Xin chào, Habr! Trong phần bình luận cho một trong những độc giả đã đặt ra một câu hỏi thú vị: “Tại sao bạn lại cần một ổ flash có mã hóa phần cứng khi đã có TrueCrypt?” - và thậm chí còn bày tỏ một số lo ngại về việc “Làm sao bạn có thể đảm bảo rằng không có dấu trang trong phần mềm và phần cứng của ổ Kingston? ?” Chúng tôi đã trả lời những câu hỏi này một cách ngắn gọn nhưng sau đó quyết định rằng chủ đề này xứng đáng được phân tích cơ bản. Đây là những gì chúng tôi sẽ làm trong bài viết này.
Mã hóa phần cứng AES, giống như mã hóa phần mềm, đã có từ lâu, nhưng chính xác thì nó bảo vệ dữ liệu nhạy cảm trên ổ flash như thế nào? Ai chứng nhận các ổ đĩa như vậy và những chứng nhận này có đáng tin cậy không? Ai cần những ổ đĩa flash “phức tạp” như vậy nếu bạn có thể sử dụng các chương trình miễn phí như TrueCrypt hoặc BitLocker. Như bạn có thể thấy, chủ đề được hỏi trong phần bình luận thực sự đặt ra rất nhiều câu hỏi. Hãy cố gắng tìm ra tất cả.
Mã hóa phần cứng khác với mã hóa phần mềm như thế nào?
Trong trường hợp ổ đĩa flash (cũng như ổ cứng HDD và SSD), một con chip đặc biệt nằm trên bảng mạch của thiết bị được sử dụng để thực hiện mã hóa dữ liệu phần cứng. Nó có một trình tạo số ngẫu nhiên tích hợp để tạo các khóa mã hóa. Dữ liệu được tự động mã hóa và giải mã ngay lập tức khi bạn nhập mật khẩu người dùng của mình. Trong trường hợp này, gần như không thể truy cập dữ liệu nếu không có mật khẩu.
Khi sử dụng mã hóa phần mềm, việc “khóa” dữ liệu trên ổ đĩa được cung cấp bởi phần mềm bên ngoài, hoạt động như một giải pháp thay thế chi phí thấp cho các phương pháp mã hóa phần cứng. Nhược điểm của phần mềm như vậy có thể bao gồm yêu cầu tầm thường đối với các bản cập nhật thường xuyên nhằm chống lại các kỹ thuật hack ngày càng cải tiến. Ngoài ra, sức mạnh của quy trình máy tính (chứ không phải chip phần cứng riêng biệt) được sử dụng để giải mã dữ liệu và trên thực tế, mức độ bảo vệ của PC quyết định mức độ bảo vệ của ổ đĩa.
Tính năng chính của ổ đĩa có mã hóa phần cứng là một bộ xử lý mật mã riêng biệt, sự hiện diện của bộ xử lý này cho chúng ta biết rằng các khóa mã hóa không bao giờ rời khỏi ổ USB, không giống như các khóa phần mềm có thể được lưu trữ tạm thời trong RAM hoặc ổ cứng của máy tính. Và vì mã hóa phần mềm sử dụng bộ nhớ PC để lưu trữ số lần đăng nhập nên nó không thể ngăn chặn các cuộc tấn công vũ phu vào mật khẩu hoặc khóa. Kẻ tấn công có thể liên tục đặt lại bộ đếm số lần đăng nhập cho đến khi chương trình bẻ khóa mật khẩu tự động tìm thấy sự kết hợp mong muốn.
Nhân tiện..., trong phần bình luận cho bài viết ““Người dùng cũng lưu ý rằng, chẳng hạn, chương trình TrueCrypt có chế độ hoạt động di động. Tuy nhiên, đây không phải là một lợi thế lớn. Thực tế là trong trường hợp này, chương trình mã hóa được lưu trữ trong bộ nhớ của ổ đĩa flash và điều này khiến nó dễ bị tấn công hơn.
Điểm mấu chốt: phương pháp phần mềm không cung cấp mức độ bảo mật cao như mã hóa AES. Đó là một cách phòng thủ cơ bản hơn. Mặt khác, việc mã hóa phần mềm dữ liệu quan trọng vẫn tốt hơn là không mã hóa gì cả. Và thực tế này cho phép chúng ta phân biệt rõ ràng giữa các loại mật mã này: mã hóa phần cứng của ổ đĩa flash là điều cần thiết đối với khu vực doanh nghiệp (ví dụ: khi nhân viên công ty sử dụng ổ đĩa được cấp tại nơi làm việc); và phần mềm phù hợp hơn với nhu cầu của người dùng.
