Надежно ли защищен ваш зашифрованный USB-накопитель? | Блог Касперского

Надежно ли защищен ваш зашифрованный USB-накопитель? | Блог Касперского Сертификаты
Содержание
  1. Что такое флешка и токен электронной подписи
  2. Что еще умеют флешки kingston, помимо шифрования?
  3. Обеспечение безопасности конфиденциальных данных компании
  4. Программа валидации криптографических модулей
  5. Защита информации о клиентах
  6. Какие требования безопасности выдвигает сертификация FIPS?
  7. Защита от потери прибыли и лояльности клиентов
  8. В чём разница
  9. Зачем и кому нужны флешки с аппаратным шифрованием?
  10. Как пользоваться электронной подписью с токена
  11. Как работает usb-токен
  12. Как работать с носителями
  13. Как работают флешки kingston с aes-шифрованием?
  14. Какие могут возникнуть ошибки
  15. Какие носители бывают
  16. Какой должен быть объём у флешки для электронной подписи
  17. Контроллер
  18. Кто гарантирует отсутствие “закладок” от производителя при использовании флешек с аппаратным шифрованием?
  19. Можно ли использовать рутокен как флешку?
  20. На какие носители можно записать электронную подпись
  21. Шифрование

Что такое флешка и токен электронной подписи

Обычная флешка и токен — это не одно и то же, главное их отличие в том, что токен является защищённым носителем электронной подписи. Внешне флешка похожа на токен, но работать с ЭЦП с неё нельзя.

Что еще умеют флешки kingston, помимо шифрования?

Когда речь заходит о полной безопасности данных, наравне с аппаратным шифрование флеш-накопителей на выручку приходят встроенные антивирусы, защита от внешних воздействий, синхронизация с персональными облаками и прочие фишки, о которых мы поговорим ниже. Какой-то великой разницы во флешках с программным шифрованием нет. “Дьявол” кроется в деталях. И вот в каких.

1. Kingston DataTraveler 2000

Возьмем, к примеру, USB-накопитель Kingston DataTraveler 2000. Это одна из флешек с аппаратным шифрованием, но при этом единственная с собственной физической клавиатурой на корпусе. Эта 11-кнопочная клавиатура делает DT2000 полностью независимой от хост-систем (чтобы использовать DataTraveler 2000, вы должны нажать кнопку «Ключ», затем ввести свой пароль и снова нажать кнопку «Ключ»).

Внутри DataTraveler 2000 есть литий-полимерный аккумулятор (емкостью 40 мАч), и Kingston советует покупателям подключить накопитель к USB-порту как минимум на час, прежде чем начать его использовать, чтобы батарея могла зарядиться. Кстати, в одном из прошлых материалов мы рассказывали, что происходит с флешкой, которая заряжается от пауэрбанка: поводов для волнений нет – в зарядном устройстве флешка не активируется, потому что отсутствуют запросы к контроллеру системой. Поэтому никто не украдет ваши данные посредством беспроводных вторжений.

2. Kingston DataTraveler Locker G3

Если говорить о модели Kingston DataTraveler Locker G3 – она привлекает внимание возможностью настройки резервного копирования данных с флешки в облачное хранилище Google, OneDrive, Amazon Cloud или Dropbox. Синхронизация данных с этими сервисами тоже предусмотрена.

Один из вопросов, который нам задают читатели, звучит так: “А как же забирать зашифрованные данные из бекапа?”. Очень просто. Дело в том, что при синхронизации с облаком информация дешифруется, а защита бекапа на облаке зависит от возможностей самого облака.

3. Kingston DataTraveler Vault Privacy 3.0

А вот устройства Kingston DataTraveler Vault Privacy 3.0 поставляются еще и со встроенным антивирусом Drive Security от компании ESET. Последний защищает данные от вторжения на USB-накопитель вирусов, шпионских программ, троянов, «червей», руткитов, и подключения к чужим компьютерам, можно сказать, не боится.

Антивирус мгновенно предупредит владельца накопителя о потенциальных угрозах, если таковые обнаружатся. При этом пользователю не нужно устанавливать антивирусное ПО самостоятельно и оплачивать эту опцию. ESET Drive Security предварительно установлен на флеш-накопитель с лицензией на пять лет.

Kingston DT Vault Privacy 3.0 разработан и ориентирован в основном на ИТ-специалистов. Он позволяет администраторам использовать его как автономный накопитель или добавлять, как часть решения для централизованного управления, а также может использоваться для настройки или удаленного сброса паролей и настройки политик устройств. Kingston даже добавил USB 3.0, который позволяет передавать защищенные данные намного быстрее, чем по USB 2.0.

