Die AES-Hardwareverschlüsselung gibt es schon lange, genau wie die Softwareverschlüsselung, aber wie genau schützt sie sensible Daten auf Flash-Laufwerken? Wer zertifiziert diese Laufwerke und kann diesen Zertifizierungen vertraut werden? Wer braucht schon solche "komplexen" Flash-Laufwerke, wenn man kostenlose Programme wie TrueCrypt oder BitLocker verwenden kann. Wie Sie sehen können, wirft das in den Kommentaren festgelegte Thema wirklich viele Fragen auf. Versuchen wir es herauszufinden.
Wie unterscheidet sich die Hardwareverschlüsselung von der Softwareverschlüsselung?
Bei Flash-Laufwerken (sowie HDD und SSD) wird ein spezieller Chip auf der Leiterplatte des Geräts verwendet, um die Hardwaredatenverschlüsselung zu implementieren. Es verfügt über einen integrierten Zufallszahlengenerator, der Verschlüsselungsschlüssel generiert. Daten werden automatisch verschlüsselt und sofort entschlüsselt, wenn ein Benutzerkennwort eingegeben wird. In diesem Szenario ist der Zugriff auf Daten ohne Kennwort nahezu unmöglich.
Bei Verwendung der Softwareverschlüsselung werden die Daten auf dem Laufwerk durch externe Software „gesperrt“, was eine kostengünstige Alternative zu Hardwareverschlüsselungsmethoden darstellt. Die Nachteile einer solchen Software können die triviale Anforderung regelmäßiger Updates sein, um Widerstand gegen sich ständig verbessernde Hacking-Techniken zu bieten. Darüber hinaus wird die Leistung des Computerprozesses (und nicht eines separaten Hardware-Chips) zum Entschlüsseln von Daten verwendet, und tatsächlich bestimmt die Schutzstufe des PCs die Schutzstufe des Laufwerks.
Das Hauptmerkmal von Laufwerken mit Hardwareverschlüsselung ist ein separater kryptografischer Prozessor, dessen Vorhandensein besagt, dass Verschlüsselungsschlüssel im Gegensatz zu Softwareschlüsseln, die vorübergehend im RAM des Computers oder auf einer Festplatte gespeichert werden können, niemals ein USB-Laufwerk verlassen. Und da die Softwareverschlüsselung den PC-Speicher zum Speichern der Anzahl der Anmeldeversuche verwendet, kann sie Brute-Force-Angriffe auf das Kennwort oder den Schlüssel nicht stoppen. Der Zähler für Anmeldeversuche kann von einem Angreifer ständig zurückgesetzt werden, bis das automatische Programm zum Knacken von Passwörtern die gewünschte Kombination gefunden hat.
Übrigens ... in den Kommentaren zum Artikel „ Kingston DataTraveler: eine neue Generation sicherer Flash-LaufwerkeDie Benutzer stellten außerdem fest, dass TrueCrypt beispielsweise über einen tragbaren Betriebsmodus verfügt. Dies ist jedoch kein großer Vorteil. Tatsache ist, dass in diesem Fall das Verschlüsselungsprogramm im Speicher des Flash-Laufwerks gespeichert ist, wodurch es anfälliger für Angriffe wird.
Infolgedessen bietet der Softwareansatz nicht das gleiche hohe Sicherheitsniveau wie die AES-Verschlüsselung. Es ist vielmehr ein grundlegender Schutz. Andererseits ist die Software-Verschlüsselung wichtiger Daten immer noch besser als gar keine Verschlüsselung. Und diese Tatsache ermöglicht es uns, klar zwischen diesen Arten der Kryptografie zu unterscheiden: Die Hardwareverschlüsselung von Flash-Laufwerken ist eher eine Notwendigkeit für den Unternehmenssektor (z. B. wenn Mitarbeiter des Unternehmens Laufwerke verwenden, die bei der Arbeit ausgestellt wurden); während Software besser für Benutzeranforderungen geeignet ist.