Tuy nhiên, Kingston chia các mẫu ổ đĩa của mình (ví dụ IronKey S1000) thành phiên bản Cơ bản và Doanh nghiệp. Về chức năng và đặc tính bảo vệ, chúng gần như giống hệt nhau, nhưng phiên bản công ty cung cấp khả năng quản lý ổ đĩa bằng phần mềm SafeConsole/IronKey EMS. Với phần mềm này, ổ đĩa hoạt động với máy chủ đám mây hoặc máy chủ cục bộ để thực thi các chính sách truy cập và bảo vệ mật khẩu từ xa. Người dùng có cơ hội khôi phục mật khẩu bị mất và quản trị viên có thể chuyển đổi các ổ đĩa không còn được sử dụng sang các tác vụ mới.
Ổ đĩa flash Kingston có mã hóa AES hoạt động như thế nào?
Kingston sử dụng mã hóa phần cứng AES-XTS 256-bit (sử dụng khóa có độ dài đầy đủ tùy chọn) cho tất cả các ổ đĩa bảo mật của mình. Như chúng tôi đã lưu ý ở trên, ổ đĩa flash chứa trong cơ sở thành phần của chúng một con chip riêng biệt để mã hóa và giải mã dữ liệu, hoạt động như một bộ tạo số ngẫu nhiên hoạt động liên tục.
Khi bạn kết nối một thiết bị với cổng USB lần đầu tiên, Trình hướng dẫn Thiết lập Khởi tạo sẽ nhắc bạn đặt mật khẩu chính để truy cập thiết bị. Sau khi kích hoạt ổ đĩa, các thuật toán mã hóa sẽ tự động bắt đầu hoạt động theo sở thích của người dùng.
Đồng thời, đối với người dùng, nguyên tắc hoạt động của ổ flash sẽ không thay đổi - anh ta vẫn có thể tải xuống và đặt các tập tin vào bộ nhớ của thiết bị, như khi làm việc với ổ flash USB thông thường. Điểm khác biệt duy nhất là khi kết nối ổ flash với máy tính mới, bạn sẽ cần nhập mật khẩu đã đặt để có quyền truy cập vào thông tin của mình.
Tại sao và ai cần ổ đĩa flash có mã hóa phần cứng?
Đối với các tổ chức nơi dữ liệu nhạy cảm là một phần của hoạt động kinh doanh (dù là tài chính, chăm sóc sức khỏe hay chính phủ), mã hóa là phương tiện bảo vệ đáng tin cậy nhất. Mã hóa phần cứng AES là một giải pháp có thể mở rộng và có thể được sử dụng bởi bất kỳ công ty nào: từ cá nhân và doanh nghiệp nhỏ đến các tập đoàn lớn cũng như các tổ chức quân sự và chính phủ. Để xem xét vấn đề này cụ thể hơn một chút, việc sử dụng ổ USB được mã hóa là cần thiết:
- Để đảm bảo an toàn cho dữ liệu bí mật của công ty
- Để bảo vệ thông tin khách hàng
- Để bảo vệ các công ty khỏi bị mất lợi nhuận và lòng trung thành của khách hàng
Điều đáng chú ý là một số nhà sản xuất ổ đĩa flash bảo mật (bao gồm cả Kingston) cung cấp cho các tập đoàn các giải pháp tùy chỉnh được thiết kế để đáp ứng nhu cầu và mục tiêu của khách hàng. Tuy nhiên, các dòng sản xuất hàng loạt (bao gồm cả ổ flash DataTraveler) hoàn thành nhiệm vụ của chúng một cách hoàn hảo và có khả năng cung cấp bảo mật cấp doanh nghiệp.
1. Đảm bảo an toàn cho dữ liệu bí mật của công ty
Vào năm 2017, một cư dân London đã phát hiện một ổ USB ở một trong những công viên chứa thông tin không được bảo vệ bằng mật khẩu liên quan đến an ninh của Sân bay Heathrow, bao gồm vị trí của camera giám sát và thông tin chi tiết về các biện pháp an ninh trong trường hợp người đến. quan chức cấp cao. Ổ đĩa flash cũng chứa dữ liệu về thẻ điện tử và mã truy cập vào các khu vực hạn chế của sân bay.
Các nhà phân tích cho rằng nguyên nhân của những tình huống như vậy là do nhân viên công ty không biết chữ, những người có thể “rò rỉ” dữ liệu bí mật do sơ suất của chính họ. Ổ đĩa flash có mã hóa phần cứng giải quyết được phần nào vấn đề này, vì nếu ổ đĩa đó bị mất, bạn sẽ không thể truy cập dữ liệu trên đó nếu không có mật khẩu chính của cùng một nhân viên bảo mật. Trong mọi trường hợp, điều này không phủ nhận thực tế là nhân viên phải được đào tạo để xử lý ổ đĩa flash, ngay cả khi chúng ta đang nói về các thiết bị được bảo vệ bằng mã hóa.