В целом DT Vault Privacy 3.0 – отличный вариант для корпоративного сектора и организаций, которым требуется максимальная защита своих данных. А еще его можно рекомендовать всем пользователям, которые используют компьютеры, находящиеся в общедоступных сетях.

Для получения дополнительной информации о продукции Kingston обращайтесь на официальный сайт компании.

Обеспечение безопасности конфиденциальных данных компании

В 2021 году житель Лондона обнаружил в одном из парков USB-накопитель, на котором содержалась незапароленная информация, касающаяся безопасности аэропорта Хитроу, включая расположение камер наблюдения, подробную информацию о мерах защиты в случае прилета высокопоставленных лиц. Также на флешке содержались данные электронных пропусков и коды доступа в закрытые зоны аэропорта.

Аналитики называют причиной подобных ситуаций кибернеграмотность сотрудников компаний, которые могут “слить” секретные данные по собственной халатности. Флеш-накопители с аппаратным шифрованием отчасти решают эту проблему, ведь в случае утери такого накопителя — получить доступ к данным на ней без мастер-пароля того же сотрудника службы безопасности не получится.

Про сертификаты:  Сертификат соответствия информационной безопасности ГОЦиСС в 2021 году

Программа валидации криптографических модулей

Программа CMVP – совместный проект Национального института стандартов и технологий при Министерстве торговли США и Канадского центра кибербезопасности. Целью проекта является стимуляция спроса на проверенные криптографические устройства и предоставление показателей безопасности федеральным ведомствам и регулируемым отраслям (таким как финансовые и медицинские учреждения), которые используются при закупке оборудования.

Проверки устройств на соответствие набору криптографических требований и требований безопасности проводятся независимыми лабораториями криптографии и тестирования безопасности, аккредитованными NVLAP (National Voluntary Laboratory Accreditation Program / “Национальная программа добровольной аккредитации лабораторий”).

Модули, подтвержденные как соответствующие стандарту FIPS 140-2, рекомендуются к использованию федеральными ведомствами США и Канады до 22 сентября 2026 года. После этого они попадут в архивный список, хоть и по-прежнему смогут использоваться. 22 сентября 2020 года закончился прием заявок на валидацию по стандарту FIPS 140-3.

После прохождения проверок устройства будут на пять лет перемещены в активный список проверенных и надежных устройств. Если криптографическое устройство не проходит проверку – его использование в государственных учреждениях США и Канады не рекомендуется.

Защита информации о клиентах

Еще более важной задачей для любой организации является забота о клиентских данных, которые не должны подвергаться рискам компрометации. К слову, именно эта информация наиболее часто передается между различными секторами бизнеса и, как правило, носит конфиденциальный характер: например, она может содержать данные о финансовых операциях, историю болезни и т.п.

Какие требования безопасности выдвигает сертификация FIPS?

Взломать данные даже с несертифицированного зашифрованного диска сложно и под силу немногим, поэтому при выборе потребительского накопителя для домашнего использования с наличием сертификации можно и не заморачиваться. В корпоративном же секторе ситуация обстоит иначе: выбирая защищенные USB-накопители, компании часто придают значение уровням сертификации FIPS. Однако не все имеют четкое представление о том, что эти уровни означают.

Текущий стандарт FIPS 140-2 определяет четыре различных уровня безопасности, которым могут соответствовать флеш-накопители. Первый уровень обеспечивает умеренный набор функций безопасности. Четвертый уровень – подразумевает строгие требованиями к самозащите устройств. Уровни два и три обеспечивают градацию этих требований и образуют некую золотую середину.

  1. Первый уровень безопасности: для USB-накопителей, сертифицированных на первом уровне, предполагается использование хотя бы одного алгоритма шифрования или же иной функции обеспечения безопасности.
  2. Второй уровень безопасности: здесь от накопителя требуется не только обеспечение криптографической защиты, но и фиксация несанкционированных вторжений на микропрограммном уровне, если кто-то попытается открыть накопитель.
  3. Третий уровень безопасности: предусматривает предотвращение взломов посредством уничтожения «ключей» шифрования. То есть требуется наличие ответной реакции на попытки проникновения. Также третий уровень гарантирует более высокий уровень защиты от электромагнитных помех: то есть считать данные с флешки, используя беспроводные устройства взлома не получится.
  4. Четвертый уровень безопасности: самый высокий уровень, который предполагает полную защиту криптографического модуля, которая обеспечивает максимальную вероятность обнаружения и противодействия на любые попытки несанкционированного доступа со стороны постороннего пользователя. Флешки, получившие сертификат четвертого уровня включают в себя в том числе и такие опции защиты, которые не позволяют произвести хакинг посредством изменения напряжения и температуры окружающей среды.

