像软件加密一样,AES硬件加密已经存在了很长时间,但是它究竟如何保护闪存驱动器上的敏感数据呢?谁对这些驱动器进行认证,这些认证可以信任吗?当您可以使用TrueCrypt或BitLocker等免费程序时,谁甚至需要这种“复杂”闪存驱动器。如您所见,注释中设置的主题确实引发了很多问题。让我们尝试找出答案。
硬件加密与软件加密有何不同?
对于闪存驱动器(以及HDD和SSD),使用位于设备印刷电路板上的特殊芯片来实施硬件数据加密。它具有一个内置的随机数生成器,可以生成加密密钥。输入用户密码后,数据将自动加密并立即解密。在这种情况下,几乎没有密码即可访问数据。
使用软件加密时,驱动器上的数据被外部软件“锁定”,这是硬件加密方法的低成本替代方案。这种软件的缺点可能是对常规更新的琐碎要求,以提供对不断改进的黑客技术的抵制。另外,计算机处理能力(而不是单独的硬件芯片)用于解密数据,实际上,PC的保护级别决定了驱动器的保护级别。
具有硬件加密功能的驱动器的主要功能是一个单独的加密处理器,该处理器的存在告诉我们,加密密钥永远不会离开USB驱动器,而软件密钥则可以暂时存储在计算机的RAM或硬盘驱动器中。而且,由于软件加密使用PC的内存来存储登录尝试的次数,因此它无法阻止对密码或密钥的暴力攻击。攻击者可以不断重置登录尝试的计数器,直到自动密码破解程序找到所需的组合为止。
顺便说一下...,在对“金士顿DataTraveler:新一代安全闪存驱动器”的评论中用户还指出,例如,TrueCrypt具有便携式操作模式。但是,这并不是一个很大的优势。事实是,在这种情况下,加密程序存储在闪存驱动器的内存中,这使其更容易受到攻击。
结果,软件方法无法提供与AES加密相同的高级别安全性。而是基本保护。另一方面,重要数据的软件加密仍然比根本没有加密要好。这个事实使我们能够清楚地区分这两种加密方式:闪存驱动器的硬件加密是必需的,而对于公司部门而言(例如,当公司员工使用在工作中发布的驱动器时);而软件更适合用户需求。
但是,金士顿将其驱动器模型(例如IronKey S1000)分为基本(基本)和企业(企业)版本。在功能和保护属性方面,它们几乎彼此相同,但是企业版提供了使用SafeConsole / IronKey EMS软件管理驱动器的能力。借助此软件,该驱动器可与云服务器或本地服务器一起使用,以远程实施密码保护和访问策略。这使用户能够恢复丢失的密码,并且管理员可以将不再使用的驱动器切换到新任务。
金士顿AES闪存驱动器如何工作?
金士顿对其所有安全驱动器使用AES-XTS 256位硬件加密(使用可选的全长密钥)。如上所述,闪存驱动器在其组件库中包含一个单独的芯片,用于加密和解密数据,该芯片充当持续活动的随机数生成器。
首次将设备连接到USB端口时,初始化设置向导会提示您设置主密码以访问设备。激活驱动器后,加密算法将根据用户偏好自动开始工作。
同时,对于用户而言,闪存驱动器的工作原理将保持不变-与使用常规USB闪存驱动器一样,他仍将能够下载文件并将文件放置在设备的内存中。唯一的区别是,将闪存驱动器连接到新计算机时,需要输入设置的密码才能访问您的信息。
为什么以及谁需要具有硬件加密功能的闪存驱动器?
