Enkripsi perangkat keras AES, seperti enkripsi perangkat lunak, telah ada sejak lama, tetapi bagaimana tepatnya cara itu melindungi data sensitif pada flash drive? Siapa yang mengesahkan drive ini, dan dapatkah sertifikasi ini dipercaya? Yang bahkan membutuhkan flash drive yang "rumit" ketika Anda dapat menggunakan program gratis seperti TrueCrypt atau BitLocker. Seperti yang Anda lihat, topik yang diatur dalam komentar benar-benar menimbulkan banyak pertanyaan. Mari kita coba mencari tahu.
Apa perbedaan enkripsi perangkat keras dengan enkripsi perangkat lunak?
Dalam kasus flash drive (serta HDD dan SSD), chip khusus yang terletak di papan sirkuit tercetak perangkat digunakan untuk mengimplementasikan enkripsi data perangkat keras. Ini memiliki generator nomor acak bawaan yang menghasilkan kunci enkripsi. Data secara otomatis dienkripsi dan langsung didekripsi ketika kata sandi pengguna dimasukkan. Dalam skenario ini, mengakses data tanpa kata sandi hampir tidak mungkin.
Saat menggunakan enkripsi perangkat lunak, data pada drive "dikunci" oleh perangkat lunak eksternal, yang bertindak sebagai alternatif berbiaya rendah untuk metode enkripsi perangkat keras. Kerugian dari perangkat lunak tersebut mungkin merupakan persyaratan sepele dari pembaruan rutin untuk menawarkan ketahanan terhadap teknik peretasan yang terus meningkat. Selain itu, kekuatan proses komputer (dan bukan chip perangkat keras yang terpisah) digunakan untuk mendekripsi data, dan, sebenarnya, tingkat perlindungan PC menentukan tingkat perlindungan drive.
Fitur utama drive dengan enkripsi perangkat keras adalah prosesor kriptografi terpisah, yang keberadaannya memberi tahu kita bahwa kunci enkripsi tidak pernah meninggalkan drive USB, tidak seperti kunci perangkat lunak, yang dapat disimpan sementara di RAM atau hard drive komputer. Dan karena enkripsi perangkat lunak menggunakan memori PC untuk menyimpan jumlah upaya login, itu tidak dapat menghentikan serangan brute force pada kata sandi atau kunci. Penghitung upaya masuk dapat terus diatur ulang oleh penyerang sampai program peretas kata sandi otomatis menemukan kombinasi yang diinginkan.
Ngomong-ngomong ..., di kolom komentar artikel โ Kingston DataTraveler: generasi baru flash drive amanPengguna juga mencatat bahwa, misalnya, TrueCrypt memiliki mode operasi portabel. Namun, ini bukan keuntungan besar. Faktanya adalah dalam hal ini program enkripsi disimpan dalam memori flash drive, dan ini membuatnya lebih rentan terhadap serangan.
Akibatnya, pendekatan perangkat lunak tidak memberikan tingkat keamanan yang sama tinggi dengan enkripsi AES. Melainkan, itu adalah perlindungan dasar. Di sisi lain, enkripsi perangkat lunak untuk data penting masih lebih baik daripada tidak ada enkripsi sama sekali. Dan fakta ini memungkinkan kita untuk dengan jelas membedakan antara jenis-jenis kriptografi ini: enkripsi perangkat keras flash drive adalah suatu kebutuhan, alih-alih, untuk sektor korporat (misalnya, ketika karyawan perusahaan menggunakan drive yang dikeluarkan di tempat kerja); sedangkan software lebih cocok untuk kebutuhan pengguna.
Namun, Kingston membagi model drive-nya (seperti IronKey S1000) menjadi versi Basic (basic) dan Enterprise (enterprise). Dalam hal fungsionalitas dan properti proteksi, keduanya hampir identik satu sama lain, tetapi versi korporat menawarkan kemampuan untuk mengelola drive menggunakan perangkat lunak SafeConsole / IronKey EMS. Berkat perangkat lunak ini, drive bekerja dengan cloud atau server lokal untuk memberlakukan perlindungan kata sandi dan kebijakan akses dari jarak jauh. Ini memberi pengguna kemampuan untuk memulihkan kata sandi yang hilang, dan administrator - alihkan drive yang tidak lagi digunakan ke tugas baru.
Bagaimana cara kerja flash drive Kingston AES?
Kingston menggunakan enkripsi perangkat keras AES-XTS 256-bit (menggunakan kunci panjang penuh opsional) untuk semua drive amannya. Seperti yang kami catat di atas, flash drive berisi dalam basis komponennya sebuah chip terpisah untuk mengenkripsi dan mendekripsi data, yang bertindak sebagai generator bilangan acak yang terus-menerus aktif.
