A criptografia de hardware AES existe há muito tempo, assim como a criptografia de software, mas como exatamente ela protege dados confidenciais em drives flash? Quem certifica essas unidades e essas certificações são confiáveis? Quem precisa mesmo dessas unidades flash "complexas" quando pode usar programas gratuitos como TrueCrypt ou BitLocker. Como você pode ver, o tópico definido nos comentários realmente levanta muitas questões. Vamos tentar descobrir.
Como a criptografia de hardware difere da criptografia de software?
No caso de drives flash (bem como HDD e SSD), um chip especial localizado na placa de circuito impresso do dispositivo é usado para implementar a criptografia de dados de hardware. Ele possui um gerador de números aleatórios integrado que gera chaves de criptografia. Os dados são criptografados automaticamente e descriptografados instantaneamente quando uma senha de usuário é inserida. Nesse cenário, acessar dados sem uma senha é quase impossível.
Ao usar criptografia de software, os dados na unidade são “bloqueados” por software externo, que atua como uma alternativa de baixo custo aos métodos de criptografia de hardware. As desvantagens de tal software podem ser o requisito trivial de atualizações regulares para oferecer resistência às técnicas de hacking cada vez melhores. Além disso, o poder do processo do computador (e não um chip de hardware separado) é usado para descriptografar dados e, de fato, o nível de proteção do PC determina o nível de proteção da unidade.
A principal característica das unidades com criptografia de hardware é um processador criptográfico separado, cuja presença nos diz que as chaves de criptografia nunca saem de uma unidade USB, ao contrário das chaves de software, que podem ser temporariamente armazenadas na RAM do computador ou em um disco rígido. E como a criptografia de software usa a memória do PC para armazenar o número de tentativas de login, ela não pode impedir ataques de força bruta à senha ou chave. O contador de tentativas de login pode ser constantemente reiniciado por um invasor até que o programa de quebra automática de senha encontre a combinação desejada.
A propósito ..., nos comentários ao artigo “ Kingston DataTraveler: uma nova geração de drives flash seguros”Os usuários também notaram que, por exemplo, TrueCrypt tem um modo portátil de operação. No entanto, essa não é uma grande vantagem. O fato é que neste caso o programa de criptografia fica armazenado na memória do pen drive, o que o torna mais vulnerável a ataques.
Como resultado, a abordagem do software não oferece o mesmo alto nível de segurança que a criptografia AES. Em vez disso, é proteção básica. Por outro lado, a criptografia de dados importantes por software ainda é melhor do que nenhuma criptografia. E este fato nos permite distinguir claramente entre esses tipos de criptografia: a criptografia de hardware de drives flash é uma necessidade, ao invés, para o setor corporativo (por exemplo, quando os funcionários da empresa usam drives emitidos no trabalho); enquanto o software é mais adequado para as necessidades do usuário.
No entanto, a Kingston divide seus modelos de unidade (como o IronKey S1000) nas versões Basic (base) e Enterprise (enterprise). Em termos de funcionalidade e propriedades de proteção, eles são quase idênticos entre si, mas a versão corporativa oferece a capacidade de gerenciar a unidade usando o software SafeConsole / IronKey EMS. Graças a este software, a unidade funciona com servidores em nuvem ou locais para aplicar remotamente a proteção por senha e políticas de acesso. Isso fornece aos usuários a capacidade de recuperar senhas perdidas e administradores - troque as unidades que não são mais usadas para novas tarefas.
Como funcionam as unidades Flash AES da Kingston?
A Kingston usa criptografia de hardware AES-XTS de 256 bits (usando uma chave opcional de comprimento total) para todas as suas unidades seguras. Como observamos acima, os flash drives contêm em sua base de componentes um chip separado para criptografar e descriptografar dados, que atua como um gerador de números aleatórios constantemente ativo.
Quando você conecta um dispositivo à porta USB pela primeira vez, o Initialization Setup Wizard solicita que você defina uma senha mestra para acessar o dispositivo. Depois de ativar a unidade, os algoritmos de criptografia começarão a funcionar automaticamente de acordo com as preferências do usuário.
