你好,哈布爾! 在對我們其中一位的評論中 讀者提出了一個有趣的問題:“當 TrueCrypt 可用時,為什麼還需要具有硬體加密功能的閃存驅動器?” - 甚至表達了一些擔憂“如何確保金士頓驅動器的軟體和硬體中沒有書籤” ?” 我們簡潔地回答了這些問題,但隨後認為主題值得進行基本分析。 這就是我們在這篇文章中要做的事情。
與軟體加密一樣,AES 硬體加密已經存在很長時間了,但它到底如何保護隨身碟上的敏感資料呢? 誰對此類驅動器進行認證?這些認證是否可信? 如果您可以使用 TrueCrypt 或 BitLocker 等免費程序,誰還需要如此「複雜」的隨身碟。 正如你所看到的,評論中提出的話題確實引發了許多問題。 讓我們試著弄清楚這一切。
硬體加密與軟體加密有何不同?
對於快閃磁碟機(以及 HDD 和 SSD),裝置電路板上的特殊晶片用於實現硬體資料加密。 它有一個內建的隨機數產生器,可以產生加密金鑰。 當您輸入使用者密碼時,資料會自動加密並立即解密。 在這種情況下,沒有密碼幾乎不可能存取資料。
使用軟體加密時,磁碟機上的資料由外部軟體提供“鎖定”,這是硬體加密方法的低成本替代方案。 此類軟體的缺點可能包括定期更新的平庸要求,以抵禦不斷改進的駭客技術。 此外,電腦進程(而不是單獨的硬體晶片)的能力用於解密數據,並且事實上,PC的保護等級決定了驅動器的保護等級。
具有硬體加密功能的驅動器的主要特點是一個單獨的加密處理器,它的存在告訴我們加密金鑰永遠不會離開 USB 驅動器,這與可以暫時儲存在電腦 RAM 或硬碟中的軟體金鑰不同。 而且由於軟體加密使用 PC 記憶體來儲存登入嘗試次數,因此它無法阻止對密碼或金鑰的暴力攻擊。 攻擊者可以不斷重置登入嘗試計數器,直到自動密碼破解程式找到所需的組合。
順便說一下......,在文章的評論中“「使用者也注意到,例如,TrueCrypt 程式具有便攜式操作模式。 然而,這並不是一個很大的優勢。 事實上,在這種情況下,加密程式儲存在快閃磁碟機的記憶體中,這使得它更容易受到攻擊。
底線:此軟體方法無法提供與 AES 加密一樣高的安全等級。 這比較是一種基本的防禦。 另一方面,對重要資料進行軟體加密仍然比不加密好。 這一事實使我們能夠清楚地區分這些類型的加密:閃存驅動器的硬體加密對於企業部門來說是必要的(例如,當公司員工使用在工作中發行的驅動器時); 且軟體更適合使用者需求。
不過,金士頓將其硬碟機型(例如 IronKey S1000)分為基本版和企業版。 在功能和保護屬性方面,它們幾乎彼此相同,但企業版本提供了使用 SafeConsole/IronKey EMS 軟體管理磁碟機的功能。 借助該軟體,驅動器可以與雲端或本機伺服器配合使用,以遠端實施密碼保護和存取策略。 使用者有機會恢復遺失的密碼,管理員可以將不再使用的磁碟機切換到新任務。
採用 AES 加密的金士頓隨身碟如何運作?
金士頓對其所有安全驅動器均使用 256 位元 AES-XTS 硬體加密(使用可選的全長密鑰)。 正如我們上面提到的,快閃磁碟機的元件基礎中包含一個用於加密和解密資料的單獨晶片,該晶片充當持續活動的隨機數產生器。
當您第一次將裝置連接到 USB 連接埠時,初始化設定精靈會提示您設定主密碼以存取該裝置。 啟動驅動器後,加密演算法將根據用戶偏好自動開始工作。
同時,對於用戶來說,閃存驅動器的操作原理將保持不變 - 他仍然能夠下載文件並將其放置在設備內存中,就像使用常規 USB 閃存驅動器一樣。 唯一的區別是,當您將隨身碟連接到新電腦時,您將需要輸入設定的密碼才能存取您的資訊。
為什麼以及誰需要具有硬體加密功能的閃存驅動器?
