Merhaba Habr! Birimizin yorumlarında okuyucular ilginç bir soru sordular: "TrueCrypt mevcutken neden donanım şifrelemeli bir flash sürücüye ihtiyacınız var?" - ve hatta "Kingston sürücüsünün yazılım ve donanımında yer imi olmadığından nasıl emin olabilirsiniz?" ile ilgili bazı endişelerini dile getirdiler. ?” Bu sorulara kısaca cevap verdik ama sonra konunun temel bir analizi hak ettiğine karar verdik. Bu yazıda yapacağımız şey budur.
Yazılım şifrelemesi gibi AES donanım şifrelemesi de uzun süredir kullanılıyor ancak flash sürücülerdeki hassas verileri tam olarak nasıl koruyor? Bu tür sürücüleri kim onaylıyor ve bu sertifikalara güvenilebilir mi? TrueCrypt veya BitLocker gibi ücretsiz programları kullanabiliyorsanız, bu tür "karmaşık" flash sürücülere kimin ihtiyacı var? Gördüğünüz gibi yorumlarda sorulan konu gerçekten birçok soruyu gündeme getiriyor. Her şeyi anlamaya çalışalım.
Donanım şifrelemesinin yazılım şifrelemesinden farkı nedir?
Flaş sürücüler söz konusu olduğunda (HDD'ler ve SSD'lerin yanı sıra), donanım veri şifrelemesini uygulamak için cihazın devre kartında bulunan özel bir çip kullanılır. Şifreleme anahtarları üreten yerleşik bir rastgele sayı üretecine sahiptir. Veriler otomatik olarak şifrelenir ve kullanıcı şifrenizi girdiğinizde anında şifresi çözülür. Bu senaryoda verilere şifre olmadan erişmek neredeyse imkansızdır.
Yazılım şifrelemesini kullanırken, sürücüdeki verilerin "kilitlenmesi", donanım şifreleme yöntemlerine düşük maliyetli bir alternatif görevi gören harici yazılım tarafından sağlanır. Bu tür yazılımların dezavantajları, sürekli gelişen bilgisayar korsanlığı tekniklerine karşı direnç sağlamak amacıyla düzenli güncellemeler için sıradan bir gereklilik içerebilir. Ek olarak, verilerin şifresini çözmek için bilgisayar işleminin gücü (ayrı bir donanım yongası yerine) kullanılır ve aslında bilgisayarın koruma düzeyi, sürücünün koruma düzeyini belirler.
Donanım şifrelemeli sürücülerin ana özelliği, ayrı bir şifreleme işlemcisidir; bunun varlığı, bilgisayarın RAM'inde veya sabit sürücüsünde geçici olarak saklanabilen yazılım anahtarlarının aksine, şifreleme anahtarlarının asla USB sürücüsünden ayrılmadığını söyler. Yazılım şifrelemesi, oturum açma denemelerinin sayısını depolamak için PC belleğini kullandığından, parola veya anahtara yapılan kaba kuvvet saldırılarını durduramaz. Oturum açma girişimi sayacı, otomatik şifre kırma programı istenen kombinasyonu bulana kadar bir saldırgan tarafından sürekli olarak sıfırlanabilir.
Bu arada..., yazıya yapılan yorumlarda ““Kullanıcılar ayrıca örneğin TrueCrypt programının taşınabilir bir çalışma moduna sahip olduğunu da belirtti. Ancak bu çok büyük bir avantaj değil. Gerçek şu ki, bu durumda şifreleme programı flash sürücünün belleğinde saklanıyor ve bu da onu saldırılara karşı daha savunmasız hale getiriyor.
Sonuç olarak: yazılım yaklaşımı, AES şifrelemesi kadar yüksek düzeyde güvenlik sağlamaz. Daha çok temel bir savunmadır. Öte yandan, önemli verilerin yazılımla şifrelenmesi, hiç şifreleme yapılmamasından daha iyidir. Ve bu gerçek, bu tür kriptografiyi açıkça ayırt etmemizi sağlar: flash sürücülerin donanımsal olarak şifrelenmesi, daha ziyade kurumsal sektör için bir zorunluluktur (örneğin, şirket çalışanları işyerinde verilen sürücüleri kullandığında); ve yazılım kullanıcı ihtiyaçlarına daha uygundur.