2. Bảo vệ thông tin khách hàng
Một nhiệm vụ thậm chí còn quan trọng hơn đối với bất kỳ tổ chức nào là chăm sóc dữ liệu khách hàng, dữ liệu này không có nguy cơ bị xâm phạm. Nhân tiện, thông tin này thường được chuyển giao giữa các lĩnh vực kinh doanh khác nhau và theo quy định là bí mật: ví dụ: nó có thể chứa dữ liệu về các giao dịch tài chính, lịch sử y tế, v.v.
3. Bảo vệ chống mất lợi nhuận và lòng trung thành của khách hàng
Sử dụng thiết bị USB có mã hóa phần cứng có thể giúp ngăn chặn những hậu quả nghiêm trọng cho các tổ chức. Các công ty vi phạm luật bảo vệ dữ liệu cá nhân có thể bị phạt số tiền lớn. Vì vậy, câu hỏi phải được đặt ra: có đáng mạo hiểm chia sẻ thông tin mà không được bảo vệ thích hợp không?
Ngay cả khi không tính đến tác động tài chính, lượng thời gian và nguồn lực dành cho việc sửa các lỗi bảo mật xảy ra cũng có thể đáng kể. Ngoài ra, nếu vi phạm dữ liệu làm tổn hại đến dữ liệu khách hàng, công ty sẽ gặp rủi ro về lòng trung thành với thương hiệu, đặc biệt là ở những thị trường có đối thủ cạnh tranh cung cấp sản phẩm hoặc dịch vụ tương tự.
Ai đảm bảo rằng nhà sản xuất sẽ không có “dấu trang” khi sử dụng ổ đĩa flash có mã hóa phần cứng?
Trong chủ đề chúng tôi đã nêu ra, câu hỏi này có lẽ là một trong những câu hỏi chính. Trong số các nhận xét cho bài viết về ổ đĩa Kingston DataTraveler, chúng tôi gặp phải một câu hỏi thú vị khác: “Thiết bị của bạn có được các chuyên gia độc lập bên thứ ba kiểm tra không?” Chà... đó là một mối quan tâm hợp lý: người dùng muốn đảm bảo rằng ổ USB của chúng tôi không chứa các lỗi phổ biến, chẳng hạn như mã hóa yếu hoặc khả năng bỏ qua việc nhập mật khẩu. Và trong phần này của bài viết, chúng ta sẽ nói về những thủ tục chứng nhận ổ đĩa Kingston phải trải qua trước khi nhận được trạng thái ổ đĩa flash thực sự an toàn.
Ai đảm bảo độ tin cậy? Có vẻ như chúng ta có thể nói rằng “Kingston đã làm được điều đó - nó đảm bảo điều đó”. Nhưng trong trường hợp này, tuyên bố như vậy sẽ không chính xác vì nhà sản xuất là một bên quan tâm. Vì vậy, tất cả các sản phẩm đều được kiểm nghiệm bởi bên thứ ba có chuyên môn độc lập. Đặc biệt, các ổ đĩa mã hóa phần cứng của Kingston (ngoại trừ DTLPG3) là những người tham gia Chương trình xác thực mô-đun mật mã (CMVP) và được chứng nhận theo Tiêu chuẩn xử lý thông tin liên bang (FIPS). Các ổ đĩa cũng được chứng nhận theo tiêu chuẩn GLBA, HIPPA, HITECH, PCI và GTSA.
1. Chương trình xác thực mô-đun mật mã
Chương trình CMVP là dự án chung của Viện Tiêu chuẩn và Công nghệ Quốc gia thuộc Bộ Thương mại Hoa Kỳ và Trung tâm An ninh Mạng Canada. Mục tiêu của dự án là kích thích nhu cầu về các thiết bị mật mã đã được chứng minh và cung cấp các số liệu bảo mật cho các cơ quan liên bang và các ngành được quản lý (chẳng hạn như các tổ chức tài chính và chăm sóc sức khỏe) được sử dụng trong mua sắm thiết bị.
Các thiết bị được kiểm tra theo một loạt các yêu cầu về mật mã và bảo mật bởi các phòng thí nghiệm kiểm tra bảo mật và mật mã độc lập được Chương trình Chứng nhận Phòng thí nghiệm Tình nguyện Quốc gia (NVLAP) công nhận. Đồng thời, mỗi báo cáo của phòng thí nghiệm đều được kiểm tra xem có tuân thủ Tiêu chuẩn xử lý thông tin liên bang (FIPS) 140-2 và được CMVP xác nhận hay không.