Ao mesmo tempo, para o usuário, o princípio de funcionamento de um pen drive permanecerá inalterado - ele ainda poderá baixar e colocar arquivos na memória do aparelho, como se estivesse trabalhando com um pen drive normal. A única diferença é que, ao conectar uma unidade flash a um novo computador, você precisará inserir a senha definida para obter acesso às suas informações.
Por que e quem precisa de drives flash com criptografia de hardware?
Para organizações nas quais os dados confidenciais fazem parte do negócio, sejam agências financeiras, médicas ou governamentais, a criptografia é o meio mais confiável de proteção. Nesse sentido, os flash drives com suporte para criptografia de hardware AES de 256 bits são uma solução escalonável que pode ser usada por qualquer empresa, desde indivíduos e pequenas empresas a grandes corporações, bem como organizações militares e governamentais. Para ser um pouco mais específico, é necessário usar unidades USB criptografadas:
- Para garantir a segurança dos dados confidenciais da empresa
- Para proteger as informações do cliente
- Para proteger as empresas de perda de lucros e fidelidade do cliente
É importante notar que alguns fabricantes de drives flash robustos (incluindo a Kingston) fornecem às empresas soluções personalizadas adaptadas às necessidades e desafios dos clientes. Mas as linhas de massa (incluindo drives flash DataTraveler) fazem um excelente trabalho em suas tarefas e são capazes de fornecer segurança de classe corporativa.
1. Garantir a segurança dos dados confidenciais da empresa
Em 2017, um londrino descobriu um pen drive em um dos parques, que continha informações desprotegidas sobre a segurança do aeroporto de Heathrow, incluindo a localização de câmeras de vigilância, informações detalhadas sobre medidas de proteção em caso de chegada de altos funcionários. O pen drive também continha os dados dos passes eletrônicos e códigos de acesso às áreas fechadas do aeroporto.
Analistas dizem que a razão para tais situações é a alfabetização cibernética dos funcionários da empresa, que podem “vazar” informações classificadas por sua própria negligência. As unidades flash com criptografia de hardware resolvem parcialmente esse problema, porque se você perder essa unidade, não será capaz de acessar os dados nela sem a senha mestra do mesmo oficial de segurança. Em qualquer caso, isso não nega o fato de que os funcionários precisam ser treinados para lidar com flash drives, mesmo quando se trata de dispositivos criptografados.
2. Proteção das informações do cliente
Ainda mais importante para qualquer organização é cuidar dos dados do cliente, que não devem ser expostos ao risco de comprometimento. Aliás, são essas informações que mais frequentemente são transmitidas entre diferentes setores de negócios e, via de regra, são confidenciais: por exemplo, podem conter dados sobre transações financeiras, histórico médico, etc.
3. Proteção contra lucros cessantes e fidelidade do cliente
O uso de dispositivos USB criptografados por hardware pode ajudar a evitar interrupções nas organizações. As empresas que violam as leis de proteção de dados pessoais podem enfrentar multas pesadas. A questão, portanto, precisa ser feita é se vale a pena correr o risco de compartilhar informações sem proteção adequada.
Mesmo desconsiderando as implicações financeiras, a quantidade de tempo e recursos gastos na correção de bugs de segurança que surgem podem ser igualmente significativos. Além disso, se uma violação de dados comprometer os dados do cliente, a empresa corre o risco de lealdade à marca, especialmente em mercados onde há concorrentes oferecendo um produto ou serviço semelhante.
Quem garante a ausência de "favoritos" do fabricante ao usar pen drives com criptografia de hardware?
