Le cryptage matériel AES existe depuis longtemps, tout comme le cryptage logiciel, mais comment protège-t-il exactement les données sensibles sur les lecteurs flash? Qui certifie ces lecteurs et peut-on faire confiance à ces certifications? Qui a même besoin de tels lecteurs flash "complexes" lorsque vous pouvez utiliser des programmes gratuits comme TrueCrypt ou BitLocker. Comme vous pouvez le voir, le sujet défini dans les commentaires soulève vraiment beaucoup de questions. Essayons de le comprendre.
En quoi le cryptage matériel est-il différent du cryptage logiciel?
Dans le cas des lecteurs flash (ainsi que des disques durs et SSD), une puce spéciale située sur la carte de circuit imprimé de l'appareil est utilisée pour implémenter le cryptage matériel des données. Il dispose d'un générateur de nombres aléatoires intégré qui génère des clés de chiffrement. Les données sont automatiquement cryptées et instantanément décryptées lorsqu'un mot de passe utilisateur est saisi. Dans ce scénario, accéder aux données sans mot de passe est presque impossible.
Lors de l'utilisation du cryptage logiciel, les données sur le disque sont «verrouillées» par un logiciel externe, qui agit comme une alternative peu coûteuse aux méthodes de cryptage matériel. Les inconvénients de ces logiciels peuvent être la nécessité insignifiante de mises à jour régulières pour offrir une résistance aux techniques de piratage en constante amélioration. De plus, la puissance du processus informatique (et non une puce matérielle séparée) est utilisée pour déchiffrer les données et, en fait, le niveau de protection du PC détermine le niveau de protection du lecteur.
La principale caractéristique des lecteurs avec cryptage matériel est un processeur cryptographique séparé, dont la présence nous indique que les clés de cryptage ne quittent jamais une clé USB, contrairement aux clés logicielles, qui peuvent être temporairement stockées dans la RAM de l'ordinateur ou sur un disque dur. Et comme le cryptage logiciel utilise la mémoire du PC pour stocker le nombre de tentatives de connexion, il ne peut pas arrêter les attaques par force brute sur le mot de passe ou la clé. Le compteur de tentatives de connexion peut être constamment réinitialisé par un attaquant jusqu'à ce que le programme de craquage automatique des mots de passe trouve la combinaison souhaitée.
Au fait ..., dans les commentaires de l'article « Kingston DataTraveler: une nouvelle génération de clés USB sécurisées»Les utilisateurs ont également noté que, par exemple, TrueCrypt a un mode de fonctionnement portable. Cependant, ce n'est pas un gros avantage. Le fait est que dans ce cas, le programme de cryptage est stocké dans la mémoire du lecteur flash, ce qui le rend plus vulnérable aux attaques.
En conséquence, l'approche logicielle n'offre pas le même niveau de sécurité élevé que le cryptage AES. C'est plutôt une protection de base. D'un autre côté, le cryptage logiciel des données importantes est toujours préférable à l'absence de cryptage du tout. Et ce fait nous permet de distinguer clairement ces types de cryptographie: le cryptage matériel des lecteurs flash est plutôt une nécessité pour le secteur des entreprises (par exemple, lorsque les employés de l'entreprise utilisent des lecteurs émis au travail); tandis que le logiciel est plus adapté aux besoins des utilisateurs.
Cependant, Kingston divise ses modèles de lecteurs (tels que l'IronKey S1000) en versions de base (de base) et d'entreprise (entreprise). En termes de fonctionnalités et de propriétés de protection, ils sont presque identiques les uns aux autres, mais la version entreprise offre la possibilité de gérer le disque à l'aide du logiciel SafeConsole / IronKey EMS. Grâce à ce logiciel, le lecteur fonctionne avec des serveurs cloud ou locaux pour appliquer à distance la protection par mot de passe et les politiques d'accès. Cela permet aux utilisateurs de récupérer les mots de passe perdus et aux administrateurs - de basculer les lecteurs qui ne sont plus utilisés vers de nouvelles tâches.
Comment fonctionnent les lecteurs Flash Kingston AES?
Kingston utilise le cryptage matériel AES-XTS 256 bits (à l'aide d'une clé pleine longueur en option) pour tous ses lecteurs sécurisés. Comme nous l'avons noté ci-dessus, les lecteurs flash contiennent dans leur base de composants une puce distincte pour crypter et décrypter les données, qui agit comme un générateur de nombres aléatoires constamment actif.