Các mô-đun đã được xác minh là tuân thủ FIPS 140-2 được các cơ quan liên bang của Hoa Kỳ và Canada khuyến nghị sử dụng cho đến hết ngày 22 tháng 2026 năm 22. Sau đó, chúng sẽ được đưa vào danh sách lưu trữ, mặc dù chúng vẫn có thể được sử dụng. Vào ngày 2020 tháng 140 năm 3, việc tiếp nhận hồ sơ xác nhận theo tiêu chuẩn FIPS XNUMX-XNUMX đã kết thúc. Sau khi thiết bị vượt qua quá trình kiểm tra, chúng sẽ được chuyển sang danh sách hoạt động gồm các thiết bị được kiểm tra và tin cậy trong XNUMX năm. Nếu một thiết bị mật mã không vượt qua quá trình xác minh thì việc sử dụng thiết bị đó trong các cơ quan chính phủ ở Hoa Kỳ và Canada là không nên.
2. Chứng nhận FIPS áp đặt những yêu cầu bảo mật nào?
Việc hack dữ liệu ngay cả từ ổ đĩa được mã hóa không được chứng nhận là điều khó khăn và ít người có thể làm được, vì vậy khi chọn ổ đĩa tiêu dùng để sử dụng tại nhà có chứng nhận, bạn không cần phải bận tâm. Ở khu vực doanh nghiệp, tình hình lại khác: khi lựa chọn ổ USB bảo mật, các công ty thường chú trọng đến mức chứng nhận FIPS. Tuy nhiên, không phải ai cũng hiểu rõ ý nghĩa của các cấp độ này.
Tiêu chuẩn FIPS 140-2 hiện tại xác định bốn cấp độ bảo mật khác nhau mà ổ đĩa flash có thể đáp ứng. Cấp độ đầu tiên cung cấp một bộ tính năng bảo mật vừa phải. Cấp độ thứ tư ngụ ý các yêu cầu nghiêm ngặt về khả năng tự bảo vệ của thiết bị. Cấp độ hai và ba cung cấp sự phân cấp các yêu cầu này và tạo thành một loại giá trị trung bình vàng.
- Bảo mật Cấp 1: Ổ USB được chứng nhận Cấp 1 yêu cầu ít nhất một thuật toán mã hóa hoặc tính năng bảo mật khác.
- Cấp độ bảo mật thứ hai: ở đây, ổ đĩa không chỉ được yêu cầu để cung cấp khả năng bảo vệ bằng mật mã mà còn để phát hiện các hành vi xâm nhập trái phép ở cấp chương trình cơ sở nếu ai đó cố gắng mở ổ đĩa.
- Cấp độ bảo mật thứ ba: liên quan đến việc ngăn chặn việc hack bằng cách phá hủy các “khóa” mã hóa. Nghĩa là, cần phải có phản ứng đối với các nỗ lực thâm nhập. Ngoài ra, cấp độ thứ ba đảm bảo mức độ bảo vệ chống nhiễu điện từ cao hơn: nghĩa là việc đọc dữ liệu từ ổ đĩa flash bằng thiết bị hack không dây sẽ không hoạt động.
- Cấp độ bảo mật thứ tư: cấp độ cao nhất, bao gồm việc bảo vệ hoàn toàn mô-đun mật mã, cung cấp xác suất phát hiện và chống lại tối đa mọi nỗ lực truy cập trái phép của người dùng trái phép. Ổ đĩa flash đã nhận được chứng chỉ cấp 4 cũng bao gồm các tùy chọn bảo vệ không cho phép hack bằng cách thay đổi điện áp và nhiệt độ môi trường.
Các ổ đĩa Kingston sau đây được chứng nhận FIPS 140-2 Cấp 2000: DataTraveler DT4000, DataTraveler DT2G1000, IronKey S300, IronKey D10. Tính năng chính của các ổ đĩa này là khả năng phản hồi trước nỗ lực xâm nhập: nếu nhập sai mật khẩu XNUMX lần, dữ liệu trên ổ đĩa sẽ bị hủy.
Ổ đĩa flash Kingston có thể làm gì khác ngoài mã hóa?