对于敏感数据是业务组成部分的组织(无论是金融,医疗还是政府机构),加密是最可靠的保护手段。在这方面,支持256位AES硬件加密的闪存驱动器是一种可扩展的解决方案,可用于任何公司:从个人和小型企业到大型公司,以及军事和政府组织。更具体地说,必须使用加密的USB驱动器:
- 确保公司机密数据的安全
- 保护客户信息
- 保护公司免受利润损失和客户忠诚度的影响
值得注意的是,一些坚固的闪存驱动器制造商(包括金士顿)为企业提供了针对客户需求和挑战量身定制的定制解决方案。但是批量生产线(包括DataTraveler闪存驱动器)在其任务上做得很好,并且能够提供企业级的安全性。
1.确保公司机密数据的安全
2017年,一名伦敦人在其中一个公园中发现了一个USB驱动器,其中包含有关希思罗机场安全的未保护信息,包括安全摄像机的位置以及高级官员到达时采取的保护措施的详细信息。此外,闪存驱动器还包含通行证和进入机场禁区的密码。
分析人士说,造成这种情况的原因是公司员工的网络素养,他们可以通过自己的疏忽“泄漏”机密信息。具有硬件加密的闪存驱动器部分解决了此问题,因为如果丢失了这样的驱动器,那么如果没有同一安全员的主密码,您将无法访问其上的数据。无论如何,这并不否认这样的事实,即即使涉及加密设备,也需要培训员工处理闪存驱动器。
2.保护客户信息
对于任何组织而言,更重要的是要照顾客户数据,这些数据不应该遭受泄露的风险。顺便说一下,正是这些信息最经常在各个业务部门之间传递,并且通常是机密的:例如,它可能包含有关金融交易,病史等的数据。
3.防止利润损失和客户忠诚度的保护
使用硬件加密的USB设备可以帮助防止对组织的破坏。违反个人数据保护法的公司将面临巨额罚款。因此,需要提出的问题是,如果没有足够的保护就值得冒共享信息的风险吗?
即使不考虑财务影响,花费在修复出现的安全错误上的时间和资源也同样重要。此外,如果数据泄露损害了客户数据,则公司会冒品牌忠诚度的风险,特别是在存在竞争对手提供类似产品或服务的市场中。
当使用带有硬件加密的闪存驱动器时,谁能保证制造商没有“书签”?
在我们提出的主题中,这个问题可能是主要问题之一。在有关金士顿DataTraveler驱动器的文章评论中,我们遇到了另一个有趣的问题:“您的设备是否经过第三方独立专家的审核?”嗯...这是合乎逻辑的兴趣:用户希望确保我们的USB驱动器没有常见的错误,例如弱加密或绕过密码输入的功能。在本文的这一部分中,我们将告诉您金士顿驱动器在成为真正安全的闪存驱动器之前要经历哪些认证程序。
谁保证可靠性?他们说,我们似乎可以说,“金斯敦已经产生了-他保证。” 但是在这种情况下,这样的说法将是不正确的,因为制造商是有利益关系的一方。因此,所有产品均由第三方进行独立测试来测试。具体而言,金士顿硬件加密驱动器(不包括DTLPG3)是加密模块验证程序(CMVP)的成员,并已通过联邦信息处理标准(FIPS)的认证。此外,驱动器还通过了GLBA,HIPPA,HITECH,PCI和GTSA标准的认证。
1.密码模块验证程序
CMVP是美国商务部下属的美国国家标准技术研究院和加拿大网络安全中心的联合项目。该项目的目标是刺激对经过验证的加密设备的需求,并向用于设备采购的联邦机构和受监管行业(例如金融和医疗机构)提供安全度量。
设备的检查是否符合一组密码和安全性要求,这是由独立实验室针对NVLAP(国家自愿实验室认证计划/“国家自愿实验室认证计划”)认可的密码和安全测试进行的。此外,还要检查每个实验室报告是否符合联邦信息处理标准(FIPS)140-2,并由CMVP确认。
美国和加拿大联邦机构建议在2026年9月22日之前使用已确认符合FIPS 140-2标准的模块。之后,尽管它们仍然可以使用,但它们将包含在存档列表中。2020年9月22日,根据FIPS 140-3标准的验证申请接受结束。验证之后,设备将被移至“活动的受信任设备”和“受信任的设备”列表中五年。如果加密设备无法通过验证,则不建议在美国和加拿大政府机构中使用该加密设备。
2. FIPS认证的安全要求是什么?
即使从未经认证的加密磁盘中窃取数据也是很困难的,而且不是在少数人的能力之内,因此,当选择带有认证的家用消费类驱动器时,您不必费心。在公司部门,情况有所不同:在选择安全的USB驱动器时,公司通常会重视FIPS认证级别。但是,并不是每个人都清楚这些级别的含义。
当前的FIPS 140-2标准定义了闪存驱动器可以满足的四个不同级别的安全性。第一层提供了中等程度的安全功能。第四层意味着对设备自卫的严格要求。第2级和第3级提供了这些要求的等级,并形成了一种中庸之道。
- : USB-, , .
