Kingston DT Vault Privacy 3.0 är designad och riktad främst till IT-proffs. Den tillåter administratörer att använda den som en fristående enhet eller lägga till den som en del av en centraliserad hanteringslösning, och kan också användas för att konfigurera eller fjärråterställa lösenord och konfigurera enhetspolicyer. Kingston lade till och med till USB 3.0, vilket gör att du kan överföra säker data mycket snabbare än USB 2.0.
Sammantaget är DT Vault Privacy 3.0 ett utmärkt alternativ för företagssektorn och organisationer som kräver maximalt skydd av sina data. Det kan också rekommenderas till alla användare som använder datorer som finns på offentliga nätverk.
För mer information om Kingstons produkter, kontakta .
Källa: will.com