Khi nói đến bảo mật dữ liệu hoàn chỉnh, cùng với mã hóa phần cứng của ổ đĩa flash, phần mềm chống vi-rút tích hợp, bảo vệ khỏi các tác động bên ngoài, đồng bộ hóa với đám mây cá nhân và các tính năng khác mà chúng tôi sẽ thảo luận dưới đây sẽ giải cứu. Không có sự khác biệt lớn giữa ổ đĩa flash với mã hóa phần mềm. Ma quỷ là trong các chi tiết. Và đây là những gì.
1. Kingston DataTraveler 2000
Hãy lấy một ổ USB làm ví dụ. . Đây là một trong những ổ flash có mã hóa phần cứng, nhưng đồng thời là ổ duy nhất có bàn phím vật lý riêng trên vỏ. Bàn phím 11 nút này giúp DT2000 hoàn toàn độc lập với hệ thống máy chủ (để sử dụng DataTraveler 2000, bạn phải nhấn nút Phím, sau đó nhập mật khẩu và nhấn lại nút Phím). Ngoài ra, ổ flash này có cấp độ bảo vệ chống nước và bụi IP57 (đáng ngạc nhiên là Kingston không nêu điều này ở bất kỳ đâu trên bao bì hoặc trong thông số kỹ thuật trên trang web chính thức).
Bên trong DataTraveler 2000 có pin lithium polymer 40mAh và Kingston khuyên người mua nên cắm ổ đĩa vào cổng USB ít nhất một giờ trước khi sử dụng để sạc pin. Nhân tiện, trong một trong những tài liệu trước đây : Không có lý do gì phải lo lắng - ổ đĩa flash không được kích hoạt trong bộ sạc vì hệ thống không có yêu cầu nào đối với bộ điều khiển. Vì vậy, sẽ không có ai đánh cắp dữ liệu của bạn thông qua các cuộc xâm nhập không dây.
2. Kingston DataTraveler Locker+ G3
Nếu chúng ta nói về mô hình Kingston – nó thu hút sự chú ý với khả năng định cấu hình sao lưu dữ liệu từ ổ flash sang bộ lưu trữ đám mây của Google, OneDrive, Amazon Cloud hoặc Dropbox. Đồng bộ hóa dữ liệu với các dịch vụ này cũng được cung cấp.
Một trong những câu hỏi mà độc giả hỏi chúng tôi là: “Nhưng làm cách nào để lấy dữ liệu được mã hóa từ bản sao lưu?” Rất đơn giản. Thực tế là khi đồng bộ hóa với đám mây, thông tin sẽ được giải mã và việc bảo vệ bản sao lưu trên đám mây phụ thuộc vào khả năng của chính đám mây đó. Do đó, các thủ tục như vậy chỉ được thực hiện theo quyết định của người dùng. Nếu không có sự cho phép của anh ấy, sẽ không có dữ liệu nào được tải lên đám mây.
3. Quyền riêng tư của Kingston DataTraveler Vault 3.0
Nhưng các thiết bị của Kingston Chúng cũng đi kèm với phần mềm chống vi-rút Drive Security tích hợp sẵn từ ESET. Cái sau bảo vệ dữ liệu khỏi sự xâm nhập vào ổ USB của vi-rút, phần mềm gián điệp, Trojan, sâu, rootkit và kết nối với máy tính của người khác, người ta có thể nói, nó không hề sợ hãi. Phần mềm chống vi-rút sẽ ngay lập tức cảnh báo chủ sở hữu ổ đĩa về các mối đe dọa tiềm ẩn, nếu phát hiện thấy. Trong trường hợp này, người dùng không cần phải tự cài đặt phần mềm chống vi-rút và trả tiền cho tùy chọn này. ESET Drive Security được cài đặt sẵn trên ổ flash có giấy phép 5 năm.
Kingston DT Vault Privacy 3.0 được thiết kế và hướng tới chủ yếu các chuyên gia CNTT. Nó cho phép quản trị viên sử dụng nó như một ổ đĩa độc lập hoặc thêm nó như một phần của giải pháp quản lý tập trung và cũng có thể được sử dụng để định cấu hình hoặc đặt lại mật khẩu và định cấu hình chính sách thiết bị từ xa. Kingston thậm chí còn bổ sung thêm USB 3.0, cho phép bạn truyền dữ liệu an toàn nhanh hơn nhiều so với USB 2.0.
Nhìn chung, DT Vault Privacy 3.0 là một lựa chọn tuyệt vời cho khu vực doanh nghiệp và các tổ chức yêu cầu bảo vệ tối đa dữ liệu của họ. Nó cũng có thể được khuyến nghị cho tất cả người dùng sử dụng máy tính trên mạng công cộng.
Để biết thêm thông tin về các sản phẩm của Kingston, hãy liên hệ .
Nguồn: www.habr.com