- : , , - .
- : «» . . : , .
- 第四级安全性:最高级别,这意味着完全保护加密模块,从而确保最大的检测可能性,并阻止未授权用户的任何未授权访问尝试。已获得4级证书的闪存驱动器除其他外还包括不允许通过更改电压和环境温度进行黑客攻击的保护选项。
以下金士顿驱动器已通过FIPS 140-2 3级认证:DataTraveler DT2000,DataTraveler DT4000G2,IronKey S1000,IronKey D300。这些驱动器的关键功能是能够响应尝试渗透:如果密码输入错误10次,驱动器上的数据将被破坏。
除了加密外,金士顿闪存驱动器还能做什么?
当涉及到完整的数据安全性时,连同闪存驱动器的硬件加密,内置的防病毒软件,针对外部影响的保护,与个人云和其他芯片的同步都可以挽救,我们将在下面讨论。具有软件加密功能的闪存驱动器没有太大区别。细节决定成败。这是那些。
1.Kingston DataTraveler 2000
例如,以Kingston DataTraveler 2000 USB记忆棒为例。...这是具有硬件加密功能的闪存驱动器之一,但同时也是唯一一个在外壳上带有自己的物理键盘的闪存驱动器。此11键键盘使DT2000完全独立于主机系统(要使用DataTraveler 2000,必须按“键”按钮,然后输入密码,然后再次按“键”按钮)。此外,该闪存驱动器具有IP57防水防尘等级(令人惊讶的是,金士顿在包装上或官方网站的规格中均未声明此位置)。
DataTraveler 2000的内部装有锂聚合物电池(容量为40mAh),金斯敦建议客户在使用驱动器之前将驱动器插入USB端口至少一个小时,以便电池可以充电。顺便说一句,在过去的材料之一我们讨论了从移动电源充电的闪存驱动器会发生什么:没有理由担心-闪存驱动器未在充电器中激活,因为系统没有向控制器发出请求。因此,没有人会通过无线入侵来窃取您的数据。
2.金士顿DataTraveler Locker + G3
如果谈论金士顿DataTraveler Locker + G3模型,它可以配置从闪存驱动器到Google云存储,OneDrive,Amazon Cloud或Dropbox的数据备份而引起了人们的注意。还提供了与这些服务的数据同步。
读者问我们的问题之一是:“我们如何从备份中获取加密的数据?”很简单。事实是,当与云同步时,信息将被解密,而云上备份的保护取决于云本身的功能。因此,仅由用户自行决定执行此类过程。未经他的许可,将没有数据上传到云。
3.金士顿DataTraveler Vault Privacy 3.0
但金士顿DataTraveler Vault Privacy 3.0设备还带有ESET的内置驱动器安全性。后者可以保护数据免受病毒,间谍软件,特洛伊木马,蠕虫,rootkit的侵害,防止USB驱动器受到入侵,并且可以说,它不怕连接到其他人的计算机。防病毒软件会立即警告驱动器的所有者有关潜在威胁的信息(如果有)。在这种情况下,用户不需要自己安装防病毒软件,而无需为此付费。 ESET Drive Security已预安装在具有五年许可证的闪存驱动器上。
金士顿DT Vault Privacy 3.0是专门针对IT专业人员设计的。它使管理员可以将其用作独立存储设备或将其添加为集中式管理解决方案的一部分,还可以用于配置或远程重置密码以及配置设备策略。金士顿甚至还增加了USB 3.0,它可以比USB 2.0更快地传输安全数据。
总体而言,DT Vault隐私3.0是需要对其数据提供最大保护的企业部门和组织的绝佳选择。也可以将其推荐给在公用网络上使用计算机的所有用户。
有关金士顿产品的更多信息,请访问公司的官方网站...