Lorsque vous connectez un appareil au port USB pour la première fois, l'assistant de configuration d'initialisation vous invite à définir un mot de passe principal pour accéder à l'appareil. Après avoir activé le lecteur, les algorithmes de cryptage commenceront automatiquement à fonctionner selon les préférences de l'utilisateur.
Dans le même temps, pour l'utilisateur, le principe de fonctionnement du lecteur flash restera inchangé - il pourra toujours télécharger et placer des fichiers dans la mémoire de l'appareil, comme lorsqu'il travaille avec un lecteur flash USB ordinaire. La seule différence est que lorsque vous connectez une clé USB à un nouvel ordinateur, vous devrez entrer le mot de passe défini pour accéder à vos informations.
Pourquoi et qui a besoin de lecteurs flash avec cryptage matériel?
Pour les organisations dans lesquelles des données sensibles font partie de l'entreprise, qu'il s'agisse d'organismes financiers, médicaux ou gouvernementaux, le cryptage est le moyen de protection le plus fiable. À cet égard, les lecteurs flash avec prise en charge du cryptage matériel AES 256 bits sont une solution évolutive qui peut être utilisée par toute entreprise, des particuliers et des petites entreprises aux grandes entreprises, ainsi qu'aux organisations militaires et gouvernementales. Plus précisément, l'utilisation de clés USB cryptées est nécessaire:
- Assurer la sécurité des données confidentielles de l'entreprise
- Pour protéger les informations client
- Protéger les entreprises de la perte de profits et de la fidélité des clients
Il convient de noter que certains fabricants de clés USB robustes (y compris Kingston) fournissent aux entreprises des solutions personnalisées adaptées aux besoins et aux défis des clients. Mais les lignes de masse (y compris les lecteurs flash DataTraveler) font un excellent travail de leurs tâches et sont capables de fournir une sécurité de classe entreprise.
1. Assurer la sécurité des données confidentielles de l'entreprise
En 2017, un Londonien a découvert une clé USB dans l'un des parcs, qui contenait des informations non protégées concernant la sécurité de l'aéroport d'Heathrow, notamment l'emplacement des caméras de sécurité, des informations détaillées sur les mesures de protection en cas d'arrivée de hauts fonctionnaires. En outre, la clé USB contenait les données des laissez-passer électroniques et des codes d'accès aux zones fermées de l'aéroport.
Les analystes disent que la raison de ces situations est la cyber-alphabétisation des employés de l'entreprise, qui peuvent «divulguer» des informations classifiées par leur propre négligence. Les lecteurs flash avec cryptage matériel résolvent en partie ce problème, car si vous perdez un tel lecteur, vous ne pourrez pas accéder aux données qu'il contient sans le mot de passe principal du même responsable de la sécurité. Dans tous les cas, cela n'annule pas le fait que les employés doivent être formés pour gérer les lecteurs flash, même lorsqu'il s'agit d'appareils cryptés.
2. Protection des informations client
Il est encore plus important pour toute organisation de prendre soin des données clients, qui ne doivent pas être exposées au risque de compromission. Soit dit en passant, ce sont ces informations qui sont le plus souvent transférées entre différents secteurs d'activité et, en règle générale, sont confidentielles: par exemple, elles peuvent contenir des données sur des transactions financières, des antécédents médicaux, etc.
3. Protection contre la perte de bénéfices et la fidélité des clients
L'utilisation de périphériques USB à chiffrement matériel peut aider à éviter les perturbations pour les entreprises. Les entreprises qui enfreignent les lois sur la protection des données personnelles peuvent faire face à des amendes importantes. Il faut donc se poser la question suivante: vaut-il la peine de prendre le risque de partager des informations sans protection adéquate?
Même sans tenir compte des implications financières, le temps et les ressources consacrés à la correction des bogues de sécurité qui surviennent peuvent être tout aussi importants. De plus, si une violation de données a compromis les données des clients, l'entreprise risque la fidélité à la marque, en particulier sur les marchés où des concurrents proposent un produit ou un service similaire.
Qui garantit l'absence de «signets» du fabricant lors de l'utilisation de lecteurs flash avec cryptage matériel?
