Hello, Habr! Sa mga komento sa isa sa aming nagtanong ang mga mambabasa ng isang kawili-wiling tanong: "Bakit kailangan mo ng flash drive na may hardware encryption kapag available ang TrueCrypt?" - at nagpahayag pa ng ilang alalahanin tungkol sa "Paano mo matitiyak na walang mga bookmark sa software at hardware ng isang Kingston drive ?β Sinagot namin ang mga tanong na ito nang maikli, ngunit pagkatapos ay nagpasya na ang paksa ay nararapat sa isang pangunahing pagsusuri. Ito ang gagawin natin sa post na ito.
Ang AES hardware encryption, tulad ng software encryption, ay matagal nang umiiral, ngunit paano nga ba nito pinoprotektahan ang sensitibong data sa mga flash drive? Sino ang nagpapatunay sa mga naturang drive, at mapagkakatiwalaan ba ang mga certification na ito? Sino ang nangangailangan ng ganitong "kumplikadong" flash drive kung maaari kang gumamit ng mga libreng programa tulad ng TrueCrypt o BitLocker. Tulad ng nakikita mo, ang paksang tinanong sa mga komento ay talagang nagtataas ng maraming mga katanungan. Subukan nating alamin ang lahat.
Paano naiiba ang pag-encrypt ng hardware sa pag-encrypt ng software?
Sa kaso ng mga flash drive (pati na rin ang mga HDD at SSD), isang espesyal na chip na matatagpuan sa circuit board ng device ang ginagamit upang ipatupad ang pag-encrypt ng data ng hardware. Mayroon itong built-in na random number generator na bumubuo ng mga encryption key. Awtomatikong na-encrypt ang data at agad na nade-decrypt kapag ipinasok mo ang iyong password ng user. Sa sitwasyong ito, halos imposibleng ma-access ang data nang walang password.
Kapag gumagamit ng software encryption, ang "pag-lock" ng data sa drive ay ibinibigay ng panlabas na software, na nagsisilbing murang alternatibo sa mga pamamaraan ng pag-encrypt ng hardware. Maaaring kabilang sa mga disadvantages ng naturang software ang karaniwang kinakailangan para sa mga regular na pag-update upang mag-alok ng pagtutol sa patuloy na pagpapabuti ng mga diskarte sa pag-hack. Bilang karagdagan, ang kapangyarihan ng isang proseso ng computer (sa halip na isang hiwalay na hardware chip) ay ginagamit upang i-decrypt ang data, at, sa katunayan, ang antas ng proteksyon ng PC ay tumutukoy sa antas ng proteksyon ng drive.
Ang pangunahing tampok ng mga drive na may hardware encryption ay isang hiwalay na cryptographic processor, ang pagkakaroon nito ay nagsasabi sa amin na ang mga encryption key ay hindi umaalis sa USB drive, hindi katulad ng mga software key na maaaring pansamantalang maimbak sa RAM o hard drive ng computer. At dahil ang software encryption ay gumagamit ng PC memory upang iimbak ang bilang ng mga pagtatangka sa pag-log in, hindi nito mapipigilan ang mga malupit na pag-atake sa isang password o key. Ang counter ng pagtatangka sa pag-login ay maaaring patuloy na i-reset ng isang umaatake hanggang sa mahanap ng awtomatikong programa sa pag-crack ng password ang gustong kumbinasyon.
Sa pamamagitan ng paraan..., sa mga komento sa artikulong ""Nabanggit din ng mga user na, halimbawa, ang TrueCrypt program ay may portable operating mode. Gayunpaman, hindi ito isang malaking kalamangan. Ang katotohanan ay sa kasong ito ang programa ng pag-encrypt ay naka-imbak sa memorya ng flash drive, at ginagawa itong mas mahina sa mga pag-atake.
Bottom line: ang software approach ay hindi nagbibigay ng kasing taas ng antas ng seguridad gaya ng AES encryption. Ito ay higit pa sa isang pangunahing depensa. Sa kabilang banda, ang pag-encrypt ng software ng mahalagang data ay mas mahusay pa rin kaysa sa walang pag-encrypt. At ang katotohanang ito ay nagpapahintulot sa amin na malinaw na makilala sa pagitan ng mga ganitong uri ng cryptography: ang pag-encrypt ng hardware ng mga flash drive ay isang pangangailangan, sa halip, para sa sektor ng korporasyon (halimbawa, kapag ang mga empleyado ng kumpanya ay gumagamit ng mga drive na inisyu sa trabaho); at ang software ay mas angkop para sa mga pangangailangan ng user.