Ancak Kingston, sürücü modellerini (örneğin, IronKey S1000) Basic ve Enterprise versiyonlarına ayırmaktadır. İşlevsellik ve koruma özellikleri açısından neredeyse birbirinin aynısıdır ancak kurumsal sürüm, sürücüyü SafeConsole/IronKey EMS yazılımını kullanarak yönetme olanağı sunar. Bu yazılım sayesinde sürücü, parola korumasını ve erişim politikalarını uzaktan uygulamak için bulut veya yerel sunucularla çalışır. Kullanıcılara kayıp parolaları kurtarma fırsatı verilir ve yöneticiler artık kullanılmayan sürücüleri yeni görevlere geçirebilir.
AES şifrelemeli Kingston flash sürücüleri nasıl çalışır?
Kingston, tüm güvenli sürücüleri için 256 bit AES-XTS donanım şifrelemesini (isteğe bağlı tam uzunlukta bir anahtar kullanarak) kullanır. Yukarıda belirttiğimiz gibi, flash sürücülerin bileşen tabanlarında, verileri şifrelemek ve şifresini çözmek için sürekli aktif bir rastgele sayı üreteci görevi gören ayrı bir çip bulunur.
Bir aygıtı bir USB bağlantı noktasına ilk kez bağladığınızda, Başlatma Kurulum Sihirbazı, aygıta erişim için bir ana parola ayarlamanızı ister. Sürücüyü etkinleştirdikten sonra şifreleme algoritmaları kullanıcı tercihlerine göre otomatik olarak çalışmaya başlayacaktır.
Aynı zamanda, kullanıcı için flash sürücünün çalışma prensibi değişmeden kalacaktır - normal bir USB flash sürücüyle çalışırken olduğu gibi, dosyaları cihazın belleğine indirip yerleştirebilecektir. Tek fark, flash sürücüyü yeni bir bilgisayara bağladığınızda bilgilerinize erişim sağlamak için belirlenen şifreyi girmeniz gerekmesidir.
Donanım şifrelemeli flash sürücülere neden ve kimin ihtiyacı var?
Hassas verilerin işin bir parçası olduğu kuruluşlar için (finansal, sağlık hizmetleri veya hükümet olsun), şifreleme en güvenilir koruma aracıdır. AES donanım şifrelemesi, herhangi bir şirket tarafından kullanılabilecek ölçeklenebilir bir çözümdür: bireylerden küçük işletmelere, büyük şirketlere, askeri kuruluşlara ve devlet kuruluşlarına kadar. Bu konuya biraz daha spesifik olarak bakmak için şifrelenmiş USB sürücüleri kullanmak gereklidir:
- Gizli şirket verilerinin güvenliğini sağlamak
- Müşteri bilgilerini korumak için
- Şirketleri kar kaybından ve müşteri sadakatinden korumak
Bazı güvenli flash sürücü üreticilerinin (Kingston dahil) şirketlere müşterilerin ihtiyaçlarını ve hedeflerini karşılamak üzere tasarlanmış özelleştirilmiş çözümler sunduğunu belirtmekte fayda var. Ancak seri üretilen hatlar (DataTraveler flash sürücüleri dahil) görevlerini mükemmel bir şekilde yerine getiriyor ve kurumsal sınıf güvenlik sağlama kapasitesine sahip.
1. Gizli şirket verilerinin güvenliğinin sağlanması
2017 yılında bir Londra sakini, parklardan birinde, güvenlik kameralarının konumu ve havaalanının gelişi durumunda güvenlik önlemlerine ilişkin ayrıntılı bilgiler de dahil olmak üzere, Heathrow Havalimanı'nın güvenliğiyle ilgili şifre korumalı olmayan bilgiler içeren bir USB sürücüsü keşfetti. üst düzey yetkililer. Flaş sürücüde ayrıca elektronik geçişler ve havaalanının kısıtlı bölgelerine erişim kodları hakkında veriler de bulunuyordu.