對於敏感資料是其業務一部分的組織(無論是金融、醫療保健還是政府),加密是最可靠的保護手段。 AES 硬體加密是一種可擴展的解決方案,可供任何公司使用:從個人和小型企業到大型公司,以及軍事和政府組織。 要更具體地考慮這個問題,需要使用加密的 USB 隨身碟:
- 確保公司機密資料的安全
- 為了保護客戶資訊
- 保護公司免受利潤和客戶忠誠度損失
值得注意的是,一些安全快閃磁碟機製造商(包括金士頓)為企業提供客製化解決方案,旨在滿足客戶的需求和目標。 但大量生產的產品線(包括 DataTraveler 隨身碟)可以完美地應對其任務,並能夠提供企業級的安全性。
1. 確保公司機密資料的安全
2017 年,一名倫敦居民在其中一個公園發現了一個USB 驅動器,其中包含與希思羅機場安全相關的不受密碼保護的信息,包括監控攝像頭的位置以及有關乘客抵達時採取的安全措施的詳細資訊。高級官員。 該快閃磁碟機還包含有關機場禁區的電子通行證和存取代碼的資料。
分析師表示,造成這種情況的原因是公司員工缺乏網路知識,他們可能會因自己的疏忽而「洩露」秘密資料。 具有硬體加密功能的快閃磁碟機部分解決了這個問題,因為如果這樣的磁碟機遺失,如果沒有相同安全官員的主密碼,您將無法存取其上的資料。 無論如何,這並不能否認員工必須接受培訓以處理閃存驅動器的事實,即使我們談論的是受加密保護的設備。
2. 保護客戶資訊
對於任何組織來說,更重要的任務是保護客戶數據,這些數據不應受到洩漏的風險。 順便說一句,這些資訊最常在不同的業務部門之間傳輸,通常是保密的:例如,它可能包含有關金融交易、病史等的數據。
3. 防止利潤和顧客忠誠度損失
使用具有硬體加密功能的 USB 裝置有助於防止對組織造成災難性後果。 違反個人資料保護法的公司可能會被處以巨額罰款。 因此,必須問一個問題:在沒有適當保護的情況下共享資訊是否值得冒險?
即使不考慮財務影響,糾正發生的安全錯誤所花費的時間和資源也可能同樣重要。 此外,如果資料外洩損害了客戶數據,公司就會面臨品牌忠誠度的風險,尤其是在有競爭對手提供類似產品或服務的市場中。
誰保證在使用具有硬體加密功能的閃存驅動器時不存在製造商的“書籤”?
在我們提出的這個話題中,這個問題或許是主要的問題之一。 在有關金士頓 DataTraveler 硬碟的文章的評論中,我們遇到了另一個有趣的問題:“您的設備是否經過第三方獨立專家的審核?” 嗯...這是一個合乎邏輯的興趣:用戶希望確保我們的 USB 驅動器不包含常見錯誤,例如弱加密或繞過密碼輸入的能力。 在本文的這一部分中,我們將討論金士頓硬碟在獲得真正安全快閃記憶體狀態之前要經過哪些認證程序。
誰保證可靠性? 我們似乎可以這樣說:“金士頓製造了它 - 它保證了它。” 但在這種情況下,這種說法將是不正確的,因為製造商是利害關係人。 因此,所有產品均由具有獨立專業知識的第三方進行測試。 特別是,金士頓硬體加密硬碟(DTLPG3 除外)是加密模組驗證計畫 (CMVP) 的參與者,並獲得聯邦資訊處理標準 (FIPS) 認證。 該驅動器還通過了 GLBA、HIPPA、HITECH、PCI 和 GTSA 標準認證。
1. 密碼模組驗證程序
CMVP計畫是美國商務部國家標準與技術研究所和加拿大網路安全中心的聯合計畫。 該計畫的目標是刺激對經過驗證的加密設備的需求,並向聯邦機構和受監管行業(例如金融和醫療機構)提供設備採購中使用的安全指標。
設備由國家自願實驗室認證計劃 (NVLAP) 認可的獨立密碼學和安全測試實驗室根據一系列密碼學和安全要求進行測試。 同時,每份實驗室報告均經過檢查是否符合聯邦資訊處理標準 (FIPS) 140-2,並由 CMVP 確認。
建議美國和加拿大聯邦機構在 140 年 2 月 22 日之前使用經驗證符合 FIPS 2026-22 的模組。 此後,它們將包含在存檔清單中,但仍然可以使用。 2020 年 140 月 3 日,根據 FIPS XNUMX-XNUMX 標準接受驗證申請結束。 一旦設備通過檢查,它們將被移至經過測試和信任的設備的有效列表,為期五年。 如果加密設備未通過驗證,則不建議在美國和加拿大的政府機構中使用。