Gayunpaman, hinahati ng Kingston ang mga modelo ng drive nito (halimbawa, IronKey S1000) sa mga bersyon ng Basic at Enterprise. Sa mga tuntunin ng functionality at proteksyon na mga katangian, halos magkapareho ang mga ito sa isa't isa, ngunit ang corporate na bersyon ay nag-aalok ng kakayahang pamahalaan ang drive gamit ang SafeConsole/IronKey EMS software. Sa software na ito, gumagana ang drive sa alinman sa cloud o lokal na mga server upang malayuang ipatupad ang proteksyon ng password at mga patakaran sa pag-access. Binibigyan ng pagkakataon ang mga user na mabawi ang mga nawalang password, at magagawa ng mga administrator na ilipat ang mga drive na hindi na ginagamit sa mga bagong gawain.
Paano gumagana ang Kingston flash drive na may AES encryption?
Gumagamit ang Kingston ng 256-bit na AES-XTS na hardware encryption (gamit ang opsyonal na full-length na key) para sa lahat ng secure na drive nito. Tulad ng nabanggit namin sa itaas, ang mga flash drive ay naglalaman sa kanilang component base ng isang hiwalay na chip para sa pag-encrypt at pag-decrypt ng data, na nagsisilbing patuloy na aktibong random number generator.
Kapag ikinonekta mo ang isang device sa isang USB port sa unang pagkakataon, ipo-prompt ka ng Initialization Setup Wizard na magtakda ng master password para ma-access ang device. Pagkatapos i-activate ang drive, awtomatikong magsisimulang gumana ang mga algorithm ng pag-encrypt alinsunod sa mga kagustuhan ng user.
Kasabay nito, para sa gumagamit, ang prinsipyo ng pagpapatakbo ng flash drive ay mananatiling hindi nagbabago - magagawa pa rin niyang mag-download at maglagay ng mga file sa memorya ng device, tulad ng kapag nagtatrabaho sa isang regular na USB flash drive. Ang pagkakaiba lamang ay kapag ikinonekta mo ang flash drive sa isang bagong computer, kakailanganin mong ipasok ang nakatakdang password upang makakuha ng access sa iyong impormasyon.
Bakit at sino ang nangangailangan ng mga flash drive na may hardware encryption?
Para sa mga organisasyon kung saan bahagi ng negosyo ang sensitibong data (pinansyal man, pangangalagang pangkalusugan, o gobyerno), ang pag-encrypt ang pinaka-maaasahang paraan ng proteksyon. Ang AES hardware encryption ay isang scalable na solusyon na maaaring gamitin ng anumang kumpanya: mula sa mga indibidwal at maliliit na negosyo hanggang sa malalaking korporasyon, gayundin sa mga organisasyon ng militar at pamahalaan. Upang tingnan ang isyung ito nang mas partikular, ang paggamit ng mga naka-encrypt na USB drive ay kinakailangan:
- Upang matiyak ang seguridad ng kumpidensyal na data ng kumpanya
- Upang protektahan ang impormasyon ng customer
- Upang maprotektahan ang mga kumpanya mula sa pagkawala ng kita at katapatan ng customer
Kapansin-pansin na ang ilang mga tagagawa ng mga secure na flash drive (kabilang ang Kingston) ay nagbibigay sa mga korporasyon ng mga customized na solusyon na idinisenyo upang matugunan ang mga pangangailangan at layunin ng mga customer. Ngunit ang mass-produced na mga linya (kabilang ang DataTraveler flash drive) ay ganap na nakayanan ang kanilang mga gawain at may kakayahang magbigay ng corporate-class na seguridad.
1. Tinitiyak ang seguridad ng kumpidensyal na data ng kumpanya
Noong 2017, natuklasan ng isang residente ng London ang isang USB drive sa isa sa mga parke na naglalaman ng impormasyong hindi protektado ng password na may kaugnayan sa seguridad ng Heathrow Airport, kabilang ang lokasyon ng mga surveillance camera at detalyadong impormasyon tungkol sa mga hakbang sa seguridad kung sakaling dumating ang matataas na opisyal. Ang flash drive ay naglalaman din ng data sa mga electronic pass at access code sa mga pinaghihigpitang lugar ng paliparan.
Sinasabi ng mga analyst na ang dahilan ng mga ganitong sitwasyon ay ang cyber illiteracy ng mga empleyado ng kumpanya, na maaaring "mag-leak" ng lihim na data sa pamamagitan ng kanilang sariling kapabayaan. Ang mga flash drive na may hardware encryption ay bahagyang malulutas ang problemang ito, dahil kung nawala ang naturang drive, hindi mo maa-access ang data dito nang walang master password ng parehong security officer. Sa anumang kaso, hindi nito binabalewala ang katotohanan na ang mga empleyado ay dapat sanayin upang mahawakan ang mga flash drive, kahit na pinag-uusapan natin ang tungkol sa mga device na protektado ng pag-encrypt.