Saat Anda menyambungkan perangkat ke port USB untuk pertama kalinya, Wizard Pengaturan Inisialisasi meminta Anda untuk mengatur kata sandi master untuk mengakses perangkat. Setelah mengaktifkan drive, algoritme enkripsi secara otomatis akan mulai bekerja sesuai dengan preferensi pengguna.
Pada saat yang sama, bagi pengguna, prinsip pengoperasian flash drive tidak akan berubah - ia masih dapat mendownload dan menempatkan file di memori perangkat, seperti saat bekerja dengan flash drive USB biasa. Satu-satunya perbedaan adalah ketika Anda menghubungkan flash drive ke komputer baru, Anda perlu memasukkan kata sandi yang telah ditetapkan untuk mendapatkan akses ke informasi Anda.
Mengapa dan siapa yang membutuhkan flash drive dengan enkripsi perangkat keras?
Untuk organisasi di mana data sensitif menjadi bagian dari bisnis, baik itu lembaga keuangan, medis, atau pemerintah, enkripsi adalah cara perlindungan yang paling andal. Dalam hal ini, flash drive dengan dukungan untuk enkripsi perangkat keras AES 256-bit adalah solusi terukur yang dapat digunakan oleh perusahaan mana pun: dari individu dan bisnis kecil hingga perusahaan besar, serta organisasi militer dan pemerintah. Untuk lebih spesifik, menggunakan drive USB terenkripsi diperlukan:
- Untuk memastikan keamanan data rahasia perusahaan
- Untuk melindungi informasi pelanggan
- Untuk melindungi perusahaan dari hilangnya keuntungan dan loyalitas pelanggan
Perlu dicatat bahwa beberapa produsen flash drive yang tangguh (termasuk Kingston) menyediakan solusi khusus untuk perusahaan yang disesuaikan dengan kebutuhan dan tantangan pelanggan. Tetapi jalur massal (termasuk flash drive DataTraveler) melakukan tugasnya dengan sangat baik dan mampu memberikan keamanan kelas perusahaan.
1. Menjamin keamanan data rahasia perusahaan
Pada 2017, seorang warga London menemukan drive USB di salah satu taman, yang berisi informasi yang tidak terlindungi mengenai keamanan Bandara Heathrow, termasuk lokasi kamera keamanan, informasi terperinci tentang langkah-langkah perlindungan jika ada kedatangan pejabat tinggi. Flash drive juga berisi data tiket elektronik dan kode akses ke area tertutup bandara.
Para analis mengatakan alasan situasi seperti itu adalah melek dunia maya karyawan perusahaan, yang dapat "membocorkan" informasi rahasia melalui kelalaian mereka sendiri. Flash drive dengan enkripsi perangkat keras sebagian mengatasi masalah ini, karena jika Anda kehilangan drive tersebut, Anda tidak akan dapat mengakses data di dalamnya tanpa kata sandi utama dari petugas keamanan yang sama. Bagaimanapun, ini tidak meniadakan fakta bahwa karyawan perlu dilatih untuk menangani flash drive, bahkan ketika berhubungan dengan perangkat terenkripsi.
2. Perlindungan informasi pelanggan
Yang lebih penting bagi organisasi mana pun adalah merawat data pelanggan, yang tidak boleh terkena risiko kompromi. Omong-omong, informasi inilah yang paling sering dikirimkan antara sektor bisnis yang berbeda dan, biasanya, bersifat rahasia: misalnya, mungkin berisi data tentang transaksi keuangan, riwayat kesehatan, dll.
3. Perlindungan terhadap hilangnya keuntungan dan loyalitas pelanggan
Menggunakan perangkat USB yang dienkripsi dengan perangkat keras dapat membantu mencegah gangguan pada organisasi. Perusahaan yang melanggar undang-undang perlindungan data pribadi dapat menghadapi denda yang besar. Oleh karena itu, pertanyaan yang perlu ditanyakan adalah, apakah layak mengambil risiko berbagi informasi tanpa perlindungan yang memadai?
Bahkan dengan mengabaikan implikasi keuangan, jumlah waktu dan sumber daya yang dihabiskan untuk memperbaiki bug keamanan yang muncul bisa sama pentingnya. Selain itu, jika pelanggaran data telah membahayakan data pelanggan, perusahaan berisiko terhadap loyalitas merek, terutama di pasar di mana terdapat pesaing yang menawarkan produk atau layanan serupa.
Siapa yang menjamin tidak adanya "bookmark" dari pabrikan saat menggunakan flash drive dengan enkripsi hardware?
