你好,哈布尔! 在对我们其中一位的评论中 读者提出了一个有趣的问题:“当 TrueCrypt 可用时,为什么还需要具有硬件加密功能的闪存驱动器?” - 甚至表达了一些担忧“如何确保金士顿驱动器的软件和硬件中没有书签” ?” 我们简洁地回答了这些问题,但随后认为该主题值得进行基本分析。 这就是我们在这篇文章中要做的事情。
与软件加密一样,AES 硬件加密已经存在很长时间了,但它到底如何保护闪存驱动器上的敏感数据呢? 谁对此类驱动器进行认证?这些认证是否可信? 如果您可以使用 TrueCrypt 或 BitLocker 等免费程序,谁还需要如此“复杂”的闪存驱动器。 正如你所看到的,评论中提出的话题确实引发了很多问题。 让我们试着弄清楚这一切。
硬件加密与软件加密有何不同?
对于闪存驱动器(以及 HDD 和 SSD),设备电路板上的特殊芯片用于实现硬件数据加密。 它有一个内置的随机数生成器,可以生成加密密钥。 当您输入用户密码时,数据会自动加密并立即解密。 在这种情况下,没有密码几乎不可能访问数据。
使用软件加密时,驱动器上的数据由外部软件提供“锁定”,这是硬件加密方法的低成本替代方案。 此类软件的缺点可能包括定期更新的平庸要求,以抵御不断改进的黑客技术。 此外,计算机进程(而不是单独的硬件芯片)的能力用于解密数据,并且事实上,PC的保护级别决定了驱动器的保护级别。
具有硬件加密功能的驱动器的主要特点是一个单独的加密处理器,它的存在告诉我们加密密钥永远不会离开 USB 驱动器,这与可以临时存储在计算机 RAM 或硬盘驱动器中的软件密钥不同。 而且由于软件加密使用 PC 内存来存储登录尝试次数,因此它无法阻止对密码或密钥的暴力攻击。 攻击者可以不断重置登录尝试计数器,直到自动密码破解程序找到所需的组合。
顺便说一下......,在文章的评论中““用户还注意到,例如,TrueCrypt 程序具有便携式操作模式。 然而,这并不是一个很大的优势。 事实上,在这种情况下,加密程序存储在闪存驱动器的内存中,这使得它更容易受到攻击。
底线:该软件方法无法提供与 AES 加密一样高的安全级别。 这更多是一种基本的防御。 另一方面,对重要数据进行软件加密仍然比不加密要好。 这一事实使我们能够清楚地区分这些类型的加密:闪存驱动器的硬件加密对于企业部门来说是必要的(例如,当公司员工使用在工作中发行的驱动器时); 并且软件更适合用户需求。
不过,金士顿将其硬盘型号(例如 IronKey S1000)分为基本版和企业版。 在功能和保护属性方面,它们几乎彼此相同,但企业版本提供了使用 SafeConsole/IronKey EMS 软件管理驱动器的功能。 借助该软件,驱动器可以与云或本地服务器配合使用,以远程实施密码保护和访问策略。 用户有机会恢复丢失的密码,管理员可以将不再使用的驱动器切换到新任务。
采用 AES 加密的金士顿闪存盘如何工作?
金士顿对其所有安全驱动器均使用 256 位 AES-XTS 硬件加密(使用可选的全长密钥)。 正如我们上面提到的,闪存驱动器的组件基础中包含一个用于加密和解密数据的单独芯片,该芯片充当持续活动的随机数生成器。
当您第一次将设备连接到 USB 端口时,初始化设置向导会提示您设置主密码以访问该设备。 激活驱动器后,加密算法将根据用户偏好自动开始工作。
同时,对于用户来说,闪存驱动器的操作原理将保持不变 - 他仍然能够下载文件并将其放置在设备内存中,就像使用常规 USB 闪存驱动器一样。 唯一的区别是,当您将闪存驱动器连接到新计算机时,您将需要输入设置的密码才能访问您的信息。
为什么以及谁需要具有硬件加密功能的闪存驱动器?
对于敏感数据是其业务一部分的组织(无论是金融、医疗保健还是政府),加密是最可靠的保护手段。 AES 硬件加密是一种可扩展的解决方案,可供任何公司使用:从个人和小型企业到大型公司,以及军事和政府组织。 要更具体地考虑这个问题,需要使用加密的 USB 驱动器:
- 确保公司机密数据的安全
- 为了保护客户信息
- 保护公司免受利润和客户忠诚度损失
值得注意的是,一些安全闪存驱动器制造商(包括金士顿)为企业提供定制解决方案,旨在满足客户的需求和目标。 但批量生产的产品线(包括 DataTraveler 闪存驱动器)可以完美地应对其任务,并能够提供企业级的安全性。
1. 确保公司机密数据的安全
2017 年,一名伦敦居民在其中一个公园发现了一个 USB 驱动器,其中包含与希思罗机场安全相关的不受密码保护的信息,包括监控摄像头的位置以及有关乘客抵达时采取的安全措施的详细信息。高级官员。 该闪存驱动器还包含有关机场禁区的电子通行证和访问代码的数据。
分析人士表示,造成这种情况的原因是公司员工缺乏网络知识,他们可能会因自己的疏忽而“泄露”秘密数据。 具有硬件加密功能的闪存驱动器部分解决了这个问题,因为如果这样的驱动器丢失,如果没有同一安全官员的主密码,您将无法访问其上的数据。 无论如何,这并不能否认员工必须接受培训以处理闪存驱动器的事实,即使我们谈论的是受加密保护的设备。
2. 保护客户信息
对于任何组织来说,更重要的任务是保护客户数据,这些数据不应受到泄露的风险。 顺便说一句,这些信息最常在不同的业务部门之间传输,并且通常是保密的:例如,它可能包含有关金融交易、病史等的数据。
3. 防止利润和客户忠诚度损失
使用具有硬件加密功能的 USB 设备有助于防止给组织带来灾难性后果。 违反个人数据保护法的公司可能会被处以巨额罚款。 因此,必须问一个问题:在没有适当保护的情况下共享信息是否值得冒风险?
即使不考虑财务影响,纠正发生的安全错误所花费的时间和资源也可能同样重要。 此外,如果数据泄露损害了客户数据,公司就会面临品牌忠诚度的风险,尤其是在有竞争对手提供类似产品或服务的市场中。
谁保证在使用具有硬件加密功能的闪存驱动器时不存在制造商的“书签”?
在我们提出的这个话题中,这个问题或许是主要的问题之一。 在有关金士顿 DataTraveler 硬盘的文章的评论中,我们遇到了另一个有趣的问题:“您的设备是否经过第三方独立专家的审核?” 嗯...这是一个合乎逻辑的兴趣:用户希望确保我们的 USB 驱动器不包含常见错误,例如弱加密或绕过密码输入的能力。 在本文的这一部分中,我们将讨论金士顿硬盘在获得真正安全闪存驱动器状态之前要经过哪些认证程序。
谁保证可靠性? 我们似乎可以这样说:“金士顿制造了它 - 它保证了它。” 但在这种情况下,这种说法将是不正确的,因为制造商是利害关系方。 因此,所有产品均由具有独立专业知识的第三方进行测试。 特别是,金士顿硬件加密硬盘(DTLPG3 除外)是加密模块验证计划 (CMVP) 的参与者,并获得联邦信息处理标准 (FIPS) 认证。 该驱动器还通过了 GLBA、HIPPA、HITECH、PCI 和 GTSA 标准认证。
1. 密码模块验证程序
CMVP计划是美国商务部国家标准与技术研究所和加拿大网络安全中心的联合项目。 该项目的目标是刺激对经过验证的加密设备的需求,并向联邦机构和受监管行业(例如金融和医疗机构)提供设备采购中使用的安全指标。
设备由国家自愿实验室认证计划 (NVLAP) 认可的独立密码学和安全测试实验室根据一系列密码学和安全要求进行测试。 同时,每份实验室报告均经过检查是否符合联邦信息处理标准 (FIPS) 140-2,并由 CMVP 确认。
建议美国和加拿大联邦机构在 140 年 2 月 22 日之前使用经验证符合 FIPS 2026-22 的模块。 此后,它们将包含在存档列表中,但仍然可以使用。 2020 年 140 月 3 日,根据 FIPS XNUMX-XNUMX 标准接受验证申请结束。 一旦设备通过检查,它们将被移至经过测试和信任的设备的有效列表,为期五年。 如果加密设备未通过验证,则不建议在美国和加拿大的政府机构中使用。