2. Pagprotekta sa impormasyon ng customer
Ang isang mas mahalagang gawain para sa anumang organisasyon ay ang pag-aalaga ng data ng customer, na hindi dapat sumailalim sa panganib ng kompromiso. Sa pamamagitan ng paraan, ang impormasyong ito ang madalas na inililipat sa pagitan ng iba't ibang sektor ng negosyo at, bilang panuntunan, ay kumpidensyal: halimbawa, maaaring naglalaman ito ng data sa mga transaksyon sa pananalapi, kasaysayan ng medikal, atbp.
3. Proteksyon laban sa pagkawala ng kita at katapatan ng customer
Ang paggamit ng mga USB device na may hardware encryption ay maaaring makatulong na maiwasan ang mga mapaminsalang kahihinatnan para sa mga organisasyon. Ang mga kumpanyang lumalabag sa mga batas sa proteksyon ng personal na data ay maaaring pagmultahin ng malalaking halaga. Samakatuwid, ang tanong ay dapat itanong: sulit ba ang pagkuha ng panganib sa pagbabahagi ng impormasyon nang walang wastong proteksyon?
Kahit na hindi isinasaalang-alang ang epekto sa pananalapi, ang dami ng oras at mga mapagkukunan na ginugol sa pagwawasto ng mga bug sa seguridad na nangyayari ay maaaring maging kasinghalaga. Bukod pa rito, kung ang isang paglabag sa data ay nakompromiso ang data ng customer, ang kumpanya ay nanganganib sa katapatan ng brand, lalo na sa mga merkado kung saan may mga kakumpitensya na nag-aalok ng katulad na produkto o serbisyo.
Sino ang ginagarantiyahan ang kawalan ng "mga bookmark" mula sa tagagawa kapag gumagamit ng mga flash drive na may pag-encrypt ng hardware?
Sa paksang aming itinaas, marahil ang tanong na ito ay isa sa mga pangunahing tanong. Kabilang sa mga komento sa artikulo tungkol sa mga drive ng Kingston DataTraveler, nakatagpo kami ng isa pang kawili-wiling tanong: "May mga pag-audit ba ang iyong mga device mula sa mga third-party na independiyenteng espesyalista?" Well... ito ay isang lohikal na interes: nais ng mga user na tiyakin na ang aming mga USB drive ay hindi naglalaman ng mga karaniwang error, tulad ng mahinang pag-encrypt o ang kakayahang i-bypass ang pagpasok ng password. At sa bahaging ito ng artikulo ay pag-uusapan natin kung ano ang mga pamamaraan ng sertipikasyon na dinadala ng Kingston drive bago matanggap ang katayuan ng tunay na ligtas na mga flash drive.
Sino ang gumagarantiya ng pagiging maaasahan? Mukhang masasabi natin na, "Ginawa ito ni Kingston - ginagarantiyahan ito." Ngunit sa kasong ito, ang naturang pahayag ay hindi tama, dahil ang tagagawa ay isang interesadong partido. Samakatuwid, ang lahat ng mga produkto ay sinusuri ng isang ikatlong partido na may independiyenteng kadalubhasaan. Sa partikular, ang Kingston hardware-encrypted drive (maliban sa DTLPG3) ay mga kalahok sa Cryptographic Module Validation Program (CMVP) at na-certify sa Federal Information Processing Standard (FIPS). Ang mga drive ay sertipikado rin ayon sa mga pamantayan ng GLBA, HIPPA, HITECH, PCI at GTSA.
1. Cryptographic module validation program
Ang programa ng CMVP ay isang pinagsamang proyekto ng National Institute of Standards and Technology ng US Department of Commerce at ng Canadian Cyber ββββSecurity Center. Ang layunin ng proyekto ay pasiglahin ang pangangailangan para sa mga napatunayang cryptographic na device at magbigay ng mga sukatan ng seguridad sa mga pederal na ahensya at regulated na industriya (tulad ng mga institusyong pinansyal at pangangalagang pangkalusugan) na ginagamit sa pagkuha ng kagamitan.
Sinusuri ang mga device laban sa isang hanay ng mga kinakailangan sa cryptographic at seguridad ng independiyenteng cryptography at mga laboratoryo sa pagsubok ng seguridad na kinikilala ng National Voluntary Laboratory Accreditation Program (NVLAP). Kasabay nito, ang bawat ulat sa laboratoryo ay sinusuri para sa pagsunod sa Federal Information Processing Standard (FIPS) 140-2 at kinumpirma ng CMVP.
