El cifrado de hardware AES, como el cifrado de software, existe desde hace mucho tiempo, pero ¿cómo protege exactamente los datos confidenciales en las unidades flash? ¿Quién certifica estas unidades y se puede confiar en estas certificaciones? ¿Quién incluso necesita unidades flash tan "complejas" cuando puede utilizar programas gratuitos como TrueCrypt o BitLocker? Como puede ver, el tema establecido en los comentarios realmente plantea muchas preguntas. Intentemos resolverlo.
¿En qué se diferencia el cifrado por hardware del cifrado por software?
En el caso de las unidades flash (así como HDD y SSD), se utiliza un chip especial ubicado en la placa de circuito impreso del dispositivo para implementar el cifrado de datos de hardware. Tiene un generador de números aleatorios incorporado que genera claves de cifrado. Los datos se cifran automáticamente y se descifran instantáneamente cuando se ingresa una contraseña de usuario. En este escenario, acceder a los datos sin una contraseña es casi imposible.
Cuando se utiliza el cifrado de software, los datos de la unidad están "bloqueados" por un software externo, que actúa como una alternativa de bajo costo a los métodos de cifrado de hardware. Las desventajas de dicho software pueden ser el requisito trivial de actualizaciones periódicas para ofrecer resistencia a las técnicas de piratería en constante mejora. Además, la potencia del proceso de la computadora (y no un chip de hardware separado) se usa para descifrar los datos y, de hecho, el nivel de protección de la PC determina el nivel de protección de la unidad.
La característica principal de las unidades con cifrado de hardware es un procesador criptográfico separado, cuya presencia nos dice que las claves de cifrado nunca salen de una unidad USB, a diferencia de las claves de software, que pueden almacenarse temporalmente en la RAM de la computadora o en un disco duro. Y dado que el cifrado de software utiliza la memoria de la PC para almacenar el número de intentos de inicio de sesión, no puede detener los ataques de fuerza bruta a la contraseña o la clave. Un atacante puede restablecer constantemente el contador de intentos de inicio de sesión hasta que el programa de descifrado automático de contraseñas encuentre la combinación deseada.
Por cierto ..., en los comentarios al artículo “ Kingston DataTraveler: una nueva generación de unidades flash segurasLos usuarios también notaron que, por ejemplo, TrueCrypt tiene un modo de operación portátil. Sin embargo, esto no es una gran ventaja. El caso es que en este caso el programa de cifrado se almacena en la memoria de la unidad flash, y esto lo hace más vulnerable a los ataques.
Como resultado, el enfoque del software no proporciona el mismo alto nivel de seguridad que el cifrado AES. Más bien, es una protección básica. Por otro lado, el cifrado de datos importantes por software sigue siendo mejor que ningún cifrado. Y este hecho nos permite distinguir claramente entre estos tipos de criptografía: el cifrado por hardware de las unidades flash es una necesidad, más bien, para el sector empresarial (por ejemplo, cuando los empleados de la empresa utilizan unidades emitidas en el trabajo); mientras que el software es más adecuado para las necesidades del usuario.
Sin embargo, Kingston divide sus modelos de unidades (como IronKey S1000) en versiones Básica (base) y Enterprise (empresarial). En términos de funcionalidad y propiedades de protección, son casi idénticas entre sí, pero la versión corporativa ofrece la capacidad de administrar la unidad mediante el software SafeConsole / IronKey EMS. Gracias a este software, la unidad funciona con servidores en la nube o locales para hacer cumplir de forma remota las políticas de acceso y protección con contraseña. Esto proporciona a los usuarios la capacidad de recuperar contraseñas perdidas y a los administradores: cambiar las unidades que ya no se usan a nuevas tareas.
¿Cómo funcionan las unidades flash Kingston AES?
Kingston utiliza cifrado de hardware AES-XTS de 256 bits (utilizando una clave opcional de longitud completa) para todas sus unidades seguras. Como señalamos anteriormente, las unidades flash contienen en su base de componentes un chip separado para cifrar y descifrar datos, que actúa como un generador de números aleatorios constantemente activo.