Kingston teilt seine Laufwerksmodelle (wie den IronKey S1000) jedoch in die Versionen Basic (Basic) und Enterprise (Enterprise) auf. In Bezug auf Funktionalität und Schutzeigenschaften sind sie nahezu identisch. Die Unternehmensversion bietet jedoch die Möglichkeit, das Laufwerk mithilfe der SafeConsole / IronKey EMS-Software zu verwalten. Dank dieser Software arbeitet das Laufwerk entweder mit Cloud- oder lokalen Servern zusammen, um den Kennwortschutz und die Zugriffsrichtlinien remote durchzusetzen. Dies bietet Benutzern die Möglichkeit, verlorene Kennwörter wiederherzustellen, und Administratoren - wechseln Sie nicht mehr verwendete Laufwerke zu neuen Aufgaben.
Wie funktionieren Kingston AES Flash-Laufwerke?
Kingston verwendet für alle sicheren Laufwerke die 256-Bit-Hardwareverschlüsselung von AES-XTS (unter Verwendung eines optionalen Schlüssels in voller Länge). Wie oben erwähnt, enthalten Flash-Laufwerke in ihrer Komponentenbasis einen separaten Chip zum Ver- und Entschlüsseln von Daten, der als ständig aktiver Zufallszahlengenerator fungiert.
Wenn Sie ein Gerät zum ersten Mal an den USB-Anschluss anschließen, werden Sie vom Initialisierungs-Setup-Assistenten aufgefordert, ein Hauptkennwort für den Zugriff auf das Gerät festzulegen. Nach dem Aktivieren des Laufwerks arbeiten die Verschlüsselungsalgorithmen automatisch gemäß den Benutzereinstellungen.
Gleichzeitig bleibt für den Benutzer das Funktionsprinzip eines Flash-Laufwerks unverändert - er kann weiterhin Dateien herunterladen und im Speicher des Geräts ablegen, wie bei der Arbeit mit einem normalen USB-Flash-Laufwerk. Der einzige Unterschied besteht darin, dass Sie beim Anschließen eines Flash-Laufwerks an einen neuen Computer das festgelegte Kennwort eingeben müssen, um Zugriff auf Ihre Informationen zu erhalten.
Warum und wer benötigt Flash-Laufwerke mit Hardware-Verschlüsselung?
Für Organisationen, in denen sensible Daten Teil des Geschäfts sind, sei es in finanzieller, medizinischer oder staatlicher Hinsicht, ist die Verschlüsselung das zuverlässigste Schutzmittel. In dieser Hinsicht sind Flash-Laufwerke mit Unterstützung für 256-Bit- AES-Hardwareverschlüsselung eine skalierbare Lösung, die von jedem Unternehmen verwendet werden kann: von Einzelpersonen und kleinen Unternehmen bis zu großen Unternehmen sowie Militär- und Regierungsorganisationen. Um etwas genauer zu sein, ist die Verwendung verschlüsselter USB-Laufwerke erforderlich:
- Um die Sicherheit vertraulicher Unternehmensdaten zu gewährleisten
- Zum Schutz der Kundendaten
- Um Unternehmen vor Gewinneinbußen und Kundenbindung zu schützen
Es ist erwähnenswert, dass einige Hersteller von robusten Flash-Laufwerken (einschließlich Kingston) Unternehmen maßgeschneiderte Lösungen anbieten, die auf die Bedürfnisse und Herausforderungen der Kunden zugeschnitten sind. Massenleitungen (einschließlich DataTraveler-Flash-Laufwerke) erfüllen ihre Aufgaben jedoch hervorragend und bieten Sicherheit der Unternehmensklasse.
1. Gewährleistung der Sicherheit vertraulicher Unternehmensdaten
Im Jahr 2017 entdeckte ein Londoner in einem der Parks ein USB-Laufwerk, das ungeschützte Informationen zur Sicherheit des Flughafens Heathrow enthielt, einschließlich des Standorts von Überwachungskameras sowie detaillierte Informationen zu Schutzmaßnahmen bei Ankunft hochrangiger Beamter. Das Flash-Laufwerk enthielt auch die Daten elektronischer Ausweise und Zugangscodes zu den geschlossenen Bereichen des Flughafens.
