Salom, Xabr! Bizning birimizga sharhlarda o'quvchilar qiziqarli savol berishdi: "TrueCrypt mavjud bo'lganda, sizga apparat shifrlangan flesh-disk nima uchun kerak?" - va hatto "Kingston drayverining dasturiy ta'minoti va apparatida xatcho'plar yo'qligiga qanday ishonch hosil qilish mumkin" haqida ba'zi xavotirlarni bildirdilar. ?” Biz bu savollarga qisqacha javob berdik, lekin keyin mavzu fundamental tahlilga loyiq deb qaror qildik. Bu biz ushbu postda nima qilamiz.
AES apparat shifrlash, masalan, dasturiy ta'minot shifrlash, uzoq vaqtdan beri mavjud, ammo u flesh-disklardagi nozik ma'lumotlarni qanday himoya qiladi? Bunday drayverlarni kim sertifikatlaydi va bu sertifikatlarga ishonish mumkinmi? TrueCrypt yoki BitLocker kabi bepul dasturlardan foydalanishingiz mumkin bo'lsa, bunday "murakkab" flesh-disklar kimga kerak. Ko'rib turganingizdek, sharhlarda so'ralgan mavzu haqiqatan ham juda ko'p savollar tug'diradi. Keling, hammasini tushunishga harakat qilaylik.
Uskunani shifrlash dasturiy shifrlashdan qanday farq qiladi?
Fleshli disklar (shuningdek, HDD va SSD) bo'lsa, apparat ma'lumotlarini shifrlashni amalga oshirish uchun qurilmaning elektron platasida joylashgan maxsus chip ishlatiladi. Unda shifrlash kalitlarini yaratuvchi o'rnatilgan tasodifiy sonlar generatori mavjud. Foydalanuvchi parolini kiritganingizda ma'lumotlar avtomatik ravishda shifrlanadi va darhol shifrlanadi. Ushbu stsenariyda ma'lumotlarga parolsiz kirish deyarli mumkin emas.
Dasturiy ta'minotni shifrlashdan foydalanganda, diskdagi ma'lumotlarni "qulflash" tashqi dasturiy ta'minot tomonidan ta'minlanadi, bu apparat shifrlash usullariga arzon narxlardagi alternativa sifatida ishlaydi. Bunday dasturiy ta'minotning kamchiliklari doimiy ravishda takomillashib borayotgan xakerlik usullariga qarshilik ko'rsatish uchun muntazam yangilanishlarga bo'lgan oddiy talabni o'z ichiga olishi mumkin. Bundan tashqari, kompyuter jarayonining kuchi (alohida apparat chipi o'rniga) ma'lumotlarni shifrlash uchun ishlatiladi va, aslida, shaxsiy kompyuterning himoya darajasi haydovchining himoya darajasini belgilaydi.
Uskuna shifrlangan drayverlarning asosiy xususiyati alohida kriptografik protsessor bo'lib, uning mavjudligi kompyuterning operativ xotirasida yoki qattiq diskida vaqtincha saqlanishi mumkin bo'lgan dasturiy kalitlardan farqli o'laroq, shifrlash kalitlari hech qachon USB diskini tark etmasligini aytadi. Dasturiy ta'minotni shifrlash tizimga kirishga urinishlar sonini saqlash uchun kompyuter xotirasidan foydalanganligi sababli, parol yoki kalitga qo'pol kuch hujumlarini to'xtata olmaydi. Avtomatik parolni buzish dasturi kerakli kombinatsiyani topmaguncha, tizimga kirishga urinish hisoblagichi tajovuzkor tomonidan doimiy ravishda qayta o'rnatilishi mumkin.
Aytgancha ..., maqolaga sharhlarda "“Foydalanuvchilar, masalan, TrueCrypt dasturi portativ ish rejimiga ega ekanligini ham qayd etdi. Biroq, bu katta afzallik emas. Gap shundaki, bu holda shifrlash dasturi flesh-disk xotirasida saqlanadi va bu uni hujumlarga nisbatan zaifroq qiladi.