Dalam topik yang kami angkat, pertanyaan ini mungkin salah satu yang utama. Di antara komentar pada artikel tentang hard disk Kingston DataTraveler, kami menemukan pertanyaan menarik lainnya: "Apakah perangkat Anda memiliki audit dari pakar independen pihak ketiga?" Nah ... ini adalah minat logis: pengguna ingin memastikan drive USB kami bebas dari bug umum seperti enkripsi lemah atau kemampuan untuk melewati entri kata sandi. Dan di bagian artikel ini, kami akan memberi tahu Anda prosedur sertifikasi apa yang dilakukan oleh drive Kingston sebelum menjadi flash drive yang benar-benar aman.
Siapa yang menjamin keandalan? Tampaknya kita bisa mengatakan bahwa, mereka berkata, "Kingston telah menghasilkan - dia menjamin." Tetapi dalam kasus ini, pernyataan seperti itu tidak benar, karena pabrikan adalah pihak yang berkepentingan. Oleh karena itu, semua produk diuji oleh pihak ketiga dengan pemeriksaan independen. Secara khusus, drive yang dienkripsi perangkat keras Kingston (tidak termasuk DTLPG3) adalah anggota Program Validasi Modul Kriptografi (CMVP) dan disertifikasi untuk Standar Pemrosesan Informasi Federal (FIPS). Drive juga disertifikasi menurut standar GLBA, HIPPA, HITECH, PCI, dan GTSA.
1. Program untuk validasi modul kriptografi
Program CMVP adalah proyek gabungan dari Institut Standar dan Teknologi Nasional di bawah Departemen Perdagangan AS dan Pusat Keamanan Siber Kanada. Tujuan dari proyek ini adalah untuk merangsang permintaan akan perangkat kriptografi yang telah terbukti dan memberikan metrik keamanan kepada agen federal dan industri yang diatur (seperti lembaga keuangan dan medis) yang digunakan dalam pengadaan peralatan.
Pemeriksaan perangkat untuk kepatuhan terhadap seperangkat persyaratan kriptografi dan keamanan dilakukan oleh laboratorium independen untuk kriptografi dan pengujian keamanan yang diakreditasi oleh NVLAP (Program Akreditasi Laboratorium Sukarela Nasional / "Program Akreditasi Laboratorium Sukarela Nasional"). Selain itu, setiap laporan laboratorium diperiksa kesesuaiannya dengan Federal Information Processing Standard (FIPS) 140-2 dan dikonfirmasi oleh CMVP.
Modul yang dikonfirmasi sesuai dengan FIPS 140-2 direkomendasikan untuk digunakan oleh agen federal AS dan Kanada hingga 22 September 2026. Setelah itu, mereka akan dimasukkan ke dalam daftar arsip, meski masih bisa digunakan. Pada 22 September 2020, penerimaan aplikasi untuk validasi menurut standar FIPS 140-3 berakhir. Setelah divalidasi, perangkat akan dipindahkan ke daftar Perangkat Tepercaya dan Tepercaya Aktif selama lima tahun. Jika perangkat kriptografi gagal verifikasi, penggunaannya di lembaga pemerintah AS dan Kanada tidak disarankan.
2. Apa persyaratan keamanan untuk sertifikasi FIPS?
Meretas data bahkan dari disk terenkripsi yang tidak bersertifikat itu sulit dan tidak dalam kekuatan sedikit, jadi ketika memilih drive konsumen untuk digunakan di rumah dengan sertifikasi, Anda tidak perlu repot. Di sektor korporat, situasinya berbeda: ketika memilih drive USB yang aman, perusahaan sering kali mementingkan tingkat sertifikasi FIPS. Namun, tidak semua orang memiliki pemahaman yang jelas tentang arti level ini.
Standar FIPS 140-2 saat ini mendefinisikan empat tingkat keamanan berbeda yang dapat dipenuhi oleh flash drive. Tingkat pertama menyediakan serangkaian fitur keamanan yang moderat. Tingkat keempat menyiratkan persyaratan ketat untuk pertahanan diri perangkat. Level dua dan tiga memberikan gradasi dari persyaratan ini dan membentuk semacam mean emas.
- : USB-, , .
- : , , - .
- : ยซยป . . : , .
- Tingkat keamanan keempat: tingkat tertinggi, yang mengasumsikan perlindungan penuh dari modul kriptografi, yang memastikan kemungkinan deteksi dan resistensi maksimum terhadap setiap upaya akses tidak sah oleh pengguna yang tidak sah. Flash drive yang telah menerima sertifikat Level 4 mencakup, antara lain, opsi perlindungan yang tidak memungkinkan peretasan dengan mengubah voltase dan suhu sekitar.
Drive Kingston berikut bersertifikat FIPS 140-2 Level 3: DataTraveler DT2000, DataTraveler DT4000G2, IronKey S1000, IronKey D300. Fitur utama dari drive ini adalah kemampuan untuk menanggapi upaya penetrasi: jika kata sandi dimasukkan secara salah 10 kali, data pada drive akan dihancurkan.