Analysten sagen, der Grund für solche Situationen sei die Cyberkompetenz von Mitarbeitern des Unternehmens, die durch eigene Fahrlässigkeit Verschlusssachen „verlieren“ können. Flash-Laufwerke mit Hardwareverschlüsselung lösen dieses Problem teilweise, denn wenn Sie ein solches Laufwerk verlieren, können Sie ohne das Hauptkennwort desselben Sicherheitsbeauftragten nicht auf die Daten zugreifen. Dies negiert in keinem Fall die Tatsache, dass Mitarbeiter für den Umgang mit Flash-Laufwerken geschult werden müssen, selbst wenn es um verschlüsselte Geräte geht.
2. Schutz der Kundeninformationen
Noch wichtiger für jedes Unternehmen ist die Pflege von Kundendaten, die nicht dem Risiko von Kompromissen ausgesetzt sein sollten. Diese Informationen werden übrigens am häufigsten zwischen verschiedenen Geschäftsbereichen übertragen und sind in der Regel vertraulich: Sie können beispielsweise Daten zu Finanztransaktionen, Krankengeschichte usw. enthalten.
3. Schutz vor Gewinneinbußen und Kundenbindung
Die Verwendung von hardwareverschlüsselten USB-Geräten kann dazu beitragen, Störungen für Unternehmen zu vermeiden. Unternehmen, die gegen Gesetze zum Schutz personenbezogener Daten verstoßen, können mit hohen Geldstrafen rechnen. Es muss daher die Frage gestellt werden, ob es sich lohnt, das Risiko des Informationsaustauschs ohne angemessenen Schutz einzugehen.
Selbst ohne Berücksichtigung der finanziellen Auswirkungen kann der Zeit- und Ressourcenaufwand für die Behebung auftretender Sicherheitslücken ebenso hoch sein. Wenn eine Datenverletzung die Kundendaten beeinträchtigt hat, riskiert das Unternehmen außerdem die Markentreue, insbesondere in Märkten, in denen Wettbewerber ein ähnliches Produkt oder eine ähnliche Dienstleistung anbieten.
Wer garantiert das Fehlen von "Lesezeichen" des Herstellers bei Verwendung von Flash-Laufwerken mit Hardwareverschlüsselung?
In dem Thema, das wir angesprochen haben, ist diese Frage vielleicht eine der wichtigsten. Bei den Kommentaren zum Artikel über Kingston DataTraveler-Laufwerke stießen wir auf eine weitere interessante Frage: "Haben Ihre Geräte ein Audit von unabhängigen Spezialisten von Drittanbietern?" Nun ... es ist ein logisches Interesse: Benutzer möchten sicherstellen, dass unsere USB-Laufwerke frei von häufigen Fehlern wie schwacher Verschlüsselung oder der Möglichkeit sind, die Passworteingabe zu umgehen. In diesem Teil des Artikels erfahren Sie, welche Zertifizierungsverfahren Kingston-Laufwerke durchlaufen, bevor sie zu wirklich sicheren Flash-Laufwerken werden.
Wer garantiert Zuverlässigkeit? Es scheint, dass wir gut sagen könnten, dass "Kingston produziert hat - er garantiert." In diesem Fall ist eine solche Aussage jedoch falsch, da der Hersteller eine interessierte Partei ist. Daher werden alle Produkte von Dritten mit einer unabhängigen Prüfung getestet. Insbesondere Hardware-verschlüsselte Laufwerke von Kingston (ohne DTLPG3) sind Mitglieder des Cryptographic Module Validation Program (CMVP) und nach dem Federal Information Processing Standard (FIPS) zertifiziert. Auch Laufwerke sind nach den Standards GLBA, HIPPA, HITECH, PCI und GTSA zertifiziert.
1. Programm zur Validierung kryptografischer Module
Das CMVP-Programm ist ein Gemeinschaftsprojekt des National Institute of Standards and Technology des US-Handelsministeriums und des kanadischen Zentrums für Cybersicherheit. Ziel des Projekts ist es, die Nachfrage nach verifizierten kryptografischen Geräten zu stimulieren und Sicherheitsmetriken für Bundesbehörden und regulierte Branchen (wie Finanz- und medizinische Einrichtungen) bereitzustellen, die bei der Beschaffung von Geräten verwendet werden.