Ang mga module na na-verify bilang sumusunod sa FIPS 140-2 ay inirerekomenda para sa paggamit ng mga pederal na ahensya ng US at Canada hanggang Setyembre 22, 2026. Pagkatapos nito, isasama sila sa listahan ng archive, bagama't magagamit pa rin sila. Noong Setyembre 22, 2020, natapos ang pagtanggap ng mga aplikasyon para sa validation ayon sa FIPS 140-3 na pamantayan. Kapag nakapasa ang mga device sa mga pagsusuri, ililipat ang mga ito sa aktibong listahan ng mga nasubok at pinagkakatiwalaang device sa loob ng limang taon. Kung hindi pumasa sa pag-verify ang isang cryptographic device, hindi inirerekomenda ang paggamit nito sa mga ahensya ng gobyerno sa United States at Canada.
2. Anong mga kinakailangan sa seguridad ang ipinapataw ng sertipikasyon ng FIPS?
Ang pag-hack ng data kahit na mula sa isang hindi sertipikadong naka-encrypt na drive ay mahirap at kakaunti ang mga tao ang magagawa, kaya kapag pumipili ng isang consumer drive para sa paggamit sa bahay na may certification, hindi mo kailangang mag-abala. Sa sektor ng korporasyon, iba ang sitwasyon: kapag pumipili ng mga secure na USB drive, ang mga kumpanya ay kadalasang nagbibigay ng kahalagahan sa mga antas ng sertipikasyon ng FIPS. Gayunpaman, hindi lahat ay may malinaw na ideya kung ano ang ibig sabihin ng mga antas na ito.
Ang kasalukuyang pamantayang FIPS 140-2 ay tumutukoy sa apat na magkakaibang antas ng seguridad na maaaring matugunan ng mga flash drive. Ang unang antas ay nagbibigay ng katamtamang hanay ng mga tampok ng seguridad. Ang ika-apat na antas ay nagpapahiwatig ng mahigpit na mga kinakailangan para sa pagprotekta sa sarili ng mga device. Ang mga antas dalawa at tatlo ay nagbibigay ng gradasyon ng mga kinakailangang ito at bumubuo ng isang uri ng ginintuang mean.
- Level XNUMX Security: Ang Level XNUMX na certified na USB drive ay nangangailangan ng kahit isang encryption algorithm o iba pang security feature.
- Ang pangalawang antas ng seguridad: dito ang drive ay kinakailangan hindi lamang upang magbigay ng cryptographic na proteksyon, ngunit din upang makita ang hindi awtorisadong panghihimasok sa antas ng firmware kung may sumusubok na buksan ang drive.
- Ang ikatlong antas ng seguridad: nagsasangkot ng pagpigil sa pag-hack sa pamamagitan ng pagsira sa mga βkeyβ ng pag-encrypt. Iyon ay, kinakailangan ang tugon sa mga pagtatangka sa pagtagos. Gayundin, ginagarantiyahan ng ikatlong antas ang isang mas mataas na antas ng proteksyon laban sa electromagnetic interference: iyon ay, hindi gagana ang pagbabasa ng data mula sa isang flash drive gamit ang mga wireless hacking device.
- Ang ikaapat na antas ng seguridad: ang pinakamataas na antas, na kinabibilangan ng kumpletong proteksyon ng cryptographic module, na nagbibigay ng pinakamataas na posibilidad ng pagtuklas at pagkontra sa anumang hindi awtorisadong pagtatangka sa pag-access ng isang hindi awtorisadong gumagamit. Kasama rin sa mga flash drive na nakatanggap ng pang-apat na antas ng sertipiko ang mga opsyon sa proteksyon na hindi pinapayagan ang pag-hack sa pamamagitan ng pagpapalit ng boltahe at temperatura ng kapaligiran.
Ang mga sumusunod na Kingston drive ay na-certify sa FIPS 140-2 Level 2000: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. Ang pangunahing tampok ng mga drive na ito ay ang kanilang kakayahang tumugon sa isang pagtatangka sa panghihimasok: kung ang password ay naipasok nang hindi tama ng XNUMX beses, ang data sa drive ay masisira.
Ano pa ang magagawa ng mga flash drive ng Kingston bukod sa pag-encrypt?
