company_banner

Зачем нужны флешки с аппаратным шифрованием?

    Привет, Хабр! В комментариях к одному из наших материалов про флеш-накопители читатели задали интересный вопрос: “Зачем нужна флешка с аппаратным шифрованием, когда есть TrueCrypt?”, – и даже высказали некоторые опасения по части того “Как можно убедиться, что в софте и хардварной части накопителя Kingston нет закладок?”. Мы емко ответили на эти вопросы, но затем решили, что тема заслуживает фундаментального разбора. Этим и займемся в данном посте.



    Аппаратное шифрование AES, как и программное, существует уже давно, но как конкретно оно защищает важные данные на флеш-накопителях? Кто сертифицирует подобные накопители, и можно ли этим сертификациям доверять? Кому вообще нужны такие “сложные” флешки, если можно пользоваться бесплатными программами типа TrueCrypt или BitLocker. Как видите, заданная в комментариях тема порождает действительно много вопросов. Давайте попробуем со всем этим разобраться.

    Чем аппаратное шифрование отличается от программного?


    В случае с флеш-накопителями (а также HDD и SSD) для осуществления аппаратного шифрования данных используется специальный чип, расположенный на печатной плате устройства. В него встроен генератор случайных чисел, который создает ключи шифрования. Данные шифруются автоматически и мгновенно дешифруются при вводе пользовательского пароля. В этом сценарии получить доступ к данным без пароля практически невозможно.

    При использовании программного шифрования “блокировка” данных на накопителе обеспечивается внешним программным обеспечением, которое выступает в роли бюджетной альтернативы аппаратным методам шифрования. Недостатки такого ПО могут заключаться в банальном требовании регулярных обновлений, чтобы предлагать устойчивость к постоянно улучшающимся методикам взлома. К тому же для дешифровки данных используются мощности компьютерного процесса (а не отдельного аппаратного чипа), и, по сути, уровень защиты ПК определяет уровень защиты накопителя.

    Главная же особенность накопителей с аппаратным шифрованием заключается в отдельном криптографическом процессоре, наличие которого говорит нам о том, что ключи шифрования никогда не покидают USB-накопитель, в отличие от программных ключей, которые могут временно храниться в оперативной памяти компьютера или на жестком диске. А поскольку программное шифрование использует память ПК для хранения количества попыток входа в систему, оно не может остановить атаки грубой силы на пароль или ключ. Счетчик попыток входа может постоянно сбрасываться злоумышленником до тех пор, пока программа автоматического взлома паролей не найдет нужную комбинацию.

    Кстати…, в комментариях к статье “Kingston DataTraveler: новое поколение защищенных флешек” пользователи также отметили, что, например, у программы TrueCrypt есть портативный режим работы. Однако это не является большим преимуществом. Дело в том, что в этом случае программа шифрования хранится в памяти флеш-накопителя, и это делает ее более уязвимой для атак.

    Как итог: программный подход не обеспечивает настолько же высокий уровень безопасности, как AES-шифрование. Это, скорее, базовая защита. С другой стороны – программное шифрование важных данных все же лучше, чем вообще отсутствие шифрования. И этот факт позволяет нам четко разграничить эти типы криптографии: аппаратное шифрование флеш-накопителей – необходимость, скорее, для корпоративного сектора (например, когда сотрудники компании пользуются накопителями, выданными на работе); а программное – больше подходит для пользовательских нужд.



    Тем не менее, Kingston разделяет свои модели накопителей (например, IronKey S1000) на версии Basic (базовые) и Enterprise (корпоративные). По функциональности и свойствам защиты они практически идентичны друг другу, но корпоративная версия предлагает возможность управления накопителем с помощью ПО SafeConsole/IronKey EMS. Благодаря этому программному обеспечению, накопитель работает либо с облачными, либо с локальными серверами для дистанционного осуществления политик парольной защиты и доступа. Пользователям при этом предоставляются возможности восстановления потерянных паролей, а администраторам – переключения больше не используемых накопителей на новые задачи.

    Как работают флешки Kingston с AES-шифрованием?


    Kingston использует 256-битное аппаратное шифрование AES-XTS (с использованием дополнительного полноразмерного ключа) для всех своих безопасных накопителей. Как мы уже отметили выше, флешки содержат в своей компонентной базе отдельный чип для шифровки и дешифровки данных, который выступает в роли постоянно активного генератора случайных чисел.

    Когда вы подключаете устройство к USB-порту в первый раз, мастер настройки инициализации предлагает вам задать мастер-пароль для доступа к устройству. После активации накопителя алгоритмы шифрования автоматически начнут свою работу в соответствии с пользовательскими предпочтениями.