Xulosa: dasturiy yondashuv AES shifrlash kabi yuqori darajadagi xavfsizlikni ta'minlamaydi. Bu ko'proq asosiy himoya. Boshqa tomondan, muhim ma'lumotlarni dasturiy ta'minot shifrlash hali hech qanday shifrlashdan ko'ra yaxshiroqdir. Va bu fakt bizga kriptografiyaning ushbu turlarini aniq ajratish imkonini beradi: flesh-disklarni apparat shifrlash, aksincha, korporativ sektor uchun zaruratdir (masalan, kompaniya xodimlari ish joyida chiqarilgan disklardan foydalanganda); va dasturiy ta'minot foydalanuvchi ehtiyojlari uchun ko'proq mos keladi.
Biroq, Kingston o'zining haydovchi modellarini (masalan, IronKey S1000) Basic va Enterprise versiyalariga ajratadi. Funktsionallik va himoya xususiyatlari jihatidan ular bir-biriga deyarli bir xil, ammo korporativ versiya SafeConsole/IronKey EMS dasturi yordamida drayverni boshqarish imkoniyatini taqdim etadi. Ushbu dasturiy ta'minot yordamida disk parol himoyasi va kirish siyosatini masofadan turib amalga oshirish uchun bulut yoki mahalliy serverlar bilan ishlaydi. Foydalanuvchilarga yo'qolgan parollarni tiklash imkoniyati beriladi va administratorlar endi ishlatilmaydigan drayverlarni yangi vazifalarga o'tkazishlari mumkin.
AES shifrlash bilan Kingston flesh-disklari qanday ishlaydi?
Kingston o'zining barcha xavfsiz drayverlari uchun 256 bitli AES-XTS apparat shifrlashdan (ixtiyoriy to'liq uzunlikdagi kalit yordamida) foydalanadi. Yuqorida ta'kidlaganimizdek, flesh-disklar o'zlarining komponentlar bazasida doimiy faol tasodifiy sonlar generatori sifatida ishlaydigan ma'lumotlarni shifrlash va shifrlash uchun alohida chipni o'z ichiga oladi.
Qurilmani USB portiga birinchi marta ulaganingizda, Initialization Setup Wizard qurilmaga kirish uchun asosiy parolni o'rnatishingizni taklif qiladi. Drayvni faollashtirgandan so'ng, shifrlash algoritmlari foydalanuvchining afzalliklariga muvofiq avtomatik ravishda ishlay boshlaydi.
Shu bilan birga, foydalanuvchi uchun flesh-diskning ishlash printsipi o'zgarishsiz qoladi - u oddiy USB flesh-disk bilan ishlashda bo'lgani kabi, fayllarni yuklab olish va qurilma xotirasiga joylashtirishi mumkin. Faqatgina farq shundaki, flesh-diskni yangi kompyuterga ulaganingizda, ma'lumotlaringizga kirish uchun o'rnatilgan parolni kiritishingiz kerak bo'ladi.
Uskuna shifrlangan flesh-disklar nima uchun va kimga kerak?
Maxfiy ma'lumotlar biznesning bir qismi bo'lgan tashkilotlar uchun (moliyaviy, sog'liqni saqlash yoki hukumat), shifrlash eng ishonchli himoya vositasidir. AES apparat shifrlash - bu har qanday kompaniya tomonidan qo'llanilishi mumkin bo'lgan kengaytiriladigan yechim: jismoniy va kichik biznesdan tortib yirik korporatsiyalar, shuningdek, harbiy va davlat tashkilotlari. Ushbu muammoni biroz aniqroq ko'rib chiqish uchun shifrlangan USB drayverlardan foydalanish kerak:
- Kompaniyaning maxfiy ma'lumotlarining xavfsizligini ta'minlash
- Mijoz ma'lumotlarini himoya qilish uchun
- Kompaniyalarni foyda yo'qotishdan va mijozlarning sodiqligini himoya qilish
Shuni ta'kidlash kerakki, ba'zi xavfsiz flesh-disklar ishlab chiqaruvchilari (shu jumladan Kingston) korporatsiyalarga mijozlarning ehtiyojlari va maqsadlarini qondirish uchun mo'ljallangan moslashtirilgan echimlar bilan ta'minlaydi. Ammo ommaviy ishlab chiqarilgan liniyalar (shu jumladan DataTraveler flesh-disklari) o'z vazifalarini a'lo darajada bajara oladi va korporativ darajadagi xavfsizlikni ta'minlashga qodir.