Pagdating sa kumpletong seguridad ng data, kasama ang pag-encrypt ng hardware ng mga flash drive, mga built-in na antivirus, proteksyon mula sa mga panlabas na impluwensya, pag-synchronize sa mga personal na ulap at iba pang mga tampok na tatalakayin natin sa ibaba ay sumagip. Walang malaking pagkakaiba sa mga flash drive na may software encryption. Ang diyablo ay nasa mga detalye. At narito kung ano.
1. Kingston DataTraveler 2000
Kunin natin ang isang USB drive halimbawa. . Ito ay isa sa mga flash drive na may hardware encryption, ngunit sa parehong oras ang isa lamang na may sariling pisikal na keyboard sa kaso. Ginagawa nitong 11-button keypad ang DT2000 na ganap na independiyente sa mga host system (upang magamit ang DataTraveler 2000, kailangan mong pindutin ang Key button, pagkatapos ay ilagay ang iyong password, at pindutin muli ang Key button). Bilang karagdagan, ang flash drive na ito ay may IP57 na antas ng proteksyon laban sa tubig at alikabok (nakakagulat, hindi ito isinasaad ng Kingston kahit saan sa packaging o sa mga detalye sa opisyal na website).
Mayroong 2000mAh lithium polymer na baterya sa loob ng DataTraveler 40, at pinapayuhan ni Kingston ang mga mamimili na isaksak ang drive sa isang USB port nang hindi bababa sa isang oras bago ito gamitin upang payagan ang baterya na mag-charge. Sa pamamagitan ng paraan, sa isa sa mga nakaraang materyales : Walang dahilan upang mag-alala - ang flash drive ay hindi aktibo sa charger dahil walang mga kahilingan sa controller ng system. Samakatuwid, walang magnanakaw ng iyong data sa pamamagitan ng mga wireless na panghihimasok.
2. Kingston DataTraveler Locker+ G3
Kung pinag-uusapan natin ang modelo ng Kingston β nakakaakit ito ng pansin sa kakayahang i-configure ang backup ng data mula sa isang flash drive patungo sa Google cloud storage, OneDrive, Amazon Cloud o Dropbox. Ang pag-synchronize ng data sa mga serbisyong ito ay ibinibigay din.
Isa sa mga tanong sa amin ng aming mga mambabasa ay: "Ngunit paano kumuha ng naka-encrypt na data mula sa isang backup?" Napakasimple. Ang katotohanan ay kapag nag-synchronize sa cloud, ang impormasyon ay na-decrypted, at ang proteksyon ng backup sa cloud ay nakasalalay sa mga kakayahan ng cloud mismo. Samakatuwid, ang mga naturang pamamaraan ay isinasagawa lamang sa pagpapasya ng gumagamit. Kung wala ang kanyang pahintulot, walang data na mai-upload sa cloud.
3. Kingston DataTraveler Vault Privacy 3.0
Ngunit ang mga kagamitan ng Kingston Mayroon din silang built-in na Drive Security antivirus mula sa ESET. Pinoprotektahan ng huli ang data mula sa pagsalakay ng USB drive ng mga virus, spyware, Trojans, worm, rootkits, at koneksyon sa mga computer ng ibang tao, maaaring sabihin ng isa, hindi ito natatakot. Agad na babalaan ng antivirus ang may-ari ng drive tungkol sa mga potensyal na banta, kung may nakita. Sa kasong ito, ang gumagamit ay hindi kailangang mag-install ng anti-virus software sa kanyang sarili at magbayad para sa pagpipiliang ito. Ang ESET Drive Security ay paunang naka-install sa isang flash drive na may limang taong lisensya.
Ang Kingston DT Vault Privacy 3.0 ay idinisenyo at pangunahing naka-target sa mga propesyonal sa IT. Pinapayagan nito ang mga administrator na gamitin ito bilang isang standalone na drive o idagdag ito bilang bahagi ng isang sentralisadong solusyon sa pamamahala, at maaari ding gamitin upang i-configure o malayuang i-reset ang mga password at i-configure ang mga patakaran ng device. Nagdagdag pa si Kingston ng USB 3.0, na nagbibigay-daan sa iyong maglipat ng secure na data nang mas mabilis kaysa sa USB 2.0.
Sa pangkalahatan, ang DT Vault Privacy 3.0 ay isang mahusay na opsyon para sa sektor ng korporasyon at mga organisasyon na nangangailangan ng maximum na proteksyon ng kanilang data. Maaari rin itong irekomenda sa lahat ng gumagamit na gumagamit ng mga computer na matatagpuan sa mga pampublikong network.
Para sa karagdagang impormasyon tungkol sa mga produkto ng Kingston, makipag-ugnayan .
Pinagmulan: www.habr.com