Die Überprüfung der Geräte auf Einhaltung einer Reihe von kryptografischen und Sicherheitsanforderungen wird von unabhängigen Kryptografie- und Sicherheitstestlabors durchgeführt, die von NVLAP (National Voluntary Laboratory Accreditation Program) akkreditiert sind. Darüber hinaus wird jeder Laborbericht auf Übereinstimmung mit dem Federal Information Processing Standard (FIPS) 140-2 überprüft und von CMVP bestätigt.
Module, deren FIPS 140-2-Konformität bestätigt wurde, werden von US-amerikanischen und kanadischen Bundesbehörden bis zum 22. September 2026 empfohlen. Danach werden sie in die Archivliste aufgenommen, obwohl sie weiterhin verwendet werden können. Am 22. September 2020 endete die Annahme von Validierungsanträgen nach dem FIPS 140-3-Standard. Nach der Überprüfung werden die Geräte für fünf Jahre in die aktive Liste der vertrauenswürdigen und vertrauenswürdigen Geräte verschoben. Wenn das kryptografische Gerät die Überprüfung nicht besteht, wird seine Verwendung in den US-amerikanischen und kanadischen Regierungsbehörden nicht empfohlen.
2. Was sind die Sicherheitsanforderungen der FIPS-Zertifizierung?
Das Hacken von Daten selbst von einer nicht zertifizierten verschlüsselten Festplatte ist schwierig und nicht in der Macht weniger. Wenn Sie sich also für ein Consumer-Laufwerk für den Heimgebrauch mit Zertifizierung entscheiden, müssen Sie sich nicht darum kümmern. Im Unternehmenssektor ist die Situation anders: Bei der Auswahl sicherer USB-Laufwerke legen Unternehmen häufig Wert auf die FIPS-Zertifizierung. Allerdings hat nicht jeder ein klares Verständnis dafür, was diese Ebenen bedeuten.
Der aktuelle FIPS 140-2-Standard definiert vier verschiedene Sicherheitsstufen, die Flash-Laufwerke erfüllen können. Die erste Stufe bietet einen moderaten Satz von Sicherheitsfunktionen. Die vierte Stufe beinhaltet strenge Anforderungen an die Selbstverteidigung von Geräten. Die Stufen zwei und drei bieten eine Abstufung dieser Anforderungen und bilden eine Art goldenes Mittel.
- : USB-, , .
- : , , - .
- : «» . . : , .
- Die vierte Sicherheitsstufe: die höchste Stufe, die den vollständigen Schutz des kryptografischen Moduls impliziert und die maximale Erkennungswahrscheinlichkeit und den Widerstand gegen alle Versuche eines nicht autorisierten Zugriffs durch einen nicht autorisierten Benutzer gewährleistet. Flash-Laufwerke, die ein Level 4-Zertifikat erhalten haben, umfassen unter anderem solche Schutzoptionen, die kein Hacken durch Ändern der Spannung und der Umgebungstemperatur zulassen.
Die folgenden Kingston-Laufwerke sind FIPS 140-2 Level 3-zertifiziert: DataTraveler DT2000, DataTraveler DT4000G2, IronKey S1000, IronKey D300. Das Hauptmerkmal dieser Laufwerke ist die Fähigkeit, auf einen Penetrationsversuch zu reagieren: Wenn das Kennwort zehnmal falsch eingegeben wird, werden die Daten auf dem Laufwerk zerstört.
Was können Kingston-Flash-Laufwerke neben der Verschlüsselung noch?
Wenn es um vollständige Datensicherheit geht, kommen Hardware-Verschlüsselung von Flash-Laufwerken, integrierte Antivirenprogramme, Schutz vor externen Einflüssen, Synchronisierung mit persönlichen Clouds und anderen Chips zur Rettung, auf die wir weiter unten eingehen werden. Bei Flash-Laufwerken mit Software-Verschlüsselung gibt es keinen großen Unterschied. Der Teufel steckt im Detail. Und hier sind die.
1.Kingston DataTraveler 2000
Nehmen Sie zum Beispiel einen Kingston DataTraveler 2000 USB-Stick.... Dies ist eines der Flash-Laufwerke mit Hardware-Verschlüsselung, aber gleichzeitig das einzige mit einer eigenen physischen Tastatur im Gehäuse. Diese Tastatur mit 11 Tasten macht den DT2000 völlig unabhängig von den Hostsystemen (um den DataTraveler 2000 zu verwenden, müssen Sie die Taste drücken, dann Ihr Passwort eingeben und die Taste erneut drücken). Darüber hinaus verfügt dieses Flash-Laufwerk über einen Schutzart IP57 gegen Wasser und Staub (überraschenderweise gibt Kingston dies weder auf der Verpackung noch in den technischen Daten auf der offiziellen Website an).
Der DataTraveler 2000 verfügt über einen Lithium-Polymer-Akku (40 mAh Kapazität). Kingston empfiehlt Kunden, das Laufwerk vor der Verwendung mindestens eine Stunde lang an einen USB-Anschluss anzuschließen, damit der Akku aufgeladen werden kann. Übrigens in einem der vergangenen MaterialienWir haben darüber gesprochen, was mit einem Flash-Laufwerk passiert, das von einer Powerbank aufgeladen wird : Es gibt keinen Grund zur Sorge - das Flash-Laufwerk ist im Ladegerät nicht aktiviert, da das System keine Anforderungen an den Controller stellt. Daher wird niemand Ihre Daten durch drahtlose Eingriffe stehlen.
2. Kingston DataTraveler Locker + G3
Das Kingston DataTraveler Locker + G3- Modell macht auf sich aufmerksam , da es die Datensicherung von einem Flash-Laufwerk auf Google Cloud Storage, OneDrive, Amazon Cloud oder Dropbox konfigurieren kann. Die Datensynchronisation mit diesen Diensten wird ebenfalls bereitgestellt.
Eine der Fragen, die uns die Leser stellen, lautet: "Wie können wir verschlüsselte Daten aus einem Backup erhalten?" Sehr einfach. Tatsache ist, dass bei der Synchronisierung mit der Cloud Informationen entschlüsselt werden und der Schutz eines Backups in der Cloud von den Funktionen der Cloud selbst abhängt. Daher werden solche Verfahren ausschließlich im Ermessen des Benutzers durchgeführt. Ohne seine Erlaubnis werden keine Daten in die Cloud hochgeladen.
3.Kingston DataTraveler Vault Privacy 3.0
Aber die Kingston DataTraveler Vault Privacy 3.0- Gerätekommt auch mit integrierter Laufwerkssicherheit von ESET. Letzteres schützt Daten vor Viren, Spyware, Trojanern, Würmern, Rootkits und Eindringlingen auf einem USB-Laufwerk und hat möglicherweise keine Angst davor, eine Verbindung zu den Computern anderer Personen herzustellen. Antivirus warnt den Besitzer des Laufwerks sofort vor möglichen Bedrohungen. In diesem Fall muss der Benutzer keine Antivirensoftware selbst installieren und für diese Option bezahlen. ESET Drive Security ist auf einem Flash-Laufwerk mit einer Fünfjahreslizenz vorinstalliert.
Kingston DT Vault Privacy 3.0 wurde hauptsächlich für IT-Experten entwickelt und ausgerichtet. Administratoren können es als eigenständiges Speichergerät verwenden oder als Teil einer zentralisierten Verwaltungslösung hinzufügen. Außerdem können Kennwörter konfiguriert oder remote zurückgesetzt und Geräterichtlinien konfiguriert werden. Kingston hat sogar USB 3.0 hinzugefügt, das eine sichere Datenübertragung viel schneller als USB 2.0 ermöglicht.
Insgesamt ist DT Vault Privacy 3.0 eine großartige Option für den Unternehmenssektor und Organisationen, die maximalen Schutz für ihre Daten benötigen. Es kann auch allen Benutzern empfohlen werden, die Computer in öffentlichen Netzwerken verwenden.
Weitere Informationen zu Kingston-Produkten finden Sie auf der offiziellen Website des Unternehmens...