1. Kompaniyaning maxfiy ma'lumotlarining xavfsizligini ta'minlash
2017 yilda London rezidenti parklardan birida Xitrou aeroporti xavfsizligiga oid parol bilan himoyalanmagan maʼlumotlar, jumladan kuzatuv kameralarining joylashuvi va kelgan taqdirda xavfsizlik choralari haqida batafsil maʼlumotni oʻz ichiga olgan USB diskini topdi. yuqori martabali amaldorlar. Shuningdek, flesh-diskda aeroportning taqiqlangan hududlariga elektron ruxsatnomalar va kirish kodlari haqidagi ma’lumotlar ham bo‘lgan.
Tahlilchilarning aytishicha, bunday holatlarga kompaniya xodimlarining kibersavodsizligi sabab bo'lib, ular o'z beparvoligi tufayli maxfiy ma'lumotlarni "sizib chiqarishi" mumkin. Uskuna shifrlangan flesh-disklar bu muammoni qisman hal qiladi, chunki agar bunday disk yo'qolsa, xuddi shu xavfsizlik xodimining asosiy parolisiz undagi ma'lumotlarga kira olmaysiz. Har qanday holatda, bu shifrlash bilan himoyalangan qurilmalar haqida gapiradigan bo'lsak ham, xodimlar flesh-disklar bilan ishlashga o'rgatilgan bo'lishi kerakligini inkor etmaydi.
2. Mijoz ma'lumotlarini himoya qilish
Har qanday tashkilot uchun yanada muhimroq vazifa - bu murosaga kelish xavfi bo'lmasligi kerak bo'lgan mijozlar ma'lumotlariga g'amxo'rlik qilishdir. Aytgancha, aynan shu ma'lumotlar ko'pincha turli biznes tarmoqlari o'rtasida uzatiladi va odatda maxfiy hisoblanadi: masalan, u moliyaviy operatsiyalar, kasallik tarixi va boshqalar to'g'risidagi ma'lumotlarni o'z ichiga olishi mumkin.
3. Foydani yo'qotishdan himoya qilish va mijozlarning sodiqligi
Uskunani shifrlash bilan USB qurilmalaridan foydalanish tashkilotlar uchun halokatli oqibatlarning oldini olishga yordam beradi. Shaxsiy ma'lumotlarni himoya qilish qonunlarini buzgan kompaniyalar katta miqdorda jarimaga tortilishi mumkin. Shuning uchun savol berish kerak: tegishli himoyasiz ma'lumot almashish xavfini o'z zimmasiga olishga arziydimi?
Moliyaviy ta'sirni hisobga olmagan holda ham, yuzaga keladigan xavfsizlik xatolarini tuzatish uchun sarflangan vaqt va resurslar shunchalik muhim bo'lishi mumkin. Bundan tashqari, agar ma'lumotlarning buzilishi mijozlar ma'lumotlarini buzsa, kompaniya brendga sodiqlikni xavf ostiga qo'yadi, ayniqsa shunga o'xshash mahsulot yoki xizmatni taklif qiladigan raqobatchilar mavjud bo'lgan bozorlarda.
Uskuna shifrlangan flesh-disklardan foydalanganda ishlab chiqaruvchidan "xatcho'plar" yo'qligiga kim kafolat beradi?
