Привіт, Хабре! У коментарях до одного з наших читачі поставили цікаве питання: "Навіщо потрібна флешка з апаратним шифруванням, коли є TrueCrypt?", - І навіть висловили деякі побоювання щодо того "Як можна переконатися, що в софті і хардварній частині накопичувача Kingston немає закладок?". Ми ємно відповіли на ці питання, але потім вирішили, що тема заслуговує на фундаментальний розбір. Цим і займемося у цьому пості.
Апаратне шифрування AES, як і програмне, існує вже давно, але як саме воно захищає важливі дані на флеш-накопичувачах? Хто сертифікує такі накопичувачі, і чи можна цим сертифікаціям довіряти? Кому взагалі потрібні такі складні флешки, якщо можна користуватися безкоштовними програмами типу TrueCrypt або BitLocker. Як бачите, задана в коментарях тема породжує справді багато запитань. Спробуймо з усім цим розібратися.
Чим апаратне шифрування відрізняється від програмного?
У разі флеш-накопичувачів (а також HDD і SSD) для здійснення апаратного шифрування даних використовується спеціальний чіп, розташований на друкованій платі пристрою. У нього вбудований генератор випадкових чисел, що створює ключі шифрування. Дані шифруються автоматично і миттєво дешифруються при введенні пароля користувача. У цьому сценарії доступ до даних без пароля практично неможливо.
При використанні програмного шифрування "блокування" даних на накопичувачі забезпечується зовнішнім програмним забезпеченням, яке виступає у ролі бюджетної альтернативи апаратним методам шифрування. Недоліки такого ПЗ можуть полягати в банальній вимогі регулярних оновлень, щоб пропонувати стійкість до методик злому, що постійно покращуються. До того ж для дешифрування даних використовуються потужності комп'ютерного процесу (а не окремого апаратного чіпа), і по суті рівень захисту ПК визначає рівень захисту накопичувача.
Головна ж особливість накопичувачів з апаратним шифруванням полягає в окремому криптографічному процесорі, наявність якого говорить нам про те, що ключі шифрування ніколи не залишають USB-накопичувач, на відміну від програмних ключів, які можуть зберігатися в оперативній пам'яті комп'ютера або на жорсткому диску. А оскільки програмне шифрування використовує пам'ять ПК для збереження кількості спроб входу в систему, воно не може зупинити атаки грубої сили на пароль або ключ. Лічильник спроб входу може постійно скидатися зловмисником доти, доки програма автоматичного злому паролів не знайде потрібну комбінацію.
До речі…, у коментарях до статті “” Користувачі також зазначили, що, наприклад, програма TrueCrypt має портативний режим роботи. Однак це не є великою перевагою. Справа в тому, що в цьому випадку програма шифрування зберігається в пам'яті флеш-накопичувача, і це робить її більш уразливою для атак.
Як результат: програмний підхід не забезпечує настільки ж високий рівень безпеки, як AES-шифрування. Це, скоріше, базовий захист. З іншого боку – програмне шифрування важливих даних все ж таки краще, ніж взагалі відсутність шифрування. І цей факт дозволяє нам чітко розмежувати ці типи криптографії: апаратне шифрування флеш-накопичувачів – необхідність швидше для корпоративного сектора (наприклад, коли співробітники компанії користуються накопичувачами, виданими на роботі); а програмне – більше підходить для потреб користувача.
Тим не менш Kingston поділяє свої моделі накопичувачів (наприклад, IronKey S1000) на версії Basic (базові) і Enterprise (корпоративні). За функціональністю та властивостями захисту вони практично ідентичні один одному, але корпоративна версія пропонує можливість керування накопичувачем за допомогою SafeConsole/IronKey EMS. Завдяки цьому програмному забезпеченню, накопичувач працює або з хмарними, або з локальними серверами для дистанційного здійснення політик парольного захисту та доступу. Користувачам при цьому надаються можливості відновлення втрачених паролів, а адміністраторам – перемикання накопичувачів, що більше не використовуються, на нові завдання.
Як працюють флешки Kingston із AES-шифруванням?
Kingston використовує 256-бітове апаратне шифрування AES-XTS (з використанням додаткового повнорозмірного ключа) для всіх безпечних накопичувачів. Як ми вже зазначили вище, флешки містять у своїй компонентній базі окремий чіп для шифрування та дешифрування даних, який виступає в ролі постійно активного генератора випадкових чисел.
Коли ви підключаєте пристрій до USB-порту вперше, майстер налаштування ініціалізації пропонує вам встановити майстер-пароль для доступу до пристрою. Після активації накопичувача алгоритми шифрування автоматично почнуть свою роботу відповідно до користувальницьких уподобань.
При цьому для користувача принцип роботи флеш-накопичувача залишиться незмінним - він, як і раніше, зможе завантажувати та розміщувати файли в пам'яті пристрою, як при роботі зі звичайною USB-флешкою. Єдина відмінність полягає в тому, що при підключенні флешки до нового комп'ютера вам потрібно буде вводити встановлений пароль для отримання доступу до інформації.
Навіщо та кому потрібні флешки з апаратним шифруванням?
Для організацій, у яких конфіденційні дані є частиною бізнесу (чи фінансові, медичні чи державні установи), шифрування є найбільш надійним засобом захисту. апаратного шифрування AES – масштабоване рішення, яке може використовуватися будь-якими компаніями: від приватних осіб та малих підприємств до великих корпорацій, а також військових та урядових організацій. Якщо розглядати це питання трохи конкретніше, використання зашифрованих USB-накопичувачів необхідно:
- Для забезпечення безпеки конфіденційних даних компанії
- Для захисту інформації про клієнтів
- Для захисту компаній від втрати прибутку та лояльності клієнтів
Варто зазначити, що деякі виробники захищених флеш-накопичувачів (у тому числі і компанія Kingston) надають для корпорацій індивідуальні рішення, розроблені під потреби та завдання замовників. Але і масові лінійки (в числі яких флешки DataTraveler) чудово справляються зі своїми завданнями та здатні забезпечити корпоративний клас безпеки.
1. Забезпечення безпеки конфіденційних даних компанії
У 2017 році мешканець Лондона виявив в одному з парків USB-накопичувач, на якому містилася незапаролена інформація щодо безпеки аеропорту Хітроу, включаючи розташування камер спостереження, докладну інформацію про заходи захисту у разі прильоту високопосадовців. Також на флешці містилися дані електронних перепусток та коди доступу до закритих зон аеропорту.
Аналітики називають причиною подібних ситуацій кібернеграмотність співробітників компаній, які можуть "злити" секретні дані щодо власної недбалості. Флеш-накопичувачі з апаратним шифруванням частково вирішують цю проблему, адже у разі втрати такого накопичувача отримати доступ до даних на ній без майстер-пароля того ж співробітника служби безпеки не вийде. У жодному разі це не скасовує того, що співробітників треба навчати поводженню з флешками, навіть якщо йдеться про пристрої, захищені шифруванням.
2. Захист інформації про клієнтів
Ще більш важливим завданням для будь-якої організації є турбота про клієнтські дані, які не повинні наражатися на ризики компрометації. До речі, саме ця інформація найчастіше передається між різними секторами бізнесу і, як правило, має конфіденційний характер: наприклад, вона може містити дані про фінансові операції, історію хвороби тощо.
3. Захист від втрати прибутку та лояльності клієнтів
Використання USB-пристроїв з апаратним шифруванням може допомогти запобігти руйнівним наслідкам для організацій. Компанії, які порушують закон про захист персональних даних, можуть бути оштрафовані великі суми. Отже, потрібно поставити запитання про те, чи варто йти на ризик обміну інформацією без належного захисту?
Навіть якщо не брати до уваги фінансові наслідки, кількість часу і ресурсів, що витрачаються на виправлення помилок у безпеці, може бути настільки ж значним. Крім того, якщо витік даних скомпрометував дані про клієнтів, компанія ризикує лояльним ставленням до бренду, особливо на ринках, де є конкуренти, які пропонують аналогічний продукт чи послугу.
Хто гарантує відсутність закладок від виробника при використанні флешок з апаратним шифруванням?
У поставленій нами темі це питання, мабуть, одне з головних. Серед коментарів до статті про накопичувачі Kingston DataTraveler нам попалося ще одне цікаве питання: “Чи є у ваших пристроїв аудит від сторонніх незалежних фахівців?”. Що ж, цілком логічний інтерес: користувачі хочуть переконатися, що в наших USB-накопичувачах немає поширених помилок, на кшталт слабкого шифрування або можливості обходу введення пароля. І в цій частині статті ми розповімо про те, які процедури сертифікації проходять накопичувачі Kingston, перш ніж отримати статус дійсно безпечних флешок.
Хто ж гарантує надійність? Здавалося б, ми цілком могли б сказати, що, мовляв, Kingston зробив - він і гарантує. Але в даному випадку подібна заява буде невірною, оскільки виробник виступає зацікавленою стороною. Тому всі продукти проходять перевірку третьою особою із незалежною експертизою. Зокрема, накопичувачі Kingston з апаратним шифруванням (за винятком DTLPG3) є учасниками програми валідації криптографічних модулів (Cryptographic Module Validation Program або CMVP) та сертифіковані за федеральним стандартом обробки інформації (Federal Information Processing Standard або FIPS). Також накопичувачі сертифікуються за стандартами GLBA, HIPPA, HITECH, PCI та GTSA.
1. Програма валідації криптографічних модулів
Програма CMVP – спільний проект Національного інституту стандартів та технологій при Міністерстві торгівлі США та Канадського центру кібербезпеки. Метою проекту є стимуляція попиту на перевірені криптографічні пристрої та надання показників безпеки федеральним відомствам та регульованим галузям (наприклад, фінансові та медичні установи), які використовуються при закупівлі обладнання.
Перевірки пристроїв на відповідність набору криптографічних вимог та вимог безпеки проводяться незалежними лабораторіями криптографії та тестування безпеки, акредитованими NVLAP (National Voluntary Laboratory Accreditation Program / Національна програма добровільної акредитації лабораторій). При цьому кожен лабораторний висновок перевіряється на відповідність Федеральному стандарту обробки інформації (FIPS) 140-2 і підтверджується CMVP.
Модулі, що підтверджені як відповідні стандарту FIPS 140-2, рекомендуються до використання федеральними відомствами США та Канади до 22 вересня 2026 року. Після цього вони потраплять до архівного списку, хоч і, як і раніше, зможуть використовуватись. 22 вересня 2020 року закінчився прийом заявок на валідацію за стандартом FIPS 140-3. Після проходження перевірок пристрої будуть на п'ять років переміщені до активного списку перевірених та надійних пристроїв. Якщо криптографічний пристрій не проходить перевірку, його використання в державних установах США та Канади не рекомендується.
2. Які вимоги безпеки висуває сертифікація FIPS?
Зламати дані навіть з несертифікованого зашифрованого диска складно і під силу небагатьом, тому при виборі споживчого накопичувача для домашнього використання з сертифікацією можна і не морочитися. У корпоративному секторі ситуація інакше: вибираючи захищені USB-накопичувачі, компанії часто надають значення рівням сертифікації FIPS. Проте чи всі мають чітке уявлення у тому, що це рівні означають.
Поточний стандарт FIPS 140-2 визначає чотири різні рівні безпеки, яким можуть відповідати флеш-накопичувачі. Перший рівень забезпечує помірний набір безпекових функцій. Четвертий рівень – має на увазі суворі вимоги до самозахисту пристроїв. Рівні два і три забезпечують градацію цих вимог і утворюють золоту середину.
- Перший рівень безпеки: для USB-накопичувачів, сертифікованих на першому рівні, передбачається використання хоча б одного алгоритму шифрування або іншої функції забезпечення безпеки.
- Другий рівень безпеки: тут від накопичувача потрібно не лише забезпечення криптографічного захисту, а й фіксація несанкціонованих вторгнень на мікропрограмному рівні, якщо хтось спробує відкрити накопичувач.
- Третій рівень безпеки: передбачає запобігання зламам через знищення «ключів» шифрування. Тобто потрібна наявність реакції у відповідь на спроби проникнення. Також третій рівень гарантує вищий рівень захисту від електромагнітних перешкод: тобто рахувати дані з флешки, використовуючи бездротові пристрої злому не вийде.
- Четвертий рівень безпеки: найвищий рівень, який передбачає повний захист криптографічного модуля, що забезпечує максимальну ймовірність виявлення та протидії будь-яким спробам несанкціонованого доступу з боку стороннього користувача. Флешки, що отримали сертифікат четвертого рівня, включають в себе в тому числі і такі опції захисту, які не дозволяють зробити хакінг за допомогою зміни напруги і температури навколишнього середовища.
За стандартом FIPS 140-2 третього рівня сертифіковано такі накопичувачі Kingston: DataTraveler DT2000, DataTraveler DT4000G2, IronKey S1000, IronKey D300. Ключова особливість цих накопичувачів в умінні давати реакцію у відповідь на спробу проникнення: при 10-кратному невірному введенні пасворда, дані на накопичувачі будуть знищені.
Що ще вміють флешки Kingston, крім шифрування?
Коли мова заходить про повну безпеку даних, нарівні з апаратним шифруванням флеш-накопичувачів на виручку приходять вбудовані антивіруси, захист від зовнішніх впливів, синхронізація з персональними хмарами та інші фішки, про які ми поговоримо нижче. Якоїсь великої різниці у флешках із програмним шифруванням немає. "Диявол" криється в деталях. І ось у яких.
1. Kingston DataTraveler 2000
Візьмемо, наприклад, USB-накопичувач . Це одна із флешок з апаратним шифруванням, але при цьому єдина з власною фізичною клавіатурою на корпусі. Ця 11-кнопкова клавіатура робить DT2000 повністю незалежною від хост-систем (щоб використовувати DataTraveler 2000, ви повинні натиснути кнопку "Ключ", потім ввести пароль і знову натиснути кнопку "Ключ"). До того ж ця флешка має ступінь захисту IP57 від води та пилу (на подив, Kingston ніде не заявляє про це ні на упаковці, ні в характеристиках на офіційному сайті).
Всередині DataTraveler 2000 є літій-полімерний акумулятор (ємністю 40 мАг), і Kingston радить покупцям підключити накопичувач до USB-порту як мінімум на годину, перш ніж почати використовувати його, щоб батарея могла зарядитися. До речі, в одному з попередніх матеріалів : приводів для хвилювань немає – у зарядному пристрої флешка не активується, тому що відсутні запити до контролера системою. Тому ніхто не вкраде ваші дані за допомогою бездротових вторгнень.
2. Kingston DataTraveler Locker+ G3
Якщо говорити про модель Kingston – вона привертає увагу можливістю налаштування резервного копіювання даних із флешки у хмарне сховище Google, OneDrive, Amazon Cloud або Dropbox. Синхронізація даних із цими сервісами також передбачена.
Одне з питань, яке нам задають читачі, звучить так: "А як же забирати зашифровані дані з бекапа?" Дуже просто. Справа в тому, що при синхронізації з хмарою інформація дешифрується, а захист бекапа на хмарі залежить від можливостей самої хмари. Тому такі процедури проводяться виключно на розсуд користувача. Без його дозволу ніякого розвантаження даних у хмару не буде.
3. Kingston DataTraveler Vault Privacy 3.0
А ось пристрої Kingston поставляються ще з вбудованим антивірусом Drive Security від компанії ESET. Останній захищає дані від вторгнення на USB-накопичувач вірусів, шпигунських програм, троянів, «хробаків», руткітів, та підключення до чужих комп'ютерів, можна сказати, не боїться. Антивірус миттєво попередить власника накопичувача про потенційні загрози, якщо вони виявляться. При цьому користувачеві не потрібно встановлювати антивірусне програмне забезпечення самостійно і оплачувати цю опцію. ESET Drive Security попередньо встановлено на флеш-накопичувач із ліцензією на п'ять років.
Kingston DT Vault Privacy 3.0 розроблений та орієнтований в основному на ІТ-фахівців. Він дозволяє адміністраторам використовувати його як автономний накопичувач або додавати як частину рішення для централізованого керування, а також може використовуватися для налаштування або віддаленого скидання паролів та налаштування політик пристроїв. Kingston навіть додав USB 3.0, який дозволяє передавати захищені дані набагато швидше, ніж USB 2.0.
У цілому нині DT Vault Privacy 3.0 – відмінний варіант для корпоративного сектора та організацій, яким потрібний максимальний захист своїх даних. А ще його можна рекомендувати всім користувачам, які використовують комп'ютери, які знаходяться у загальнодоступних мережах.
Для отримання додаткової інформації про продукцію Kingston звертайтесь на .
Джерело: habr.com