    При этом для пользователя принцип работы флеш-накопителя останется неизменным – он по-прежнему сможет скачивать и размещать файлы в памяти устройства, как при работе с обычной USB-флешкой. Единственное отличие заключается в том, что при подключении флешки к новому компьютеру вам потребуется вводить установленный пароль для получения доступа к своей информации.

    Зачем и кому нужны флешки с аппаратным шифрованием?


    Для организаций, в которых конфиденциальные данные являются частью бизнеса, (будь то финансовые, медицинские или государственные учреждения), шифрование является наиболее надежным средством защиты. В этом плане флеш-накопители с поддержкой 256-битного аппаратного шифрования AES – масштабируемое решение, которое может использоваться любыми компаниями: от частных лиц и малых предприятий до крупных корпораций, а также военных и правительственных организаций. Если рассматривать этот вопрос немного конкретнее, использование зашифрованных USB-накопителей необходимо:

    • Для обеспечения безопасности конфиденциальных данных компании
    • Для защиты информации о клиентах
    • Для защиты компаний от потери прибыли и лояльности клиентов

    Стоит отметить, что некоторые производители защищенных флеш-накопителей (в числе которых и компания Kingston) предоставляют для корпораций индивидуальные решения, разработанные под потребности и задачи заказчиков. Но и массовые линейки (в числе которых флешки DataTraveler) отлично справляются со своими задачами и способны обеспечить корпоративный класс безопасности.



    1. Обеспечение безопасности конфиденциальных данных компании


    В 2017 году житель Лондона обнаружил в одном из парков USB-накопитель, на котором содержалась незапароленная информация, касающаяся безопасности аэропорта Хитроу, включая расположение камер наблюдения, подробную информацию о мерах защиты в случае прилета высокопоставленных лиц. Также на флешке содержались данные электронных пропусков и коды доступа в закрытые зоны аэропорта.

    Аналитики называют причиной подобных ситуаций кибернеграмотность сотрудников компаний, которые могут “слить” секретные данные по собственной халатности. Флеш-накопители с аппаратным шифрованием отчасти решают эту проблему, ведь в случае утери такого накопителя — получить доступ к данным на ней без мастер-пароля того же сотрудника службы безопасности не получится. В любом случае это не отменяет того, что сотрудников надо обучать обращению с флешками, даже если речь идет об устройствах, защищенных шифрованием.

    2. Защита информации о клиентах


    Еще более важной задачей для любой организации является забота о клиентских данных, которые не должны подвергаться рискам компрометации. К слову, именно эта информация наиболее часто передается между различными секторами бизнеса и, как правило, носит конфиденциальный характер: например, она может содержать данные о финансовых операциях, историю болезни и т.п.

    3. Защита от потери прибыли и лояльности клиентов


    Использование USB-устройств с аппаратным шифрованием может помочь предотвратить разрушительные последствия для организаций. Компании, нарушающие закон о защите персональных данных, могут быть оштрафованы на крупные суммы. Следовательно, необходимо задать вопрос о том, стоит ли идти на риск обмена информацией без надлежащей защиты?

    Даже если не принимать во внимание финансовые последствия, количество времени и ресурсов, затрачиваемых на исправление возникших ошибок в безопасности, может быть столь же значительным. Кроме того, если утечка данных скомпрометировала данные о клиентах, компания рискует лояльным отношением к бренду, особенно на рынках, где есть конкуренты, предлагающие аналогичный продукт или услугу.

    Кто гарантирует отсутствие “закладок” от производителя при использовании флешек с аппаратным шифрованием?


    В поднятой нами теме этот вопрос, пожалуй, один из главных. Среди комментариев к статье про накопители Kingston DataTraveler нам попался еще один интересный вопрос: “Есть ли у ваших устройств аудит от сторонних независимых специалистов?”. Что ж…, вполне логичный интерес: пользователи хотят убедиться, что в наших USB-накопителях нет распространенных ошибок, вроде слабого шифрования или возможности обхода ввода пароля. И в этой части статьи мы расскажем о том, какие процедуры сертификации проходят накопители Kingston, прежде чем получить статус действительно безопасных флешек.

    Кто же гарантирует надежность? Казалось бы, мы вполне могли бы сказать, что, мол, “Kingston произвел — он и гарантирует”. Но в данном случае подобное заявление будет неверным, так как производитель выступает заинтересованной стороной. Поэтому все продукты проходят проверку третьим лицом с независимой экспертизой. В частности, накопителем Kingston с аппаратным шифрованием (за исключением DTLPG3) являются участниками программы валидации криптографических модулей (Cryptographic Module Validation Program или CMVP) и сертифицированы по федеральному стандарту обработки информации (Federal Information Processing Standard или FIPS). Также накопители сертифицируются по стандартам GLBA, HIPPA, HITECH, PCI и GTSA.