Biz ko'targan mavzuda bu savol, ehtimol, asosiy savollardan biridir. Kingston DataTraveler drayvlari haqidagi maqolaga sharhlar orasida biz yana bir qiziqarli savolga duch keldik: "Sizning qurilmalaringizda uchinchi tomon mustaqil mutaxassislarining tekshiruvlari bormi?" Xo'sh ... bu mantiqiy qiziqish: foydalanuvchilar USB disklarimiz zaif shifrlash yoki parol kiritishni chetlab o'tish qobiliyati kabi keng tarqalgan xatolarga ega emasligiga ishonch hosil qilishni xohlashadi. Va maqolaning ushbu qismida Kingston drayverlari chinakam xavfsiz flesh-disklar maqomini olishdan oldin qanday sertifikatlash protseduralaridan o'tishi haqida gapiramiz.
Ishonchlilikka kim kafolat beradi? Biz shunday deyishimiz mumkin: "Kingston buni amalga oshirdi - bu kafolat beradi". Ammo bu holda, bunday bayonot noto'g'ri bo'ladi, chunki ishlab chiqaruvchi manfaatdor tomon hisoblanadi. Shuning uchun barcha mahsulotlar mustaqil ekspertizaga ega uchinchi tomon tomonidan sinovdan o'tkaziladi. Xususan, Kingston apparat-shifrlangan drayvlari (DTLPG3 bundan mustasno) Kriptografik modulni tekshirish dasturining (CMVP) ishtirokchilari bo'lib, Federal axborotni qayta ishlash standarti (FIPS) bo'yicha sertifikatlangan. Drayvlar, shuningdek, GLBA, HIPPA, HITECH, PCI va GTSA standartlariga muvofiq sertifikatlangan.
1. Kriptografik modulni tekshirish dasturi
CMVP dasturi AQSh Savdo vazirligining Milliy standartlar va texnologiyalar instituti va Kanada kiberxavfsizlik markazining qo'shma loyihasidir. Loyihaning maqsadi isbotlangan kriptografik qurilmalarga bo'lgan talabni rag'batlantirish va jihozlarni xarid qilishda qo'llaniladigan federal agentliklar va tartibga solinadigan sanoat (moliya va sog'liqni saqlash muassasalari kabi) uchun xavfsizlik ko'rsatkichlarini ta'minlashdan iborat.
Qurilmalar Milliy ixtiyoriy laboratoriya akkreditatsiyasi dasturi (NVLAP) tomonidan akkreditatsiya qilingan mustaqil kriptografiya va xavfsizlik sinov laboratoriyalari tomonidan kriptografik va xavfsizlik talablariga muvofiq sinovdan o'tkaziladi. Shu bilan birga, har bir laboratoriya hisoboti Federal axborotni qayta ishlash standarti (FIPS) 140-2 ga muvofiqligi tekshiriladi va CMVP tomonidan tasdiqlanadi.
FIPS 140-2 muvofiqligi tasdiqlangan modullar AQSh va Kanada federal agentliklari tomonidan 22-yil 2026-sentabrgacha foydalanish uchun tavsiya etiladi. Shundan so'ng, ular arxiv ro'yxatiga kiritiladi, ammo ulardan foydalanish mumkin bo'ladi. 22-yil 2020-sentabrda FIPS 140-3 standarti bo‘yicha tekshirish uchun arizalarni qabul qilish yakunlandi. Qurilmalar tekshiruvdan o'tgandan so'ng, ular besh yil davomida sinovdan o'tgan va ishonchli qurilmalarning faol ro'yxatiga o'tkaziladi. Agar kriptografik qurilma tekshiruvdan o'tmasa, uni AQSh va Kanadadagi davlat idoralarida qo'llash tavsiya etilmaydi.