No tópico que levantamos, esta questão é talvez uma das principais. Entre os comentários ao artigo sobre as unidades Kingston DataTraveler, nos deparamos com outra pergunta interessante: "Seus dispositivos são auditados por especialistas independentes terceirizados?" Bem ... é um interesse lógico: os usuários querem ter certeza de que nossas unidades USB estão livres de bugs comuns, como criptografia fraca ou capacidade de ignorar a entrada de senha. E nesta parte do artigo, vamos contar a você quais procedimentos de certificação as unidades Kingston passam antes de se tornarem unidades flash realmente seguras.
Quem garante confiabilidade? Parece que poderíamos muito bem dizer que, eles dizem, "Kingston produziu - ele garante." Mas, neste caso, tal afirmação estará incorreta, uma vez que o fabricante é parte interessada. Portanto, todos os produtos são testados por terceiros com um exame independente. Especificamente, as unidades criptografadas por hardware da Kingston (excluindo DTLPG3) são membros do Cryptographic Module Validation Program (CMVP) e são certificadas pelo Federal Information Processing Standard (FIPS). Também os drives são certificados de acordo com os padrões GLBA, HIPPA, HITECH, PCI e GTSA.
1. Programa de validação de módulos criptográficos
CMVP é um projeto conjunto do Instituto Nacional de Padrões e Tecnologia do Departamento de Comércio dos Estados Unidos e do Centro Canadense de Segurança Cibernética. O objetivo do projeto é estimular a demanda por dispositivos criptográficos verificados e fornecer métricas de segurança para agências federais e setores regulamentados (como instituições financeiras e médicas) que são usados na aquisição de equipamentos.
As verificações dos dispositivos quanto à conformidade com um conjunto de requisitos criptográficos e de segurança são realizadas por laboratórios independentes para criptografia e testes de segurança, credenciados pelo NVLAP (National Voluntary Laboratory Accreditation Program / "National Voluntary Laboratory Accreditation Program"). Além disso, cada relatório de laboratório é verificado quanto à conformidade com o Federal Information Processing Standard (FIPS) 140-2 e confirmado pelo CMVP.
Módulos confirmados em conformidade com FIPS 140-2 são recomendados para uso pelas agências federais dos EUA e do Canadá até 22 de setembro de 2026. Depois disso, eles serão incluídos na lista de arquivos, embora ainda possam ser usados. Em 22 de setembro de 2020, foi encerrada a aceitação das solicitações de validação de acordo com o padrão FIPS 140-3. Depois de verificados, os dispositivos serão movidos para a lista de dispositivos confiáveis e confiáveis ativos por cinco anos. Se o dispositivo criptográfico falhar na verificação, seu uso nas agências governamentais dos Estados Unidos e Canadá não é recomendado.
2. Quais são os requisitos de segurança para a certificação FIPS?
Hackear dados mesmo de um disco criptografado não certificado é difícil e não está ao alcance de poucos, portanto, ao escolher uma unidade de consumo para uso doméstico com certificação, você não precisa se preocupar. No setor corporativo, a situação é diferente: ao escolher unidades USB seguras, as empresas costumam dar importância aos níveis de certificação FIPS. No entanto, nem todos têm uma compreensão clara do que esses níveis significam.
O padrão FIPS 140-2 atual define quatro níveis diferentes de segurança que os flash drives podem atender. O primeiro nível fornece um conjunto moderado de recursos de segurança. O quarto nível implica requisitos estritos para a autodefesa de dispositivos. Os níveis dois e três fornecem uma gradação desses requisitos e formam uma espécie de média de ouro.
- : USB-, , .
- : , , - .
- : «» . . : , .
- O quarto nível de segurança: o nível mais alto, que pressupõe proteção completa do módulo criptográfico, que garante a máxima probabilidade de detecção e resistência a quaisquer tentativas de acesso não autorizado por usuário não autorizado. As unidades flash que receberam um certificado de nível 4 incluem, entre outras coisas, opções de proteção que não permitem invasão por meio da alteração da tensão e da temperatura ambiente.
As seguintes unidades Kingston são certificadas pelo FIPS 140-2 Nível 3: DataTraveler DT2000, DataTraveler DT4000G2, IronKey S1000, IronKey D300. Uma característica fundamental dessas unidades é a capacidade de responder a uma tentativa de invasão: se uma senha for digitada incorretamente 10 vezes, os dados na unidade serão destruídos.