2. FIPS 认证有哪些安全要求?
即使从未经认证的加密驱动器中窃取数据也很困难,很少有人能做到,因此在选择经过认证的家用消费类驱动器时,您不必费心。 在企业领域,情况有所不同:在选择安全 USB 驱动器时,企业通常重视 FIPS 认证级别。 然而,并不是每个人都清楚这些级别的含义。
当前的 FIPS 140-2 标准定义了闪存驱动器可以满足的四种不同的安全级别。 第一级提供一组中等的安全功能。 第四级是对设备自我保护的严格要求。 第二级和第三级提供了这些要求的分级,并形成了一种中庸之道。
- XNUMX 级安全性:XNUMX 级认证的 USB 驱动器需要至少一种加密算法或其他安全功能。
- 第二级安全性:这里驱动器不仅需要提供加密保护,而且如果有人试图打开驱动器,还需要在固件级别检测未经授权的入侵。
- 第三级安全:涉及通过破坏加密“密钥”来防止黑客攻击。 也就是说,需要对渗透尝试做出响应。 此外,第三级保证了更高级别的电磁干扰保护:也就是说,使用无线黑客设备从闪存驱动器读取数据将不起作用。
- 第四安全级别:最高级别,涉及对密码模块的完整保护,为未经授权用户的任何未经授权的访问尝试提供最大的检测和反击概率。 已获得第四级证书的闪存驱动器还包括不允许通过改变电压和环境温度进行黑客攻击的保护选项。
以下金士顿硬盘已通过 FIPS 140-2 2000 级认证:DataTraveler DT4000、DataTraveler DT2G1000、IronKey S300、IronKey D10。 这些驱动器的主要特点是能够响应入侵尝试:如果密码输入错误 XNUMX 次,驱动器上的数据将被破坏。
金士顿闪存盘除了加密之外还能做什么?
当谈到完整的数据安全性时,闪存驱动器的硬件加密、内置防病毒、免受外部影响的保护、与个人云的同步以及我们将在下面讨论的其他功能都可以发挥作用。 带软件加密的闪存盘没有太大区别。 细节决定成败。 这就是什么。
1.金士顿DataTraveler 2000
我们以 USB 驱动器为例。 。 这是具有硬件加密功能的闪存驱动器之一,但同时也是唯一一款在外壳上带有物理键盘的闪存驱动器。 这个 11 个按钮的键盘使 DT2000 完全独立于主机系统(要使用 DataTraveler 2000,您必须按 Key 按钮,然后输入密码,然后再次按 Key 按钮)。 此外,这款闪存盘还具有IP57防水防尘等级(令人惊讶的是,金士顿无论是在包装上还是在官网的规格中都没有注明这一点)。
DataTraveler 2000 内有一块 40mAh 锂聚合物电池,金士顿建议买家在使用前将硬盘插入 USB 端口至少一个小时,以便为电池充电。 顺便说一下,在之前的一份材料中 :没有理由担心 - 充电器中的闪存驱动器未激活,因为系统没有向控制器发出请求。 因此,没有人会通过无线入侵窃取您的数据。
2. 金士顿 DataTraveler Locker+ G3
如果我们谈论金士顿型号 – 它凭借配置从闪存驱动器到 Google 云存储、OneDrive、Amazon Cloud 或 Dropbox 的数据备份的能力而吸引了人们的注意。 还提供与这些服务的数据同步。
读者问我们的问题之一是:“但是如何从备份中获取加密数据呢?” 很简单。 事实是,与云端同步时,信息被解密,云端备份的保护取决于云端本身的能力。 因此,此类程序仅由用户自行决定执行。 未经他的许可,任何数据都不会上传到云端。
3. 金士顿 DataTraveler Vault 隐私 3.0
但是金士顿设备 它们还内置了 ESET 的 Drive Security 防病毒软件。 后者可以保护USB驱动器的数据免受病毒、间谍软件、特洛伊木马、蠕虫、rootkit以及与他人计算机的连接的入侵,有人可能会说,它并不害怕。 如果检测到任何潜在威胁,防病毒软件将立即向驱动器所有者发出警告。 在这种情况下,用户不需要自己安装防病毒软件并为此选项付费。 ESET Drive Security 预装在闪存驱动器上,具有五年许可证。
金士顿 DT Vault Privacy 3.0 主要针对 IT 专业人士而设计和定位。 它允许管理员将其用作独立驱动器或将其添加为集中管理解决方案的一部分,还可以用于配置或远程重置密码以及配置设备策略。 金士顿甚至还添加了 USB 3.0,它使您能够比 USB 2.0 更快地传输安全数据。
总体而言,DT Vault Privacy 3.0 对于需要最大限度保护数据的企业部门和组织来说是一个绝佳的选择。 它还可以推荐给所有使用位于公共网络上的计算机的用户。
有关金士顿产品的更多信息,请联系 .
来源: habr.com