2. FIPS sertifikati qanday xavfsizlik talablarini qo'yadi?
Hatto sertifikatlanmagan shifrlangan diskdan ma'lumotlarni buzish qiyin va kam odam buni qila oladi, shuning uchun sertifikat bilan uyda foydalanish uchun iste'molchi diskini tanlashda siz bezovta qilishingiz shart emas. Korporativ sektorda vaziyat boshqacha: xavfsiz USB drayverlarni tanlashda kompaniyalar ko'pincha FIPS sertifikatlash darajalariga ahamiyat berishadi. Biroq, hamma ham bu darajalar nimani anglatishini aniq tasavvur qila olmaydi.
Joriy FIPS 140-2 standarti flesh-disklar javob beradigan to'rt xil xavfsizlik darajasini belgilaydi. Birinchi daraja o'rtacha xavfsizlik xususiyatlari to'plamini taqdim etadi. To'rtinchi daraja qurilmalarning o'zini o'zi himoya qilish uchun qat'iy talablarni nazarda tutadi. Ikkinchi va uchinchi darajalar ushbu talablarning gradatsiyasini ta'minlaydi va o'ziga xos oltin o'rtachani tashkil qiladi.
- XNUMX-darajali xavfsizlik: XNUMX-darajali sertifikatlangan USB drayvlar kamida bitta shifrlash algoritmi yoki boshqa xavfsizlik funksiyasini talab qiladi.
- Xavfsizlikning ikkinchi darajasi: bu erda haydovchi faqat kriptografik himoyani ta'minlash uchun emas, balki kimdir drayverni ochishga harakat qilsa, proshivka darajasida ruxsatsiz kirishlarni aniqlash uchun ham talab qilinadi.
- Xavfsizlikning uchinchi darajasi: shifrlash "kalitlarini" yo'q qilish orqali xakerlikning oldini olishni o'z ichiga oladi. Ya'ni, kirishga urinishlarga javob talab qilinadi. Shuningdek, uchinchi daraja elektromagnit parazitlardan yuqori darajadagi himoyani kafolatlaydi: ya'ni simsiz xakerlik qurilmalari yordamida flesh-diskdan ma'lumotlarni o'qish ishlamaydi.
- To'rtinchi xavfsizlik darajasi: kriptografik modulni to'liq himoya qilishni o'z ichiga olgan eng yuqori daraja, bu ruxsatsiz foydalanuvchi tomonidan ruxsatsiz kirish urinishlarini aniqlash va ularga qarshi kurashishning maksimal ehtimolini ta'minlaydi. To'rtinchi darajali sertifikatni olgan flesh-disklar, shuningdek, kuchlanish va atrof-muhit haroratini o'zgartirish orqali buzishga yo'l qo'ymaydigan himoya opsiyalarini ham o'z ichiga oladi.
Quyidagi Kingston drayverlari FIPS 140-2 Level 2000 sertifikatiga ega: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. Ushbu drayverlarning asosiy xususiyati ularning hujumga urinishlariga javob berish qobiliyatidir: agar parol XNUMX marta noto'g'ri kiritilsa, diskdagi ma'lumotlar yo'q qilinadi.
Kingston flesh-disklari shifrlashdan tashqari yana nima qila oladi?
To'liq ma'lumotlar xavfsizligi haqida gap ketganda, flesh-disklarni apparat shifrlash, o'rnatilgan antiviruslar, tashqi ta'sirlardan himoya qilish, shaxsiy bulutlar bilan sinxronlash va biz quyida muhokama qiladigan boshqa xususiyatlar yordamga keladi. Dasturiy ta'minotni shifrlash bilan flesh-disklarda katta farq yo'q. Shayton tafsilotlarda. Va mana nima.
1. Kingston DataTraveler 2000
Masalan, USB diskini olaylik. . Bu apparat shifrlangan flesh-disklardan biri, lekin ayni paytda korpusda o'zining jismoniy klaviaturasi bo'lgan yagona. Ushbu 11-tugmali klaviatura DT2000-ni xost tizimlaridan butunlay mustaqil qiladi (DataTraveler 2000-dan foydalanish uchun siz Key tugmasini bosishingiz, keyin parolingizni kiritishingiz va Key tugmasini yana bir marta bosishingiz kerak). Bundan tashqari, ushbu flesh-disk suv va changdan IP57 himoya darajasiga ega (hayratlanarlisi, Kingston buni qadoqlashda ham, rasmiy veb-saytdagi texnik xususiyatlarda ham ko'rsatmaydi).
DataTraveler 2000 ichida 40 mA/soat sig‘imli lityum polimer akkumulyator mavjud va Kingston xaridorlarga batareya quvvatlanishi uchun uni ishlatishdan oldin uni USB portiga kamida bir soat ulashni maslahat beradi. Aytgancha, avvalgi materiallardan birida : Xavotirga hech qanday sabab yo'q - flesh-disk zaryadlovchida faollashtirilmagan, chunki tizim tomonidan kontrollerga so'rovlar yo'q. Shuning uchun, hech kim sizning ma'lumotlaringizni simsiz hujumlar orqali o'g'irlamaydi.
2. Kingston DataTraveler Locker+ G3
Agar Kingston modeli haqida gapiradigan bo'lsak – flesh-diskdan Google bulutli xotirasi, OneDrive, Amazon Cloud yoki Dropbox’ga ma’lumotlarning zaxira nusxasini sozlash imkoniyati bilan e’tiborni tortadi. Ushbu xizmatlar bilan ma'lumotlarni sinxronlashtirish ham ta'minlanadi.
O'quvchilarimiz bizga beradigan savollardan biri: "Ammo shifrlangan ma'lumotlarni zaxiradan qanday olish mumkin?" Juda oddiy. Gap shundaki, bulut bilan sinxronlashda ma'lumotlar shifrlanadi va bulutdagi zaxirani himoya qilish bulutning o'zi imkoniyatlariga bog'liq. Shuning uchun bunday tartiblar faqat foydalanuvchining ixtiyoriga ko'ra amalga oshiriladi. Uning ruxsatisiz bulutga hech qanday ma'lumot yuklanmaydi.
3. Kingston DataTraveler Vault Maxfiylik 3.0
Ammo Kingston qurilmalari Ular, shuningdek, ESET-dan o'rnatilgan Drive Security antivirusi bilan birga keladi. Ikkinchisi ma'lumotlarni USB diskini viruslar, josuslik dasturlari, troyanlar, qurtlar, rootkitlar va boshqa odamlarning kompyuterlariga ulanishdan himoya qiladi, deyish mumkin, bu qo'rqmaydi. Antivirus disk egasini, agar ular aniqlansa, potentsial tahdidlar haqida darhol ogohlantiradi. Bunday holda, foydalanuvchi virusga qarshi dasturni o'zi o'rnatishi va bu variantni to'lashi shart emas. ESET Drive Security besh yillik litsenziyaga ega flesh-diskda oldindan o'rnatilgan.
Kingston DT Vault Privacy 3.0 asosan IT mutaxassislari uchun moʻljallangan va moʻljallangan. U administratorlarga uni mustaqil disk sifatida ishlatish yoki uni markazlashtirilgan boshqaruv yechimining bir qismi sifatida qo‘shish imkonini beradi, shuningdek, parollarni sozlash yoki masofadan qayta o‘rnatish va qurilma siyosatini sozlash uchun ham foydalanish mumkin. Kingston hatto USB 3.0 ni ham qo'shdi, bu sizga xavfsiz ma'lumotlarni USB 2.0 ga qaraganda tezroq uzatish imkonini beradi.
Umuman olganda, DT Vault Privacy 3.0 o'z ma'lumotlarini maksimal darajada himoya qilishni talab qiladigan korporativ sektor va tashkilotlar uchun ajoyib tanlovdir. Umumiy tarmoqlarda joylashgan kompyuterlardan foydalanadigan barcha foydalanuvchilarga ham tavsiya etilishi mumkin.
Kingston mahsulotlari haqida ko'proq ma'lumot olish uchun murojaat qiling .
Manba: www.habr.com