По стандарту FIPS 140-2 третьего уровня сертифицированы следующие накопители Kingston: DataTraveler DT2000, DataTraveler DT4000G2, IronKey S1000, IronKey D300. Ключевая особенность этих накопителей в умении давать ответную реакцию на попытку проникновения: при 10-кратном неверном вводе пассворда, данные на накопителе будут уничтожены.

Защита от потери прибыли и лояльности клиентов

Использование USB-устройств с аппаратным шифрованием может помочь предотвратить разрушительные последствия для организаций. Компании, нарушающие закон о защите персональных данных, могут быть оштрафованы на крупные суммы. Следовательно, необходимо задать вопрос о том, стоит ли идти на риск обмена информацией без надлежащей защиты?

Даже если не принимать во внимание финансовые последствия, количество времени и ресурсов, затрачиваемых на исправление возникших ошибок в безопасности, может быть столь же значительным. Кроме того, если утечка данных скомпрометировала данные о клиентах, компания рискует лояльным отношением к бренду, особенно на рынках, где есть конкуренты, предлагающие аналогичный продукт или услугу.

В чём разница

Носители различают по следующим критериям: производитель, внешний вид, аппаратная криптография, объём защищённой памяти, цена, дополнительные опции, поддержка тех или иных операционных систем и необходимое программное обеспечение для работы.

Токены могут различаться также и по максимальному количеству электронных подписей, которые можно на них установить. Например, если размер носителя 64 Кб, то на него можно установить до 8 электронных подписей.

Объём защищённой памяти варьируется от 32 до 128 Kb, в зависимости от производителя. Некоторые модели могут содержать дополнительную flash-память для автоматического запуска необходимого программного обеспечения. Большинство токенов поддерживает множество версий Windows, а также Mac OS X и GNU/Linux.

Несмотря на все отличия, носители служат одной цели. Мы рекомендуем при выборе токена обращать внимание на то, подходит лишь ваша операционная система или нет для работы с данным носителем. При необходимости можно покупать карту с дополнительными опциями.

Про сертификаты:  OpenSSL: простое шифрование с открытым ключом / Хабр

Зачем и кому нужны флешки с аппаратным шифрованием?

Для организаций, в которых конфиденциальные данные являются частью бизнеса, (будь то финансовые, медицинские или государственные учреждения), шифрование является наиболее надежным средством защиты.

аппаратного шифрования AES – масштабируемое решение, которое может использоваться любыми компаниями: от частных лиц и малых предприятий до крупных корпораций, а также военных и правительственных организаций. Если рассматривать этот вопрос немного конкретнее, использование зашифрованных USB-накопителей необходимо:

Стоит отметить, что некоторые производители защищенных флеш-накопителей (в числе которых и компания Kingston) предоставляют для корпораций индивидуальные решения, разработанные под потребности и задачи заказчиков. Но и массовые линейки (в числе которых флешки DataTraveler) отлично справляются со своими задачами и способны обеспечить корпоративный класс безопасности.

Как пользоваться электронной подписью с токена

Для работы, кроме токена, понадобятся ещё два элемента — криптопровайдер и правильно настроенное рабочее место. Криптопровайдер представляет собой программу, которая позволяет работать с ЭЦП. Правильно настроенное рабочее место — это подходящий компьютер и установленные дополнительные элементы, при их необходимости (например, КриптоПро ЭЦП Browser plug-in).

С помощью криптопровайдера удобно подписывать документы, а плагин для браузера позволяет работать на государственных порталах, участвовать в закупках и т.д.

Как работает usb-токен

Работает токен по принципу взаимосвязи между сертификатом электронной подписи и её закрытым ключом. Смысл заключается в том, что токен защищает ключ (доступ к нему возможен только при наличии секретного кода) и одновременно предоставляет возможность его использования.

Когда нужно подписать документ, на помощь токену приходит криптопровайдер. С его помощью и подписывается тот или иной документ.

Как работать с носителями

Мы говорили об этом раньше, но напомним — токен должен быть сертифицирован ФСТЭК России или ФСБ России. Только на такой носитель УЦ ФНС сможет установить электронную подпись и, соответственно, только с таким носителем сможет работать индивидуальный предприниматель, юридическое лицо или нотариус.

Порядок получения электронной подписи на токен выглядит следующим образом:

  1. Приобретаем сертифицированный носитель.
  2. Приходим в операционный зал налогового органа региона.
  3. Представляем документ, удостоверяющий личность, СНИЛС, токен и документацию к нему.
  4. Получаем электронную подпись.

Чтобы полноценно работать с установленной на токен электронной подписью, нужно выполнить ещё несколько действий. Главное — на компьютер нужно установить криптопровайдер «КриптоПро CSP», это требование налоговой. Остальное зависит от выбранного носителя: нужно будет установить драйвер для работы с токеном.

Порядок работы с носителями очень прост: в случае с Рутокеном, который является самым распространённым российским носителем, достаточно установить драйвер и воткнуть сам токен в гнездо USB. Настройка носителя осуществляется в специальной панели управления, которая устанавливается вместе с драйвером.

После выполненных действий электронную подпись можно будет использовать по назначению: подписывать электронные документы, работать с государственными порталами и участвовать в закупках.

Как работают флешки kingston с aes-шифрованием?

Kingston использует 256-битное аппаратное шифрование AES-XTS (с использованием дополнительного полноразмерного ключа) для всех своих безопасных накопителей. Как мы уже отметили выше, флешки содержат в своей компонентной базе отдельный чип для шифровки и дешифровки данных, который выступает в роли постоянно активного генератора случайных чисел.

Когда вы подключаете устройство к USB-порту в первый раз, мастер настройки инициализации предлагает вам задать мастер-пароль для доступа к устройству. После активации накопителя алгоритмы шифрования автоматически начнут свою работу в соответствии с пользовательскими предпочтениями.

При этом для пользователя принцип работы флеш-накопителя останется неизменным – он по-прежнему сможет скачивать и размещать файлы в памяти устройства, как при работе с обычной USB-флешкой. Единственное отличие заключается в том, что при подключении флешки к новому компьютеру вам потребуется вводить установленный пароль для получения доступа к своей информации.

Какие могут возникнуть ошибки

Во время работы с токеном могут возникать ошибки, которые может исправить либо сам пользователь, либо организация, выдавшая носитель. Рассмотрим основные ошибки, которые возникают при работе с Рутокеном.

Какие носители бывают

Все токены внешне напоминают флешку и выполняют её функции — выступают в качестве носителя. Однако, в отличие от обычной флешки, токены являются защищёнными носителями: на них устанавливается пароль и в них встроены криптографические алгоритмы.

Мы лишь вскользь упомянем о том, что хранить электронную подпись можно и на компьютере, но это небезопасно. В то же время, с 1 января 2022 года, получить подпись для юридических лиц, индивидуальных предпринимателей и нотариусов можно будет только в удостоверяющем центре ФНС. И получатель должен иметь при себе токен, на который и будет загружен ключ.

К носителям выставлены определённые требования: они должны быть сертифицированы и соответствовать формату USB Type-A. К этому типу можно отнести следующие токены:

  • JaCarta LT, JaCarta ГОСТ, JaCarta-2 ГОСТ;
  • Рутокен Lite, Рутокен ЭЦП 2.0, Рутокен S;
  • ESMART Token, ESMART Token ГОСТ.

Вы можете приобрести в нашем магазине: JaCarta LT, Рутокен Lite, Рутокен ЭЦП 2.0.

Какой должен быть объём у флешки для электронной подписи

Объём защищённого токена сильно отличается от объёма обычной флешки — он в разы меньше и зависит от модели — от 32 Кб до 144 Кб. Однако даже токен с самым маленьким объёмом может вмещать несколько электронных подписей, так как они занимают очень мало виртуального пространства.

Про сертификаты:  Информационное сообщение Федеральной службы по техническому и экспортному контролю от 12.01.2016 N 240/24/87 "По вопросу продления сроков действия сертификатов соответствия на средства активной защиты информации от утечки за счет побочных электромагнитных излучений и наводок и средства активной акустической и вибрационной защиты акустической речевой информации, эксплуатируемые на объектах информатизации" | ГАРАНТ

Контроллер

Теперь рассмотрим USB-контроллер и криптографический контроллер накопителя. Для начала стоит быть уверенным в том, что накопитель нельзя взломать с помощью атаки полным перебором. Некоторые накопители именно так и взламываются. Например, тот накопитель, бесконтактную метку для которого удалось клонировать исследователям, заодно оказался уязвим и к атакам перебором.

Чтобы данные, хранящиеся на защищенном накопителе, были защищены от атаки перебором, устройство должно «самоуничтожаться» после определенного количества неудачных попыток аутентификации. В идеале, при «самоуничтожении» ключ шифрования и данные в памяти накопителя должны быть безвозвратно удалены — так, чтобы их нельзя было восстановить.

Также не лишним будет мгновенно блокировать устройство после его отключения от USB-порта, после определенного периода отсутствия активности и сброса USB-соединения.

Кроме того, следует убедиться, что пароли, ПИН-коды и ключи шифровании невозможно запросить у контроллера накопителя с помощью какой-нибудь «волшебной» команды. Казалось бы, это очевидно, но именно такую уязвимость Бурштейн, Пико и Одбер обнаружили еще в одном из устройств во время своего исследования — им удалось запросить у контроллера накопителя мастер-пароль и с помощью этого пароля создать нового пользователя, получив при этом доступ ко всем файлам, находящимся на накопителе.

Данный способ атаки позволяет даже не самым опытным хакерам, обладающим минимальным набором ресурсов, разблокировать любой накопитель этой модели. Надо просто знать нужную команду — а интернет творит чудеса при поиске информации.

Кто гарантирует отсутствие “закладок” от производителя при использовании флешек с аппаратным шифрованием?

В поднятой нами теме этот вопрос, пожалуй, один из главных. Среди комментариев к статье про накопители Kingston DataTraveler нам попался еще один интересный вопрос: “Есть ли у ваших устройств аудит от сторонних независимых специалистов?”. Что ж…, вполне логичный интерес: пользователи хотят убедиться, что в наших USB-накопителях нет распространенных ошибок, вроде слабого шифрования или возможности обхода ввода пароля.

Кто же гарантирует надежность? Казалось бы, мы вполне могли бы сказать, что, мол, “Kingston произвел — он и гарантирует”. Но в данном случае подобное заявление будет неверным, так как производитель выступает заинтересованной стороной. Поэтому все продукты проходят проверку третьим лицом с независимой экспертизой.

В частности, накопителем Kingston с аппаратным шифрованием (за исключением DTLPG3) являются участниками программы валидации криптографических модулей (Cryptographic Module Validation Program или CMVP) и сертифицированы по федеральному стандарту обработки информации (Federal Information Processing Standard или FIPS). Также накопители сертифицируются по стандартам GLBA, HIPPA, HITECH, PCI и GTSA.

Можно ли использовать рутокен как флешку?

Использовать Рутокен и любой другой токен в качестве флешки не получится из-за ограниченного количества памяти, которой хватит только на электронные подписи.

На какие носители можно записать электронную подпись

Токенов много — они различаются дополнительными функциями, например, наличием трёхфакторной аутентификации с помощью биометрии. Но основная функция у них одна — работа с электронной подписью.

Записать электронную подпись на обычную флешку можно, но работать с ней не представляется возможным из-за отсутствия каких-либо элементов защиты. Ни один удостоверяющий центр не выпустит электронную подпись на обычной флеш-карте.

Шифрование

Очевидно, что шифрование является ключевым фактором для защиты данных на зашифрованных USB-устройствах. Хорошая новость в том, что злоумышленник, не обладающий достаточными ресурсами, вряд ли решит воспользоваться этим вектором. К счастью, современные зашифрованные накопители в большинстве случаев используют алгоритмы шифрования, которые трудно взломать, даже если производитель не все сделал правильно.

Плохая новость состоит в том, что довольно сложно удостовериться, реализовано ли шифрование как следует.

Прежде всего, для обеспечения защиты устройство должно поддерживать стандарт шифрования AES или более новый — к сожалению, это не всегда так. Во время своего исследования Бурштейн и его коллеги столкнулись с несколькими накопителями, которые использовали устаревшие алгоритмы шифрования, такие как RC4 и RSA-512. Возможность взлома этих криптосистем уже доказана (хоть все еще требует значительных ресурсов).

Среди других аспектов можно назвать генерацию случайного ключа шифрования, использование надежного генератора случайных чисел для ключа и так называемых синхропосылок, выбор безопасного алгоритма для сцепления блоков и так далее. Однако все это относится в основном к тем, кому необходима защита от шпионажа на государственном уровне.

Как подчеркивают исследователи, криптографическая «магия» реализуется в аппаратной части, что усложняет изучение системы шифрования и поиск уязвимостей накопителя. Поэтому более полное раскрытие информации по этой проблеме со стороны производителей было бы очень полезным.

Оцените статью
Мой сертификат
Добавить комментарий