Analistler, bu tür durumların nedeninin, kendi ihmalleri nedeniyle gizli verileri "sızdırabilen" şirket çalışanlarının siber bilgisizliği olduğunu söylüyor. Donanım şifrelemeli flash sürücüler bu sorunu kısmen çözer çünkü böyle bir sürücünün kaybolması durumunda, aynı güvenlik görevlisinin ana şifresi olmadan içindeki verilere erişemezsiniz. Her durumda, şifrelemeyle korunan cihazlardan bahsediyor olsak bile, bu, çalışanların flash sürücüleri kullanma konusunda eğitilmesi gerektiği gerçeğini ortadan kaldırmaz.
2. Müşteri bilgilerinin korunması
Herhangi bir kuruluş için daha da önemli bir görev, riske maruz kalmaması gereken müşteri verileriyle ilgilenmektir. Bu arada, farklı iş sektörleri arasında en sık aktarılan ve kural olarak gizli olan bu bilgilerdir: örneğin, finansal işlemler, tıbbi geçmiş vb. hakkında veriler içerebilir.
3. Kâr kaybına ve müşteri sadakatine karşı koruma
Donanım şifrelemeli USB cihazlarının kullanılması, kuruluşlar için yıkıcı sonuçların önlenmesine yardımcı olabilir. Kişisel veri koruma yasalarını ihlal eden şirketlere büyük miktarlarda para cezası kesilebiliyor. Bu nedenle şu sorunun sorulması gerekiyor: Uygun koruma olmadan bilgi paylaşma riskini almaya değer mi?
Mali etkiyi hesaba katmasak bile, ortaya çıkan güvenlik hatalarını düzeltmek için harcanan zaman ve kaynak miktarı da aynı derecede önemli olabilir. Ayrıca, bir veri ihlalinin müşteri verilerini tehlikeye atması durumunda şirket, özellikle benzer ürün veya hizmet sunan rakiplerin bulunduğu pazarlarda marka bağlılığını riske atıyor.
Donanım şifrelemeli flash sürücüleri kullanırken üreticiden "yer imlerinin" bulunmadığını kim garanti eder?
Bahsettiğimiz konu içerisinde bu soru belki de ana sorulardan biridir. Kingston DataTraveler diskleriyle ilgili yazıya yapılan yorumlar arasında ilginç bir soruyla daha karşılaştık: "Cihazlarınızın üçüncü taraf bağımsız uzmanların denetimleri var mı?" Bu mantıklı bir ilgi: kullanıcılar USB sürücülerimizin zayıf şifreleme veya şifre girişini atlama yeteneği gibi yaygın hatalar içermediğinden emin olmak istiyor. Makalenin bu bölümünde Kingston sürücülerinin gerçekten güvenli flash sürücüler statüsünü almadan önce hangi sertifikasyon prosedürlerinden geçtiğinden bahsedeceğiz.
Güvenilirliği kim garanti ediyor? Görünüşe göre "Kingston başardı, bunu garanti ediyor" diyebiliriz. Ancak bu durumda, üretici ilgili taraf olduğu için böyle bir ifade yanlış olacaktır. Bu nedenle tüm ürünler bağımsız uzmanlığa sahip üçüncü taraflarca test edilir. Özellikle Kingston donanım şifreli sürücüleri (DTLPG3 hariç) Şifreleme Modülü Doğrulama Programının (CMVP) katılımcılarıdır ve Federal Bilgi İşleme Standardı (FIPS) sertifikasına sahiptir. Sürücüler ayrıca GLBA, HIPPA, HITECH, PCI ve GTSA standartlarına göre sertifikalandırılmıştır.
1. Şifreleme modülü doğrulama programı
CMVP programı, ABD Ticaret Bakanlığı Ulusal Standartlar ve Teknoloji Enstitüsü ile Kanada Siber Güvenlik Merkezi'nin ortak projesidir. Projenin amacı, kanıtlanmış kriptografik cihazlara olan talebi teşvik etmek ve federal kurumlara ve düzenlenmiş endüstrilere (finans ve sağlık kurumları gibi) ekipman tedarikinde kullanılan güvenlik ölçümleri sağlamaktır.
Cihazlar, Ulusal Gönüllü Laboratuvar Akreditasyon Programı (NVLAP) tarafından akredite edilen bağımsız kriptografi ve güvenlik testi laboratuvarları tarafından bir dizi kriptografik ve güvenlik gereksinimlerine göre test edilir. Aynı zamanda her laboratuvar raporunun Federal Bilgi İşleme Standardı (FIPS) 140-2'ye uygunluğu kontrol edilir ve CMVP tarafından onaylanır.