Dans le sujet que nous avons soulevé, cette question est peut-être l'une des principales. Parmi les commentaires sur l'article sur les lecteurs Kingston DataTraveler, nous sommes tombés sur une autre question intéressante: "Vos appareils sont-ils soumis à un audit de spécialistes indépendants tiers?" Eh bien ... c'est un intérêt logique: les utilisateurs veulent s'assurer que nos clés USB sont exemptes de bogues courants comme un cryptage faible ou la possibilité de contourner la saisie de mot de passe. Et dans cette partie de l'article, nous vous expliquerons les procédures de certification que les lecteurs Kingston doivent suivre avant de devenir des lecteurs flash vraiment sûrs.
Qui garantit la fiabilité? Il semblerait que nous pourrions bien dire que, disent-ils, «Kingston a produit - il garantit». Mais dans ce cas, une telle déclaration sera incorrecte, car le fabricant est une partie intéressée. Par conséquent, tous les produits sont testés par un tiers avec un examen indépendant. Plus précisément, les lecteurs chiffrés par matériel de Kingston (à l'exclusion du DTLPG3) sont membres du programme de validation du module cryptographique (CMVP) et sont certifiés selon la norme FIPS (Federal Information Processing Standard). Les disques sont également certifiés selon les normes GLBA, HIPPA, HITECH, PCI et GTSA.
1. Programme de validation des modules cryptographiques
Le programme CMVP est un projet conjoint de l'Institut national des normes et de la technologie sous l'égide du ministère américain du Commerce et du Centre canadien pour la cybersécurité. L'objectif du projet est de stimuler la demande de dispositifs cryptographiques vérifiés et de fournir des mesures de sécurité aux agences fédérales et aux industries réglementées (telles que les institutions financières et médicales) qui sont utilisées dans l'achat d'équipement.
Les contrôles de conformité des dispositifs à un ensemble d'exigences cryptographiques et de sécurité sont effectués par des laboratoires indépendants pour les tests de cryptographie et de sécurité, accrédités par le NVLAP (Programme national d'accréditation des laboratoires volontaires / "Programme national d'accréditation des laboratoires volontaires"). En outre, chaque rapport de laboratoire est vérifié pour la conformité à la norme fédérale de traitement de l'information (FIPS) 140-2 et confirmé par la CMVP.
Les modules confirmés conformes à la norme FIPS 140-2 sont recommandés pour une utilisation par les agences fédérales américaines et canadiennes jusqu'au 22 septembre 2026. Après cela, ils seront inclus dans la liste des archives, bien qu'ils puissent toujours être utilisés. Le 22 septembre 2020, l'acceptation des demandes de validation selon la norme FIPS 140-3 a pris fin. Une fois validés, les appareils seront déplacés vers la liste des appareils actifs de confiance et de confiance pendant cinq ans. Si le dispositif cryptographique échoue à la vérification, son utilisation dans les agences gouvernementales américaines et canadiennes n'est pas recommandée.
2. Quelles sont les exigences de sécurité de la certification FIPS?
Le piratage de données même à partir d'un disque crypté non certifié est difficile et n'est pas à la portée de quelques-uns, donc lorsque vous choisissez un lecteur grand public pour une utilisation à domicile avec certification, vous n'avez pas à vous en préoccuper. Dans le secteur des entreprises, la situation est différente: lors du choix de clés USB sécurisées, les entreprises attachent souvent de l'importance aux niveaux de certification FIPS. Cependant, tout le monde ne comprend pas clairement ce que signifient ces niveaux.
La norme FIPS 140-2 actuelle définit quatre niveaux de sécurité différents auxquels les lecteurs flash peuvent répondre. Le premier niveau fournit un ensemble modéré de fonctionnalités de sécurité. Le quatrième niveau implique des exigences strictes pour la légitime défense des appareils. Les niveaux deux et trois fournissent une gradation de ces exigences et forment une sorte de moyenne d'or.
- : USB-, , .
- : , , - .
- : «» . . : , .
- Le quatrième niveau de sécurité: le niveau le plus élevé, qui suppose une protection complète du module cryptographique, qui assure la probabilité maximale de détection et de résistance à toute tentative d'accès non autorisé par un utilisateur non autorisé. Les lecteurs flash qui ont reçu un certificat de niveau 4 incluent, entre autres, de telles options de protection qui ne permettent pas le piratage en modifiant la tension et la température ambiante.
Les disques Kingston suivants sont certifiés FIPS 140-2 niveau 3: DataTraveler DT2000, DataTraveler DT4000G2, IronKey S1000, IronKey D300. La principale caractéristique de ces lecteurs est la capacité de répondre à une tentative de pénétration: si le mot de passe est mal saisi 10 fois, les données du lecteur seront détruites.