2. FIPS 認證有哪些安全要求?
即使從未經認證的加密磁碟機中竊取資料也很困難,很少有人能做到,因此在選擇經過認證的家用消費性磁碟機時,您不必費心。 在企業領域,情況有所不同:在選擇安全 USB 隨身碟時,企業通常重視 FIPS 認證等級。 然而,並不是每個人都清楚這些層次的意義。
目前的 FIPS 140-2 標準定義了快閃磁碟機可以滿足的四種不同的安全等級。 第一級提供一組中等的安全功能。 第四級是對設備自我保護的嚴格要求。 第二級和第三級提供了這些要求的分級,並形成了一種中庸之道。
- XNUMX 級安全性:XNUMX 級認證的 USB 驅動器需要至少一種加密演算法或其他安全功能。
- 第二級安全性:這裡驅動器不僅需要提供加密保護,而且如果有人試圖打開驅動器,還需要在韌體層級偵測未經授權的入侵。
- 第三級安全性:涉及透過破壞加密「金鑰」來防止駭客攻擊。 也就是說,需要對滲透嘗試做出回應。 此外,第三級保證了更高等級的電磁幹擾保護:也就是說,使用無線駭客設備從快閃磁碟機讀取資料將無法運作。
- 第四安全級別:最高級別,涉及對密碼模組的完整保護,為未經授權使用者的任何未經授權的存取嘗試提供最大的檢測和反擊機率。 已獲得第四級憑證的快閃磁碟機還包括不允許透過改變電壓和環境溫度進行駭客攻擊的保護選項。
以下金士頓硬碟已通過 FIPS 140-2 2000 級認證:DataTraveler DT4000、DataTraveler DT2G1000、IronKey S300、IronKey D10。 這些驅動器的主要特點是能夠回應入侵嘗試:如果密碼輸入錯誤 XNUMX 次,則磁碟機上的資料將會被破壞。
金士頓隨身碟除了加密之外還能做什麼?
當談到完整的資料安全性時,快閃磁碟機的硬體加密、內建防毒、免受外部影響的保護、與個人雲端的同步以及我們將在下面討論的其他功能都可以發揮作用。 具有軟體加密的隨身碟沒有太大區別。 細節決定成敗。 這就是什麼。
1.金士頓DataTraveler 2000
我們以 USB 隨身碟為例。 。 這是具有硬體加密功能的隨身碟之一,但同時也是唯一一款在外殼上帶有實體鍵盤的隨身碟。 這個 11 個按鈕的鍵盤使 DT2000 完全獨立於主機系統(要使用 DataTraveler 2000,您必須按 Key 按鈕,然後輸入密碼,並再次按 Key 按鈕)。 此外,這款隨身碟還具有IP57防水防塵等級(令人驚訝的是,金士頓無論是在包裝上還是在官網的規格中都沒有註明這一點)。
DataTraveler 2000 內有 40mAh 鋰聚合物電池,金士頓建議買家在使用前將硬碟插入 USB 連接埠至少一小時,以便為電池充電。 順便說一下,在之前的一份資料中 :沒有理由擔心 - 充電器中的閃存驅動器未激活,因為系統沒有向控制器發出請求。 因此,沒有人會透過無線入侵來竊取您的資料。
2. 金士頓 DataTraveler Locker+ G3
如果我們談論金士頓型號 – 它憑藉著配置從快閃磁碟機到 Google 雲端儲存、OneDrive、Amazon Cloud 或 Dropbox 的資料備份的能力而吸引了人們的注意。 也提供與這些服務的資料同步。
讀者問我們的問題之一是:“但是如何從備份中獲取加密資料?” 很簡單。 事實是,與雲端同步時,資訊被解密,雲端備份的保護取決於雲端本身的能力。 因此,此類程序僅由使用者自行決定執行。 未經他的許可,任何資料都不會上傳到雲端。
3. 金士頓 DataTraveler Vault 隱私 3.0
但是金士頓設備 它們還內建了 ESET 的 Drive Security 防毒軟體。 後者可以保護USB驅動器的資料免受病毒、間諜軟體、特洛伊木馬、蠕蟲、rootkit以及與他人電腦的連接的入侵,有人可能會說,它並不害怕。 如果偵測到任何潛在威脅,防毒軟體將立即向磁碟機擁有者發出警告。 在這種情況下,用戶不需要自己安裝防毒軟體並為此選項付費。 ESET Drive Security 預先安裝在快閃磁碟機上,並有五年許可證。
金士頓 DT Vault Privacy 3.0 主要針對 IT 專業人士而設計和定位。 它允許管理員將其用作獨立磁碟機或將其新增為集中管理解決方案的一部分,也可用於配置或遠端重設密碼以及配置裝置原則。 金士頓甚至還添加了 USB 3.0,它使您能夠比 USB 2.0 更快地傳輸安全資料。
總體而言,DT Vault Privacy 3.0 對於需要最大限度保護資料的企業部門和組織來說是一個絕佳的選擇。 它還可以推薦給所有使用位於公共網路上的電腦的使用者。
有關金士頓產品的更多信息,請聯繫 .
來源: www.habr.com