    1. Программа валидации криптографических модулей


    Программа CMVP – совместный проект Национального института стандартов и технологий при Министерстве торговли США и Канадского центра кибербезопасности. Целью проекта является стимуляция спроса на проверенные криптографические устройства и предоставление показателей безопасности федеральным ведомствам и регулируемым отраслям (таким как финансовые и медицинские учреждения), которые используются при закупке оборудования.

    Проверки устройств на соответствие набору криптографических требований и требований безопасности проводятся независимыми лабораториями криптографии и тестирования безопасности, аккредитованными NVLAP (National Voluntary Laboratory Accreditation Program / “Национальная программа добровольной аккредитации лабораторий”). При этом каждое лабораторное заключение проверяется на соответствие Федеральному стандарту обработки информации (FIPS) 140-2 и подтверждается CMVP.

    Модули, подтвержденные как соответствующие стандарту FIPS 140-2, рекомендуются к использованию федеральными ведомствами США и Канады до 22 сентября 2026 года. После этого они попадут в архивный список, хоть и по-прежнему смогут использоваться. 22 сентября 2020 года закончился прием заявок на валидацию по стандарту FIPS 140-3. После прохождения проверок устройства будут на пять лет перемещены в активный список проверенных и надежных устройств. Если криптографическое устройство не проходит проверку – его использование в государственных учреждениях США и Канады не рекомендуется.

    2. Какие требования безопасности выдвигает сертификация FIPS?


    Взломать данные даже с несертифицированного зашифрованного диска сложно и под силу немногим, поэтому при выборе потребительского накопителя для домашнего использования с наличием сертификации можно и не заморачиваться. В корпоративном же секторе ситуация обстоит иначе: выбирая защищенные USB-накопители, компании часто придают значение уровням сертификации FIPS. Однако не все имеют четкое представление о том, что эти уровни означают.

    Текущий стандарт FIPS 140-2 определяет четыре различных уровня безопасности, которым могут соответствовать флеш-накопители. Первый уровень обеспечивает умеренный набор функций безопасности. Четвертый уровень – подразумевает строгие требованиями к самозащите устройств. Уровни два и три обеспечивают градацию этих требований и образуют некую золотую середину.

    1. Первый уровень безопасности: для USB-накопителей, сертифицированных на первом уровне, предполагается использование хотя бы одного алгоритма шифрования или же иной функции обеспечения безопасности.
    2. Второй уровень безопасности: здесь от накопителя требуется не только обеспечение криптографической защиты, но и фиксация несанкционированных вторжений на микропрограммном уровне, если кто-то попытается открыть накопитель.
    3. Третий уровень безопасности: предусматривает предотвращение взломов посредством уничтожения «ключей» шифрования. То есть требуется наличие ответной реакции на попытки проникновения. Также третий уровень гарантирует более высокий уровень защиты от электромагнитных помех: то есть считать данные с флешки, используя беспроводные устройства взлома не получится.
    4. Четвертый уровень безопасности: самый высокий уровень, который предполагает полную защиту криптографического модуля, которая обеспечивает максимальную вероятность обнаружения и противодействия на любые попытки несанкционированного доступа со стороны постороннего пользователя. Флешки, получившие сертификат четвертого уровня включают в себя в том числе и такие опции защиты, которые не позволяют произвести хакинг посредством изменения напряжения и температуры окружающей среды.

    По стандарту FIPS 140-2 третьего уровня сертифицированы следующие накопители Kingston: DataTraveler DT2000, DataTraveler DT4000G2, IronKey S1000, IronKey D300. Ключевая особенность этих накопителей в умении давать ответную реакцию на попытку проникновения: при 10-кратном неверном вводе пассворда, данные на накопителе будут уничтожены.

    Что еще умеют флешки Kingston, помимо шифрования?


    Когда речь заходит о полной безопасности данных, наравне с аппаратным шифрование флеш-накопителей на выручку приходят встроенные антивирусы, защита от внешних воздействий, синхронизация с персональными облаками и прочие фишки, о которых мы поговорим ниже. Какой-то великой разницы во флешках с программным шифрованием нет. “Дьявол” кроется в деталях. И вот в каких.

    1. Kingston DataTraveler 2000



    Возьмем, к примеру, USB-накопитель Kingston DataTraveler 2000. Это одна из флешек с аппаратным шифрованием, но при этом единственная с собственной физической клавиатурой на корпусе. Эта 11-кнопочная клавиатура делает DT2000 полностью независимой от хост-систем (чтобы использовать DataTraveler 2000, вы должны нажать кнопку «Ключ», затем ввести свой пароль и снова нажать кнопку «Ключ»). К тому же данная флешка обладает степенью защиты IP57 от воды и пыли (к удивлению, Kingston нигде не заявляет об этом ни на упаковке, ни в характеристиках на официальном сайте).