Outre le chiffrement, que peuvent faire d'autre les lecteurs flash Kingston?
Quand il s'agit de la sécurité complète des données, ainsi que du cryptage matériel des lecteurs flash, des antivirus intégrés, de la protection contre les influences externes, de la synchronisation avec les nuages personnels et d'autres puces viennent à la rescousse, dont nous parlerons ci-dessous. Il n'y a pas de grande différence entre les lecteurs flash et le cryptage logiciel. Le diable est dans les détails. Et voici ceux.
1.Kingston DataTraveler 2000
Prenons, par exemple, une clé USB Kingston DataTraveler 2000 .... C'est l'un des lecteurs flash avec cryptage matériel, mais en même temps le seul avec son propre clavier physique sur le boîtier. Ce clavier à 11 touches rend le DT2000 complètement indépendant des systèmes hôtes (pour utiliser le DataTraveler 2000, vous devez appuyer sur le bouton Key, puis entrer votre mot de passe et appuyer à nouveau sur le bouton Key). De plus, ce lecteur flash a un degré de protection IP57 contre l'eau et la poussière (étonnamment, Kingston ne l'indique nulle part ni sur l'emballage ni dans les spécifications sur le site officiel).
Le DataTraveler 2000 a une batterie au lithium polymère (capacité 40 mAh) à l'intérieur, et Kingston conseille aux clients de brancher le disque dur dans un port USB pendant au moins une heure avant de l'utiliser afin que la batterie puisse se recharger. Au fait, dans l'un des matériaux du passénous avons parlé de ce qui arrive à un lecteur flash chargé à partir d'un powerbank : il n'y a aucune raison de s'inquiéter - le lecteur flash n'est pas activé dans le chargeur, car il n'y a aucune demande au contrôleur par le système. Par conséquent, personne ne volera vos données par des intrusions sans fil.
2. Kingston DataTraveler Locker + G3
Parlant du modèle Kingston DataTraveler Locker + G3 , il attire l'attention avec la possibilité de configurer la sauvegarde des données d'un lecteur flash vers le stockage cloud de Google, OneDrive, Amazon Cloud ou Dropbox. La synchronisation des données avec ces services est également fournie.
L'une des questions que les lecteurs nous posent est: "Comment pouvons-nous obtenir des données chiffrées à partir d'une sauvegarde?" Très simple. Le fait est que lors de la synchronisation avec le cloud, les informations sont décryptées et la protection d'une sauvegarde sur le cloud dépend des capacités du cloud lui-même. Par conséquent, ces procédures sont effectuées uniquement à la discrétion de l'utilisateur. Sans son autorisation, il n'y aura pas de téléchargement de données sur le cloud.
3.Kingston DataTraveler Vault Privacy 3.0
mais les appareils Kingston DataTraveler Vault Privacy 3.0sont également fournis avec Drive Security intégré d'ESET. Ce dernier protège les données contre les virus, les logiciels espions, les chevaux de Troie, les vers, les rootkits contre les intrusions sur une clé USB, et, pourrait-on dire, n'a pas peur de se connecter aux ordinateurs d'autres personnes. L'antivirus avertira instantanément le propriétaire du lecteur des menaces potentielles, le cas échéant. Dans ce cas, l'utilisateur n'a pas besoin d'installer lui-même un logiciel antivirus et de payer pour cette option. ESET Drive Security est préinstallé sur un lecteur flash avec une licence de cinq ans.
Kingston DT Vault Privacy 3.0 est conçu et axé principalement sur les professionnels de l'informatique. Il permet aux administrateurs de l'utiliser comme périphérique de stockage autonome ou de l'ajouter dans le cadre d'une solution de gestion centralisée, et peut également être utilisé pour configurer ou réinitialiser à distance les mots de passe et configurer les stratégies de périphérique. Kingston a même ajouté l'USB 3.0, qui vous permet de transférer des données sécurisées beaucoup plus rapidement que l'USB 2.0.
Dans l'ensemble, DT Vault Privacy 3.0 est une excellente option pour le secteur des entreprises et les organisations qui ont besoin d'une protection maximale pour leurs données. Il peut également être recommandé à tous les utilisateurs qui utilisent des ordinateurs sur les réseaux publics.
Pour plus d'informations sur les produits Kingston, visitez le site Web officiel de la société...