Selain enkripsi, apa lagi yang dapat dilakukan flash drive Kingston?
Ketika datang ke keamanan data lengkap, bersama dengan enkripsi perangkat keras flash drive, antivirus built-in, perlindungan terhadap pengaruh eksternal, sinkronisasi dengan cloud pribadi dan chip lainnya datang untuk menyelamatkan, yang akan kita bicarakan di bawah ini. Tidak ada perbedaan besar antara flash drive dengan enkripsi perangkat lunak. Iblis ada dalam detailnya. Dan ini dia.
1.Kingston DataTraveler 2000
Ambil, misalnya, stik USB Kingston DataTraveler 2000 .... Ini adalah salah satu flash drive dengan enkripsi perangkat keras, tetapi pada saat yang sama satu-satunya dengan keyboard fisik sendiri pada case. Keypad 11-tombol ini membuat DT2000 benar-benar independen dari sistem host (untuk menggunakan DataTraveler 2000 Anda harus menekan tombol Key, lalu masukkan sandi Anda dan tekan tombol Key lagi). Selain itu, flash drive ini memiliki tingkat perlindungan IP57 terhadap air dan debu (yang mengejutkan, Kingston tidak menyatakannya di mana pun baik pada kemasan atau dalam spesifikasi di situs resminya).
DataTraveler 2000 memiliki baterai lithium polymer (kapasitas 40mAh) di dalamnya, dan Kingston menyarankan pelanggan untuk mencolokkan drive ke port USB setidaknya selama satu jam sebelum menggunakannya sehingga baterai dapat diisi ulang. Ngomong-ngomong, di salah satu materi masa lalukami berbicara tentang apa yang terjadi pada flash drive yang diisi dari powerbank : tidak ada alasan untuk khawatir - flash drive tidak diaktifkan di pengisi daya, karena tidak ada permintaan ke pengontrol oleh sistem. Oleh karena itu, tidak ada yang akan mencuri data Anda melalui gangguan nirkabel.
2. Kingston DataTraveler Locker + G3
Berbicara tentang model Kingston DataTraveler Locker + G3 , hal ini menarik perhatian dengan kemampuan untuk mengkonfigurasi backup data dari flash drive ke penyimpanan cloud Google, OneDrive, Amazon Cloud atau Dropbox. Sinkronisasi data dengan layanan ini juga tersedia.
Salah satu pertanyaan yang diajukan pembaca kepada kami adalah: "Bagaimana kami bisa mendapatkan data terenkripsi dari cadangan?" Sangat sederhana. Faktanya adalah bahwa saat menyinkronkan dengan cloud, informasi didekripsi, dan perlindungan cadangan di cloud bergantung pada kemampuan cloud itu sendiri. Oleh karena itu, prosedur tersebut dilakukan semata-mata atas kebijakan pengguna. Tanpa izinnya, tidak akan ada unggahan data ke cloud.
3.Kingston DataTraveler Vault Privacy 3.0
Tetapi perangkat Kingston DataTraveler Vault Privacy 3.0juga dilengkapi dengan Keamanan Drive bawaan dari ESET. Yang terakhir melindungi data dari virus, spyware, Trojan, worm, rootkit, intrusi pada drive USB, dan, bisa dikatakan, tidak takut untuk terhubung ke komputer orang lain. Antivirus akan langsung memperingatkan pemilik drive tentang potensi ancaman, jika ada. Dalam hal ini, pengguna tidak perlu menginstal sendiri perangkat lunak anti-virus dan membayar untuk opsi ini. ESET Drive Security sudah diinstal sebelumnya pada flash drive dengan lisensi lima tahun.
Kingston DT Vault Privacy 3.0 dirancang dan difokuskan terutama pada profesional TI. Ini memungkinkan administrator untuk menggunakannya sebagai perangkat penyimpanan mandiri atau menambahkannya sebagai bagian dari solusi manajemen terpusat, dan juga dapat digunakan untuk mengonfigurasi atau menyetel ulang sandi dan mengonfigurasi kebijakan perangkat dari jarak jauh. Kingston bahkan menambahkan USB 3.0, yang memungkinkan transfer data aman jauh lebih cepat daripada USB 2.0.
Secara keseluruhan, DT Vault Privacy 3.0 adalah pilihan yang bagus untuk sektor korporat dan organisasi yang membutuhkan perlindungan maksimum untuk datanya. Ini juga dapat direkomendasikan untuk semua pengguna yang menggunakan komputer di jaringan publik.
Untuk informasi lebih lanjut tentang produk Kingston, kunjungi situs web resmi perusahaan...