Cuando conecta un dispositivo al puerto USB por primera vez, el Asistente de configuración de inicialización le solicita que configure una contraseña maestra para acceder al dispositivo. Después de activar la unidad, los algoritmos de cifrado comenzarán a funcionar automáticamente de acuerdo con las preferencias del usuario.
Al mismo tiempo, para el usuario, el principio de funcionamiento de la unidad flash permanecerá sin cambios: aún podrá descargar y colocar archivos en la memoria del dispositivo, como cuando trabaja con una unidad flash USB normal. La única diferencia es que cuando conecta una unidad flash a una computadora nueva, deberá ingresar la contraseña establecida para obtener acceso a su información.
¿Por qué y quién necesita unidades flash con cifrado de hardware?
Para las organizaciones en las que los datos confidenciales son parte del negocio, ya sean agencias financieras, médicas o gubernamentales, el cifrado es el medio de protección más confiable. En este sentido, las unidades flash con soporte para cifrado de hardware AES de 256 bits son una solución escalable que puede ser utilizada por cualquier empresa, desde individuos y pequeñas empresas hasta grandes corporaciones, así como organizaciones militares y gubernamentales. Para ser un poco más específico, es necesario utilizar unidades USB cifradas:
- Para garantizar la seguridad de los datos confidenciales de la empresa.
- Para proteger la información del cliente
- Para proteger a las empresas de la pérdida de beneficios y la fidelización de los clientes.
Vale la pena señalar que algunos fabricantes de unidades flash robustas (incluido Kingston) brindan a las empresas soluciones personalizadas adaptadas a las necesidades y desafíos de los clientes. Pero las líneas masivas (incluidas las unidades flash DataTraveler) hacen un excelente trabajo en sus tareas y pueden brindar seguridad de clase corporativa.
1. Garantizar la seguridad de los datos confidenciales de la empresa
En 2017, un londinense descubrió una unidad USB en uno de los parques, que contenía información desprotegida sobre la seguridad del aeropuerto de Heathrow, incluida la ubicación de las cámaras de seguridad, información detallada sobre las medidas de protección en caso de la llegada de funcionarios de alto rango. La memoria USB también contenía los datos de pases electrónicos y códigos de acceso a las áreas cerradas del aeropuerto.
Los analistas dicen que la razón de tales situaciones es la alfabetización cibernética de los empleados de la empresa, que pueden "filtrar" información clasificada por su propia negligencia. Las unidades flash con cifrado de hardware resuelven en parte este problema, porque si pierde dicha unidad, no podrá acceder a los datos que contiene sin la contraseña maestra del mismo oficial de seguridad. En cualquier caso, esto no niega el hecho de que los empleados deben estar capacitados para manejar unidades flash, incluso cuando se trata de dispositivos encriptados.
2. Protección de la información del cliente
Aún más importante para cualquier organización es cuidar los datos de los clientes, que no deberían estar expuestos al riesgo de compromiso. Por cierto, es esta información la que se transmite con mayor frecuencia entre diferentes sectores comerciales y, por regla general, es confidencial: por ejemplo, puede contener datos sobre transacciones financieras, historial médico, etc.
3. Protección contra lucro cesante y fidelización de clientes
El uso de dispositivos USB cifrados por hardware puede ayudar a prevenir interrupciones en las organizaciones. Las empresas que violen las leyes de protección de datos personales pueden enfrentar grandes multas. Por lo tanto, la pregunta que debe plantearse es si vale la pena correr el riesgo de compartir información sin la protección adecuada.
Incluso sin tener en cuenta las implicaciones financieras, la cantidad de tiempo y recursos dedicados a corregir los errores de seguridad que surgen puede ser igualmente significativa. Además, si una violación de datos ha comprometido los datos del cliente, una empresa se arriesga a ser leal a la marca, especialmente en mercados donde hay competidores que ofrecen un producto o servicio similar.
¿Quién garantiza la ausencia de "marcadores" del fabricante cuando se utilizan unidades flash con cifrado de hardware?
En el tema que hemos planteado, esta pregunta es quizás una de las principales. Entre los comentarios al artículo sobre las unidades Kingston DataTraveler, nos encontramos con otra pregunta interesante: "¿Tienen sus dispositivos una auditoría de especialistas independientes externos?" Bueno ... es un interés lógico: los usuarios quieren asegurarse de que nuestras unidades USB estén libres de errores comunes como un cifrado débil o la capacidad de omitir la entrada de contraseña. Y en esta parte del artículo, le diremos qué procedimientos de certificación atraviesan las unidades Kingston antes de convertirse en unidades flash realmente seguras.
¿Quién garantiza la fiabilidad? Parecería que bien podríamos decir que, dicen, "Kingston ha producido - él garantiza". Pero en este caso, dicha declaración será incorrecta, ya que el fabricante es una parte interesada. Por lo tanto, todos los productos son probados por un tercero con una revisión independiente. Específicamente, las unidades encriptadas por hardware de Kingston (excluyendo DTLPG3) son miembros del Programa de Validación de Módulos Criptográficos (CMVP) y están certificadas según el Estándar Federal de Procesamiento de Información (FIPS). También los variadores están certificados de acuerdo con los estándares GLBA, HIPPA, HITECH, PCI y GTSA.
1. Programa de validación de módulos criptográficos
El programa CMVP es un proyecto conjunto del Instituto Nacional de Estándares y Tecnología del Departamento de Comercio de EE. UU. Y el Centro Canadiense de Ciberseguridad. El objetivo del proyecto es estimular la demanda de dispositivos criptográficos probados y proporcionar métricas de seguridad a las agencias federales y las industrias reguladas (como instituciones financieras y médicas) que se utilizan en la adquisición de equipos.
Los dispositivos se prueban para verificar el cumplimiento de un conjunto de requisitos criptográficos y de seguridad por parte de laboratorios independientes de pruebas de seguridad y criptografía acreditados por NVLAP (Programa Nacional de Acreditación de Laboratorios Voluntarios). Además, cada informe de laboratorio es verificado para verificar que cumpla con el Estándar Federal de Procesamiento de Información (FIPS) 140-2 y confirmado por el CMVP.
Las agencias federales de EE. UU. Y Canadá recomiendan que los módulos que se ha confirmado cumplen con FIPS 140-2 hasta el 22 de septiembre de 2026. Después de eso, se incluirán en la lista de archivos, aunque aún se pueden usar. El 22 de septiembre de 2020 finalizó la aceptación de solicitudes de validación según el estándar FIPS 140-3. Una vez validados, los dispositivos se moverán a la lista Active Trusted y Trusted Devices durante cinco años. Si el dispositivo criptográfico no supera la verificación, no se recomienda su uso en las agencias gubernamentales de EE. UU. Y Canadá.
2. ¿Cuáles son los requisitos de seguridad de la certificación FIPS?
Hackear datos incluso desde un disco encriptado no certificado es difícil y no está al alcance de unos pocos, por lo que al elegir una unidad de consumo para uso doméstico con certificación, no tiene que molestarse. En el sector empresarial, la situación es diferente: al elegir unidades USB seguras, las empresas a menudo dan importancia a los niveles de certificación FIPS. Sin embargo, no todo el mundo tiene una comprensión clara de lo que significan estos niveles.
El estándar FIPS 140-2 actual define cuatro niveles diferentes de seguridad que pueden cumplir las unidades flash. El primer nivel proporciona un conjunto moderado de características de seguridad. El cuarto nivel implica requisitos estrictos para la autodefensa de los dispositivos. Los niveles dos y tres proporcionan una gradación de estos requisitos y forman una especie de media dorada.
- : USB-, , .
- : , , - .
- : «» . . : , .
- El cuarto nivel de seguridad: el nivel más alto, que implica la protección completa del módulo criptográfico, que asegura la máxima probabilidad de detección y resistencia a cualquier intento de acceso no autorizado por parte de un usuario no autorizado. Las unidades flash que han recibido un certificado de Nivel 4 incluyen opciones de seguridad que no permiten la piratería al cambiar el voltaje y la temperatura ambiente.
Las siguientes unidades Kingston cuentan con la certificación FIPS 140-2 Nivel 3: DataTraveler DT2000, DataTraveler DT4000G2, IronKey S1000, IronKey D300. La característica clave de estas unidades es la capacidad de responder a un intento de penetración: si la contraseña se ingresa incorrectamente 10 veces, los datos de la unidad se destruirán.
Además del cifrado, ¿qué más pueden hacer las unidades flash Kingston?
Cuando se trata de una seguridad completa de los datos, junto con el cifrado de hardware de las unidades flash, los antivirus incorporados, la protección contra influencias externas, la sincronización con nubes personales y otros chips, vienen al rescate, de los que hablaremos a continuación. No hay una gran diferencia en las unidades flash con cifrado de software. El diablo está en los detalles. Y aquí están los.
1.Kingston DataTraveler 2000
Tomemos, por ejemplo, una memoria USB Kingston DataTraveler 2000 .... Esta es una de las unidades flash con cifrado de hardware, pero al mismo tiempo la única con su propio teclado físico en la carcasa. Este teclado de 11 teclas hace que el DT2000 sea completamente independiente de los sistemas host (para usar el DataTraveler 2000, debe presionar el botón Key, luego ingresar su contraseña y presionar el botón Key nuevamente). Además, esta unidad flash tiene un grado de protección IP57 contra el agua y el polvo (sorprendentemente, Kingston no lo indica en ninguna parte ni en el empaque ni en las especificaciones del sitio web oficial).
El DataTraveler 2000 tiene una batería de polímero de litio (40 mAh de capacidad) en el interior, y Kingston aconseja a los clientes que conecten la unidad a un puerto USB durante al menos una hora antes de usarla para que la batería se recargue. Por cierto, en uno de los materiales pasados.hablamos sobre lo que sucede con una unidad flash que se carga desde un banco de energía : no hay razón para preocuparse: la unidad flash no está activada en el cargador, porque el sistema no solicita el controlador. Por lo tanto, nadie robará sus datos mediante intrusiones inalámbricas.
2. Kingston DataTraveler Locker + G3
Hablando sobre el modelo Kingston DataTraveler Locker + G3 , llama la atención con la capacidad de configurar la copia de seguridad de datos desde una unidad flash al almacenamiento en la nube de Google, OneDrive, Amazon Cloud o Dropbox. También se proporciona sincronización de datos con estos servicios.
Una de las preguntas que nos hacen los lectores es: "¿Cómo podemos obtener datos cifrados a partir de una copia de seguridad?" Muy simple. El hecho es que al sincronizar con la nube, la información se descifra y la protección de una copia de seguridad en la nube depende de las capacidades de la propia nube. Por lo tanto, dichos procedimientos se realizan únicamente a discreción del usuario. Sin su permiso, no se subirán datos a la nube.
3.Kingston DataTraveler Vault Privacy 3.0,
pero los dispositivos Kingston DataTraveler Vault Privacy 3.0también vienen con Drive Security integrado de ESET. Este último protege los datos de virus, spyware, troyanos, gusanos, rootkits, intrusiones en una unidad USB y, se podría decir, no tiene miedo de conectarse a las computadoras de otras personas. El antivirus advertirá instantáneamente al propietario de la unidad sobre posibles amenazas, si las hubiera. En este caso, el usuario no necesita instalar software antivirus por su cuenta y pagar por esta opción. ESET Drive Security está preinstalado en una unidad flash con una licencia de cinco años.
Kingston DT Vault Privacy 3.0 está diseñado y enfocado principalmente a profesionales de TI. Permite a los administradores usarlo como un dispositivo de almacenamiento independiente o agregarlo como parte de una solución de administración centralizada, y también se puede usar para configurar o restablecer contraseñas de forma remota y configurar políticas de dispositivos. Kingston incluso agregó USB 3.0, que le permite transferir datos seguros mucho más rápido que USB 2.0.
En general, DT Vault Privacy 3.0 es una excelente opción para el sector empresarial y las organizaciones que requieren la máxima protección para sus datos. También se puede recomendar a todos los usuarios que utilicen computadoras en redes públicas.
Para obtener más información sobre los productos de Kingston, visite el sitio web oficial de la empresa...