    Внутри DataTraveler 2000 есть литий-полимерный аккумулятор (емкостью 40 мАч), и Kingston советует покупателям подключить накопитель к USB-порту как минимум на час, прежде чем начать его использовать, чтобы батарея могла зарядиться. Кстати, в одном из прошлых материалов мы рассказывали, что происходит с флешкой, которая заряжается от пауэрбанка: поводов для волнений нет – в зарядном устройстве флешка не активируется, потому что отсутствуют запросы к контроллеру системой. Поэтому никто не украдет ваши данные посредством беспроводных вторжений.

    2. Kingston DataTraveler Locker+ G3



    Если говорить о модели Kingston DataTraveler Locker+ G3 – она привлекает внимание возможностью настройки резервного копирования данных с флешки в облачное хранилище Google, OneDrive, Amazon Cloud или Dropbox. Синхронизация данных с этими сервисами тоже предусмотрена.

    Один из вопросов, который нам задают читатели, звучит так: “А как же забирать зашифрованные данные из бекапа?”. Очень просто. Дело в том, что при синхронизации с облаком информация дешифруется, а защита бекапа на облаке зависит от возможностей самого облака. Поэтому подобные процедуры производятся исключительно на усмотрение пользователя. Без его разрешения никакой выгрузки данных в облако не будет.

    3. Kingston DataTraveler Vault Privacy 3.0



    А вот устройства Kingston DataTraveler Vault Privacy 3.0 поставляются еще и со встроенным антивирусом Drive Security от компании ESET. Последний защищает данные от вторжения на USB-накопитель вирусов, шпионских программ, троянов, «червей», руткитов, и подключения к чужим компьютерам, можно сказать, не боится. Антивирус мгновенно предупредит владельца накопителя о потенциальных угрозах, если таковые обнаружатся. При этом пользователю не нужно устанавливать антивирусное ПО самостоятельно и оплачивать эту опцию. ESET Drive Security предварительно установлен на флеш-накопитель с лицензией на пять лет.

    Kingston DT Vault Privacy 3.0 разработан и ориентирован в основном на ИТ-специалистов. Он позволяет администраторам использовать его как автономный накопитель или добавлять, как часть решения для централизованного управления, а также может использоваться для настройки или удаленного сброса паролей и настройки политик устройств. Kingston даже добавил USB 3.0, который позволяет передавать защищенные данные намного быстрее, чем по USB 2.0.

    В целом DT Vault Privacy 3.0 – отличный вариант для корпоративного сектора и организаций, которым требуется максимальная защита своих данных. А еще его можно рекомендовать всем пользователям, которые используют компьютеры, находящиеся в общедоступных сетях.

    Для получения дополнительной информации о продукции Kingston обращайтесь на официальный сайт компании.
    Kingston Technology
    Компания

    Комментарии 7

      +2
      Это не в ваших флэшках вся защита сводилась к одному аппаратному сигналу с микроконтроллера, установив который насильно, можно было получить чистые данные без всяких паролей?
        +6
        Недостатки такого ПО могут заключаться в банальном требовании регулярных обновлений, чтобы предлагать устойчивость к постоянно улучшающимся методикам взлома
        А может быть это не недостаток? Потому как аппаратный алгоритм флешки вряд ли получится обновить, а вдруг там баг позволяющий обходить шифрование?
          +4
          После вот этого поделия от Kingston покупать у Вас «защищенные» флэшки просто смешно.
            0
            флешка с клавой на корпусе это, конечно, прикольно
              +2

              Мда, ожидал каких-то технических подробностей реализации защит, а вместо этого — «внутри специальный чип».
              Ещё бросилось в глаза: DataTraveler 2000 внешне — полная копия старого Apricorn Aegis (который ещё USB 2.0), это аутсорс? В таком случае будет понятно отсутствие деталей реализации.

                +2
                Как обстоят дела с возможностью использования этих защищенных флешек на не Wintel-платформах (пингвины, яблоко, ARMы со товарищи)?
                  +2

                  Главная особенность аппаратного шифрования в том, что:
                  а) Оно шифрует xor'ом от слова kingstone.
                  б) шифрует первые 128 байт.
                  в) автоматически расшифровывает всё при подключении к USB hub'у у которого в id есть слово decrypt.


                  И всё это является истиной пока не будет доказано открытыми исходниками прошивки с возможностью собрать и загрузить её в оконечные устройства.

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое