Зачем Нужны Флешки С Аппаратным Шифрованием?

Привет, Хабр! В комментариях к одному из наших материалы о флешках читатели задали интересный вопрос: «Зачем нужна флешка с аппаратным шифрованием, когда доступен TrueCryptЭ» — и даже высказал некоторые опасения по поводу «Как можно сделать так, чтобы в программном и аппаратном обеспечении накопителя Kingston не было закладокЭ» Мы ответили на эти вопросы лаконично, но потом решили, что тема заслуживает фундаментального анализа.

Именно это мы и сделаем в этом посте.

Аппаратное шифрование AES, как и программное, существует уже давно, но как именно оно защищает конфиденциальные данные на флэш-накопителях? Кто сертифицирует такие накопители и можно ли доверять этим сертификатам? Кому нужны такие «сложные» флешки, если можно использовать бесплатные программы типа TrueCrypt или BitLocker. Как видите, тема, заданная в комментариях, действительно вызывает массу вопросов.

Давайте попробуем во всем разобраться.

Чем аппаратное шифрование отличается от программного?

Он имеет встроенный генератор случайных чисел, который генерирует ключи шифрования.

Данные автоматически шифруются и мгновенно расшифровываются при вводе пароля пользователя.

В этом случае получить доступ к данным без пароля практически невозможно.

При использовании программного шифрования «блокировка» данных на накопителе обеспечивается внешним программным обеспечением, которое выступает недорогой альтернативой аппаратным методам шифрования.

К недостаткам такого программного обеспечения можно отнести банальную необходимость регулярных обновлений, чтобы обеспечить устойчивость к постоянно совершенствующимся методам взлома.

Кроме того, для расшифровки данных используется мощность компьютерного процесса (а не отдельного аппаратного чипа), и, по сути, уровень защиты ПК определяет уровень защиты накопителя.

Основной особенностью накопителей с аппаратным шифрованием является отдельный криптографический процессор, наличие которого говорит нам о том, что ключи шифрования никогда не покидают USB-накопитель, в отличие от программных ключей, которые могут временно храниться в оперативной памяти или на жестком диске компьютера.

А поскольку программное шифрование использует память ПК для хранения количества попыток входа в систему, оно не может остановить атаки методом перебора пароля или ключа.

Счетчик попыток входа в систему может постоянно сбрасываться злоумышленником до тех пор, пока программа автоматического взлома пароля не найдет нужную комбинацию.

Кстати.

, в комментариях к статье « Kingston DataTraveler: новое поколение защищенных флэш-накопителей «Пользователи также отметили, что, например, программа TrueCrypt имеет портативный режим работы.

Однако это не является большим преимуществом.

Дело в том, что в этом случае программа шифрования хранится в памяти флешки, а это делает ее более уязвимой для атак.

Итог: программный подход не обеспечивает такой высокий уровень безопасности, как шифрование AES. Это скорее базовая защита.

С другой стороны, программное шифрование важных данных все же лучше, чем отсутствие шифрования вообще.

И этот факт позволяет четко разграничить эти виды криптографии: аппаратное шифрование флешек — необходимость, скорее, для корпоративного сектора (например, когда сотрудники компании используют выданные на работе накопители); и программное обеспечение больше подходит для нужд пользователя.

Однако Kingston делит свои модели накопителей (например, IronKey S1000) на версии Basic и Enterprise. По функционалу и свойствам защиты они практически идентичны друг другу, однако в корпоративной версии предусмотрена возможность управления накопителем с помощью программного обеспечения SafeConsole/IronKey EMS. С помощью этого программного обеспечения накопитель работает как с облачными, так и с локальными серверами, обеспечивая удаленное применение политики защиты паролем и доступа.

Пользователям предоставляется возможность восстановить утерянные пароли, а администраторы могут переключить диски, которые больше не используются, на новые задачи.

Как работают флешки Kingston с шифрованием AES?

Как мы отмечали выше, флешки содержат в своей компонентной базе отдельный чип для шифрования и дешифрования данных, который выполняет роль постоянно активного генератора случайных чисел.

При первом подключении устройства к USB-порту мастер инициализации предложит вам установить мастер-пароль для доступа к устройству.

После активации накопителя алгоритмы шифрования автоматически начнут работать в соответствии с предпочтениями пользователя.

При этом для пользователя принцип работы флешки останется неизменным – он по-прежнему сможет скачивать и размещать файлы в памяти устройства, как и при работе с обычной флешкой.

Разница лишь в том, что при подключении флешки к новому компьютеру вам нужно будет ввести установленный пароль для получения доступа к вашей информации.

Зачем и кому нужны флешки с аппаратным шифрованием?

В связи с этим флэшки с поддержкой 256 бит Аппаратное шифрование AES — это масштабируемое решение, которое может использовать любая компания: от частных лиц и малого бизнеса до крупных корпораций, а также военных и правительственных организаций.

Чтобы взглянуть на эту проблему более конкретно, необходимо использовать зашифрованные USB-накопители:

• Обеспечить безопасность конфиденциальных данных компании
• Для защиты информации о клиентах
• Защитить компании от потери прибыли и лояльности клиентов

А вот серийные линейки (в том числе и флешки DataTraveler) отлично справляются со своими задачами и способны обеспечить безопасность корпоративного класса.

1. Обеспечение безопасности конфиденциальных данных компании

На флэш-накопителе также находились данные об электронных пропусках и кодах доступа в закрытые зоны аэропорта.

Аналитики говорят, что причиной подобных ситуаций является кибернеграмотность сотрудников компаний, которые по собственной халатности могут «слить» секретные данные.

Флешки с аппаратным шифрованием частично решают эту проблему, ведь в случае утери такого накопителя вы не сможете получить доступ к данным на нем без мастер-пароля того же чекиста.

В любом случае это не отменяет того факта, что сотрудников необходимо обучать обращению с флешками, даже если речь идет об устройствах, защищенных шифрованием.

2. Защита информации о клиентах

Кстати, именно эта информация чаще всего передается между разными отраслями бизнеса и, как правило, является конфиденциальной: например, она может содержать данные о финансовых операциях, истории болезни и т. д.

3. Защита от потери прибыли и лояльности клиентов

Компании, нарушающие законы о защите персональных данных, могут быть оштрафованы на крупные суммы.

Поэтому необходимо задаться вопросом: стоит ли рисковать, делясь информацией без должной защиты? Даже если не принимать во внимание финансовые последствия, количество времени и ресурсов, потраченных на исправление возникающих ошибок безопасности, может быть столь же значительным.

Кроме того, если утечка данных ставит под угрозу данные клиентов, компания рискует лояльностью к бренду, особенно на рынках, где есть конкуренты, предлагающие аналогичный продукт или услугу.

Кто гарантирует отсутствие «закладок» от производителя при использовании флешек с аппаратным шифрованием?

Среди комментариев к статье о накопителях Kingston DataTraveler мы встретили еще один интересный вопрос: «Проходят ли ваши устройства проверки сторонних независимых специалистовЭ» Что ж.

это логичный интерес: пользователи хотят убедиться, что наши USB-накопители не содержат типичных ошибок, таких как слабое шифрование или возможность обхода ввода пароля.

И в этой части статьи мы поговорим о том, какие процедуры сертификации проходят накопители Kingston, прежде чем получить статус действительно безопасных флешек.

Кто гарантирует надежность? Казалось бы, мы вполне могли бы сказать так: «Kingston сделал это – он это гарантирует».

Но в данном случае такое утверждение будет неверным, поскольку заинтересованной стороной является производитель.

Поэтому вся продукция тестируется третьей стороной с независимой экспертизой.

В частности, накопители с аппаратным шифрованием Kingston (за исключением DTLPG3) являются участниками Программы проверки криптографических модулей (CMVP) и сертифицированы по Федеральному стандарту обработки информации (FIPS).

Диски также сертифицированы по стандартам GLBA, HIPPA, HITECH, PCI и GTSA.

1. Программа проверки криптографического модуля.

Цель проекта — стимулировать спрос на проверенные криптографические устройства и предоставить федеральным агентствам и регулируемым отраслям (например, финансовым и медицинским учреждениям) показатели безопасности, которые используются при закупках оборудования.

Устройства тестируются на соответствие набору требований криптографии и безопасности в независимых лабораториях по тестированию криптографии и безопасности, аккредитованных Национальной программой добровольной аккредитации лабораторий (NVLAP).

При этом каждый лабораторный отчет проверяется на соответствие Федеральному стандарту обработки информации (FIPS) 140-2 и подтверждается CMVP. Модули, проверенные на соответствие стандарту FIPS 140-2, рекомендованы к использованию федеральными агентствами США и Канады до 22 сентября 2026 г.

После этого они будут включены в архивный список, но их по-прежнему можно будет использовать.

22 сентября 2020 года завершился прием заявок на валидацию по стандарту FIPS 140-3. Как только устройства пройдут проверку, они будут переведены в активный список проверенных и доверенных устройств на пять лет. Если криптографическое устройство не проходит проверку, его использование в государственных учреждениях США и Канады не рекомендуется.

2. Какие требования безопасности предъявляет сертификация FIPS?

В корпоративном секторе ситуация иная: при выборе защищенных USB-накопителей компании часто придают значение уровням сертификации FIPS. Однако не все имеют четкое представление о том, что означают эти уровни.

Действующий стандарт FIPS 140-2 определяет четыре различных уровня безопасности, которым могут соответствовать флэш-накопители.

Первый уровень обеспечивает умеренный набор функций безопасности.

Четвертый уровень подразумевает строгие требования к самозащите устройств.

Второй и третий уровни обеспечивают градацию этих требований и образуют своего рода золотую середину.

1. Безопасность уровня 1. USB-накопителям, сертифицированным по уровню 1, требуется как минимум один алгоритм шифрования или другая функция безопасности.

2. Второй уровень безопасности: здесь от накопителя требуется не только обеспечить криптографическую защиту, но и обнаружить несанкционированное вторжение на уровне прошивки, если кто-то попытается вскрыть накопитель.

3. Третий уровень безопасности: предполагает предотвращение взлома путем уничтожения «ключей» шифрования.

   То есть требуется реакция на попытки проникновения.

   Также третий уровень гарантирует более высокий уровень защиты от электромагнитных помех: то есть прочитать данные с флешки с помощью беспроводных хакерских устройств не получится.

4. Четвертый уровень безопасности: высший уровень, предполагающий полную защиту криптографического модуля, обеспечивающий максимальную вероятность обнаружения и противодействия любым попыткам несанкционированного доступа со стороны неавторизованного пользователя.

   Флешки, получившие сертификат четвертого уровня, также включают варианты защиты, не допускающие взлома путем изменения напряжения и температуры окружающей среды.

Что еще умеют флешки Kingston, кроме шифрования?

Большой разницы во флешках с программным шифрованием нет. Дьявол кроется в деталях.

И вот что.

1. Кингстон DataTraveler 2000.



Возьмем, к примеру, USB-накопитель.

Кингстон Data Traveler 2000 .

Это одна из флешек с аппаратным шифрованием, но при этом единственная с собственной физической клавиатурой на корпусе.

Эта 11-кнопочная клавиатура делает DT2000 полностью независимым от хост-систем (чтобы использовать DataTraveler 2000, необходимо нажать кнопку «Ключ», затем ввести свой пароль и снова нажать кнопку «Ключ»).

Кроме того, данная флешка имеет степень защиты IP57 от воды и пыли (на удивление, Kingston об этом нигде не заявляет ни на упаковке, ни в характеристиках на официальном сайте).

Внутри DataTraveler 2000 находится литий-полимерный аккумулятор емкостью 40 мАч, и Kingston советует покупателям подключать накопитель к USB-порту как минимум на час, прежде чем использовать его, чтобы аккумулятор успел зарядиться.

Кстати, в одном из предыдущих материалов мы рассказали, что происходит с флешкой, заряжаемой от павербанка : Нет повода для беспокойства - флешка не активируется в зарядном устройстве, поскольку нет запросов к контроллеру со стороны системы.

Поэтому никто не украдет ваши данные посредством вторжения в беспроводную сеть.

2. Kingston DataTraveler Locker+ G3



Если говорить о модели Kingston DataTraveler Locker+ G3 — привлекает внимание возможностью настройки резервного копирования данных с флэшки в облачное хранилище Google, OneDrive, Amazon Cloud или Dropbox. Также предусмотрена синхронизация данных с этими сервисами.

Один из вопросов, который нам задают наши читатели: «А как взять зашифрованные данные из резервной копииЭ» Очень просто.

Дело в том, что при синхронизации с облаком информация расшифровывается, и защита резервной копии в облаке зависит от возможностей самого облака.

Поэтому подобные процедуры выполняются исключительно на усмотрение пользователя.

Без его разрешения никакие данные не будут загружены в облако.

3. Kingston DataTraveler Vault Privacy 3.0



Но устройства Kingston Конфиденциальность хранилища DataTraveler 3.0 Они также оснащены встроенным антивирусом Drive Security от ESET. Последний защищает данные от проникновения на USB-накопитель вирусов, шпионских программ, троянов, червей, руткитов, а подключения к чужим компьютерам, можно сказать, не боится.

Антивирус мгновенно предупредит владельца накопителя о потенциальных угрозах, если таковые будут обнаружены.

В этом случае пользователю не нужно самому устанавливать антивирусное ПО и платить за эту опцию.

ESET Drive Security предварительно установлен на флэш-накопителе с пятилетней лицензией.

Kingston DT Vault Privacy 3.0 разработан и ориентирован в первую очередь на ИТ-специалистов.

Он позволяет администраторам использовать его как отдельный диск или добавлять как часть решения централизованного управления, а также может использоваться для настройки или удаленного сброса паролей и настройки политик устройств.

Kingston даже добавила USB 3.0, который позволяет передавать защищенные данные намного быстрее, чем USB 2.0. В целом, DT Vault Privacy 3.0 — отличный вариант для корпоративного сектора и организаций, которым требуется максимальная защита своих данных.

Также можно рекомендовать всем пользователям, использующим компьютеры, расположенные в общедоступных сетях.

Для получения дополнительной информации о продукции Kingston свяжитесь с официальный сайт компании .

Теги: #Компьютерное оборудование #Хранение данных #Накопители #Настольные компьютеры #защита данных #технология Kingston #Флэш-накопитель Kingston #USB с шифрованием #зашифрованные флэш-накопители #зашифрованный диск

• Создание Системы Заявок На Основе Django

  19 Oct, 24

• Майтнер, Лизе

  19 Oct, 24

• Теперь Ии Классифицирует Рак Легких Не Хуже Специалистов Лабораторной Диагностики

  19 Oct, 24

• Номер Starstar - Просто Позвоните Или Альтернатива Qr-Коду

  19 Oct, 24

• Разработка Через Приемочное Тестирование (Atdd). Что Это Такое И С Чем Его Едят?

  19 Oct, 24

• Музыка Для Ваших Проектов: 12 Тематических Ресурсов С Треками Под Лицензией Creative Commons

  19 Oct, 24

• Некоторые Аспекты Отношений Firefox-Google.

  19 Oct, 24

• «Семь Уроков, Которые Я Усвоил В Mozilla», Дэвид Уолш

  19 Oct, 24

• Новости Из Страны Го, Или Что Нового В Goland 2018.1

  19 Oct, 24

• Экономика Ссылок. Ссылка На Экономику

  19 Oct, 24