Além da criptografia, o que mais as unidades flash Kingston podem fazer?
Quando se trata de segurança total de dados, junto com criptografia de hardware de flash drives, antivírus embutidos, proteção contra influências externas, sincronização com nuvens pessoais e outros chips vêm em nosso socorro, sobre o qual falaremos a seguir. Não há grande diferença em drives flash com criptografia de software. O diabo está nos detalhes. E aqui estão aqueles.
1.Kingston DataTraveler 2000
Tome, por exemplo, um stick USB Kingston DataTraveler 2000 .... Este é um dos flash drives com criptografia de hardware, mas ao mesmo tempo o único com teclado físico próprio no case. Este teclado de 11 teclas torna o DT2000 completamente independente dos sistemas host (para usar o DataTraveler 2000, você deve pressionar o botão Key, então inserir sua senha e pressionar o botão Key novamente). Além disso, esta unidade flash possui um grau de proteção IP57 contra água e poeira (surpreendentemente, a Kingston não afirma isso em nenhuma parte da embalagem ou nas especificações do site oficial).
O DataTraveler 2000 possui uma bateria de polímero de lítio (capacidade de 40mAh) e a Kingston aconselha os clientes a conectarem a unidade a uma porta USB por pelo menos uma hora antes de usá-la para que a bateria possa recarregar. A propósito, em um dos materiais anterioresconversamos sobre o que acontece com uma unidade flash que é carregada de um powerbank : não há motivo para se preocupar - a unidade flash não é ativada no carregador, porque não há solicitações ao controlador pelo sistema. Portanto, ninguém roubará seus dados por meio de invasões sem fio.
2. Kingston DataTraveler Locker + G3
Falando sobre o modelo Kingston DataTraveler Locker + G3 , ele chama a atenção com a capacidade de configurar backup de dados de uma unidade flash para armazenamento em nuvem do Google, OneDrive, Amazon Cloud ou Dropbox. A sincronização de dados com esses serviços também é fornecida.
Uma das perguntas que os leitores nos fazem é: “Como podemos obter dados criptografados de um backup?”. Muito simples. O fato é que ao sincronizar com a nuvem, as informações são descriptografadas e a proteção de um backup na nuvem depende dos recursos da própria nuvem. Portanto, tais procedimentos são executados exclusivamente a critério do usuário. Sem sua permissão, não haverá upload de dados para a nuvem.
3.Kingston DataTraveler Vault Privacy 3.0
Mas os dispositivos Kingston DataTraveler Vault Privacy 3.0também vêm com o Drive Security integrado da ESET. Este último protege os dados de vírus, spyware, cavalos de Troia, worms, rootkits, intrusão em uma unidade USB e, pode-se dizer, não tem medo de se conectar aos computadores de outras pessoas. O antivírus avisará instantaneamente o proprietário da unidade sobre ameaças potenciais, se houver. Nesse caso, o usuário não precisa instalar o antivírus sozinho e pagar por esta opção. ESET Drive Security é pré-instalado em uma unidade flash com uma licença de cinco anos.
Kingston DT Vault Privacy 3.0 foi projetado e focado principalmente em profissionais de TI. Ele permite que os administradores o usem como um dispositivo de armazenamento autônomo ou o adicionem como parte de uma solução de gerenciamento centralizado, e também pode ser usado para configurar ou redefinir remotamente senhas e configurar políticas de dispositivo. A Kingston até adicionou o USB 3.0, que permite transferir dados seguros muito mais rápido do que o USB 2.0.
No geral, o DT Vault Privacy 3.0 é uma ótima opção para o setor corporativo e organizações que exigem proteção máxima para seus dados. Também pode ser recomendado a todos os usuários que usam computadores em redes públicas.
Para obter mais informações sobre os produtos Kingston, visite o site oficial da empresa...