FIPS 140-2 uyumlu olduğu doğrulanan modüllerin 22 Eylül 2026'ya kadar ABD ve Kanada federal kurumları tarafından kullanılması önerilir. Bundan sonra arşiv listesine dahil edilecekler ancak yine de kullanılabilirler. 22 Eylül 2020 tarihinde FIPS 140-3 standardına göre doğrulama başvurularının kabulü sona erdi. Cihazlar kontrolleri geçtikten sonra beş yıl boyunca test edilen ve güvenilen cihazların aktif listesine taşınacak. Bir şifreleme cihazı doğrulamayı geçemezse, Amerika Birleşik Devletleri ve Kanada'daki devlet kurumlarında kullanılması önerilmez.
2. FIPS sertifikası hangi güvenlik gerekliliklerini zorunlu kılmaktadır?
Sertifikasız şifrelenmiş bir sürücüdeki verileri bile hacklemek zordur ve çok az kişi bunu yapabilir; bu nedenle evde kullanım için sertifikalı bir tüketici sürücüsü seçerken zahmet etmenize gerek yoktur. Kurumsal sektörde ise durum farklıdır: Şirketler güvenli USB sürücüleri seçerken genellikle FIPS sertifikasyon seviyelerine önem verirler. Ancak herkesin bu seviyelerin ne anlama geldiğine dair net bir fikri yok.
Mevcut FIPS 140-2 standardı, flash sürücülerin karşılayabileceği dört farklı güvenlik düzeyini tanımlar. İlk düzey, orta düzeyde bir dizi güvenlik özelliği sağlar. Dördüncü seviye, cihazların kendi kendini korumasına yönelik katı gereklilikleri ifade eder. İkinci ve üçüncü düzeyler bu gereksinimlerin derecelendirilmesini sağlar ve bir tür altın ortalama oluşturur.
- Seviye XNUMX Güvenlik: Seviye XNUMX sertifikalı USB sürücüleri, en az bir şifreleme algoritması veya başka bir güvenlik özelliği gerektirir.
- İkinci güvenlik düzeyi: Burada sürücünün yalnızca kriptografik koruma sağlaması değil, aynı zamanda birisi sürücüyü açmaya çalıştığında donanım yazılımı düzeyinde yetkisiz izinsiz girişleri tespit etmesi de gerekir.
- Üçüncü güvenlik düzeyi: Şifreleme "anahtarlarını" yok ederek bilgisayar korsanlığının önlenmesini içerir. Yani sızma girişimlerine yanıt verilmesi gerekmektedir. Ayrıca üçüncü seviye, elektromanyetik girişime karşı daha yüksek düzeyde korumayı garanti eder: yani, kablosuz bilgisayar korsanlığı cihazlarını kullanarak bir flash sürücüden veri okumak işe yaramayacaktır.
- Dördüncü güvenlik seviyesi: Yetkisiz bir kullanıcının yetkisiz erişim girişimlerine karşı maksimum tespit ve karşı önlem olasılığını sağlayan, kriptografik modülün tam korumasını içeren en yüksek seviye. Dördüncü düzey sertifika alan flash sürücüler, voltajı ve ortam sıcaklığını değiştirerek korsanlığa izin vermeyen koruma seçeneklerini de içerir.
Aşağıdaki Kingston sürücüleri FIPS 140-2 Seviye 2000 sertifikasına sahiptir: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. Bu sürücülerin temel özelliği, izinsiz giriş girişimlerine yanıt verebilmeleridir: parola XNUMX kez yanlış girilirse sürücüdeki veriler yok edilir.
Kingston flash sürücüleri şifrelemenin yanı sıra başka neler yapabilir?
Tam veri güvenliği söz konusu olduğunda, flash sürücülerin donanım şifrelemesi, yerleşik antivirüsler, dış etkenlerden koruma, kişisel bulutlarla senkronizasyon ve aşağıda tartışacağımız diğer özellikler kurtarmaya gelir. Yazılım şifrelemeli flash sürücülerde büyük bir fark yoktur. Şeytan Ayrıntıda. Ve işte şu.
1. Kingston DataTraveler 2000
Örneğin bir USB sürücüyü ele alalım. . Bu, donanım şifrelemeli flash sürücülerden biridir, ancak aynı zamanda kasada kendi fiziksel klavyesi olan tek sürücüdür. Bu 11 tuşlu tuş takımı DT2000'i ana bilgisayar sistemlerinden tamamen bağımsız hale getirir (DataTraveler 2000'i kullanmak için Anahtar düğmesine basmanız, ardından şifrenizi girmeniz ve Anahtar düğmesine tekrar basmanız gerekir). Ek olarak, bu flash sürücü suya ve toza karşı IP57 derecesinde korumaya sahiptir (şaşırtıcı bir şekilde Kingston bunu ne ambalajın hiçbir yerinde ne de resmi web sitesindeki teknik özelliklerde belirtmiyor).
DataTraveler 2000'in içinde 40 mAh lityum polimer pil bulunuyor ve Kingston, pilin şarj olmasını sağlamak için alıcılara sürücüyü kullanmadan önce en az bir saat boyunca bir USB bağlantı noktasına takmalarını tavsiye ediyor. Bu arada, önceki materyallerden birinde : Endişelenmenize gerek yok - sistem tarafından denetleyiciye herhangi bir istek yapılmadığından flash sürücü şarj cihazında etkinleştirilmedi. Bu nedenle, hiç kimse kablosuz izinsiz girişler yoluyla verilerinizi çalamaz.
2. Kingston DataTraveler Locker+ G3
Kingston modelinden bahsedecek olursak – Flash sürücüden Google bulut depolamaya, OneDrive, Amazon Cloud veya Dropbox'a veri yedeklemeyi yapılandırma yeteneği ile dikkat çekiyor. Bu servislerle veri senkronizasyonu da sağlanmaktadır.
Okuyucularımızın bize sorduğu sorulardan biri şu: “Peki şifreli veriler yedekten nasıl alınır?” Çok basit. Gerçek şu ki, bulutla senkronizasyon sırasında bilgilerin şifresi çözülür ve buluttaki yedeklemenin korunması bulutun kendi yeteneklerine bağlıdır. Dolayısıyla bu tür işlemler tamamen kullanıcının takdirine bağlı olarak gerçekleştirilir. Onun izni olmadan buluta hiçbir veri yüklenmeyecektir.
3. Kingston DataTraveler Vault Gizliliği 3.0
Ancak Kingston cihazları Ayrıca ESET'in yerleşik Drive Security antivirüs yazılımıyla birlikte gelirler. İkincisi, verileri bir USB sürücüsünün virüsler, casus yazılımlar, Truva atları, solucanlar, rootkitler tarafından istila edilmesine ve diğer insanların bilgisayarlarına bağlantıya karşı korur, korkmadığı söylenebilir. Antivirüs, tespit edilmesi durumunda sürücünün sahibini potansiyel tehditler konusunda anında uyaracaktır. Bu durumda kullanıcının antivirüs yazılımını kendisinin kurmasına ve bu seçenek için ödeme yapmasına gerek yoktur. ESET Drive Security, beş yıllık lisansa sahip bir flash sürücüye önceden yüklenmiştir.
Kingston DT Vault Privacy 3.0 öncelikle BT profesyonellerine yönelik tasarlanmış ve hedeflenmiştir. Yöneticilerin onu bağımsız bir sürücü olarak kullanmasına veya merkezi bir yönetim çözümünün parçası olarak eklemesine olanak tanır ve ayrıca parolaları yapılandırmak veya uzaktan sıfırlamak ve cihaz politikalarını yapılandırmak için de kullanılabilir. Kingston, güvenli verileri USB 3.0'dan çok daha hızlı aktarmanıza olanak tanıyan USB 2.0'ı da ekledi.
Genel olarak DT Vault Privacy 3.0, verilerinin maksimum düzeyde korunmasına ihtiyaç duyan kurumsal sektör ve kuruluşlar için mükemmel bir seçenektir. Ayrıca genel ağlarda bulunan bilgisayarları kullanan tüm kullanıcılara da önerilebilir.
Kingston ürünleri hakkında daha fazla bilgi için iletişime geçin .
Kaynak: habr.com