CDR.cz - Vybráno z IT

ICT&Security 2011: Rozhovor se zástupci společnosti Kingston o aktuálních šifrovacích postupech a metodách

Kingston DataTraveler 4000 Managed 8GB
Již každoročně do Prahy v listopadu zavítají zástupci předních bezpečnostních firem v oblasti IT na konferenci ICT&Security. Letošní ročník měl přívlastek 2011 a za hostující místo byl zvolen Hotel Diplomat. Na konferenci jsem mířil se zvláštním posláním – vyzpovídat vývojáře z Kingstonu a získat tak zajímavé informace ohledně hardwarově šifrovaných flash disků, které Kingston vyrábí.

Rozhovoru se účastnili Field Application Engineer Kingstonu Adrain Vieaud a Martin Gaczor jakožto marketingový zástupce. Současně se mnou do diskuze zasahoval také IT konzultant Ivan Sobička z DataConsultu. Všichni jsme se usadili v lobby Diplomatu a rozhovor mohl začít.

Jaký je rozdíl mezi hardwarovým a softwarovým šifrování disků?

Adrian:

Softwarové šifrování celé probíhá na počítači hosta. Potenciální problém je ten, že uživatel, který je právě na daném počítači, může použít specializované nástroje, které dokáží pracovat s pamětí a získat z ní data. Proto Kingston preferuje hardwarové šifrování, které se provádí přímo na flash disku. Na disku jsou také plošné spoje s kryptovacím čipem, kde se vytváří šifrovací klíče a všechno ostatní. To znamená, že se nic neinstaluje na hostující počítač, všechno se děje na úrovni USB. Nepotřebujete ani administrátorská práva v operačním systému, abyste flash disk mohli používat.

Jaké operační systémy v tuto chvíli podporujete?

Adrian:

V současné době podporujeme Windows, Mac a Linux. Ne na všech discích, ale na DTVP (DataTraveler Vault Privacy pozn. red.) tomu tak je.

Jak tedy vlastně disk funguje z hlediska uživatele?

Adrian:

Jakmile zapojíte disk do USB a spustí se z něj software, disk se vás zeptá na heslo.

(Adrian nám vše ukazuje na notebooku a načítání chvíli trvá.)

Martin Gaczor:

Protože se všechno děje prakticky na flash disku, celá operace je trochu pomalejší. Proces využívá primárně USB, nic z autentifikační fáze nezanechává na disku. Proto je celý proces univerzální – nepotřebujete žádný další software pro práci, všechno je na disku, který si nesete s sebou.

Využije tedy proces nějak disk hostující počítače?

Adrian:

Proces vytvoří pouze dočasné soubory v systému nutné k zobrazení okna pro heslo, které následně všechny smaže, není proto možné je jakkoli zneužít.

Povězte nám něco o DTVP discích – DataTraveler Vault Privacy verzích.

Adrian:

Tato varianta vyžaduje samozřejmě také heslo. Pokud jej zadáte ve výchozím nastavení 10x špatně, celý disk se automaticky zformátuje – šifrovací klíče jsou smazány a disk je naformátován. Můžete disk znovu použít, ale samozřejmě na něm již nebudou žádná data. Data jsou šifrována 256-bitovým AES šifrováním. Heslo musí být zvolené podle zadaných pravidel a musí být dostatečně složité. Všechno je samozřejmě upravitelné, pokud zákazník potřebuje pouze 3 pokusy pro heslo, může si nastavit 3.

Jak si tedy mohu flash disk upravit podle svých potřeb?

Martin Gaczor:

Veškeré úpravy provádí přímo Kingston. Kingston má své vendor ID a product ID, což je také část identifikačního kódu každého disku. Některé firmy jsou totiž pouze „virtuální“ a kupují prázdná média a následně je po úpravách prodávají. Kingston je však přímo vyrábí (má vlastní ID). Kingston může také ID přidělit přímo jednotlivcům ze zákaznické společnosti, díky čemuž lze také zpětně dohledat majitele disku. Může to být tedy důkaz v případě úniku informací.

Adrian:

Vendor a product ID vám také umožní nastavit, že disk bude pracovat třeba pouze s určitým notebookem. Tyto restrikce můžete provést přes Blacklisting nebo Whitelisting určitých USB portů.

Martin Gaczor:

Současně s tím můžete také upravit loga na disku nebo nastavit zprávu typu „Pokud jste našli tento disk, zavolejte prosím na číslo…“. V tomto případě nebude schopen nálezce pracovat s daty nebo je zobrazit, ale bude vědět, koho má kde kontaktovat ohledně ztráty.

Adrian:

Nedoporučuji dávat tam logo FBI, to by se hned našli lidé, kteří disk ukradnou a pokusí se jej prolomit :-).

Mají disky nějaký druh ochrany proti vnější fyzické síle?

Adrian:

Ano, disky mají různé úrovně FIPS certifikace (Federal Information Processing Standard pozn. red.). Úroveň 2 má funkci tamper-evident, tedy pokud se někdo snažil dostat do disku, vyšetřovatelé to budou schopni rozpoznat. Úroveň 3 má funkci tamper-proof. Jakmile někdo poškodí obal disku a pokusí se dostat k datům uvnitř, mechanismus uvnitř zabrání fungování disku. My máme úroveň 2 a 3.

Martin Gaczor:

DTVP mají hliníkový obal, verze 4000 a výše mají obal titanový. Opravdu není lehké disky rozbít. V ČR jsme to neprováděli, ale v Polsku jsme zkoušeli pár testů. Hráli jsme s tím hokej, přejeli jsme disk autem a je opravdu robustní a není jednoduché jej poškodit. Disky jsou samozřejmě vodě odolné.

Jaké varianty disků tedy prodáváte?

Adrian:

Kingston DataTraveler 4000 Managed 8GBMáme DTVP s CBC šifrováním ve verzi Managed (pro SafeConsole) a stand-alone, obě nemají FIPS certifikaci. Pak máme verzi 4000 s FIPS úrovní 2, opět CBC šifrováním ve verzi stand-alone a Managed.

Ve vývoji následujících verzí spolupracujeme se společností Spyrus. Společnost Spyrus pracuje na šifrování satelitní komunikace a má zakázky od Ministerstva obrany USA, takže ti opravdu vědí, co dělají a my jsme jediná společnost vyrábějící flash disky, která s nimi pracuje. Takže následující dva disky by měly být prakticky nejzabezpečenější na světě. Používají šifrování XTS. Verze 5000 má FIPS level 2 a verze 6000 má FIPS level 3 – tato verze byla vydána teprve před pár týdny (přesně 28.9.2011 pozn. red.). Tyto verze jsou samozřejmě dražší než předchozí. Poslední dvě verze nejsou ve verzi Managed.

Je možné disk klasicky naformátovat přes příkazovou řádku nebo jiný software?

Adrian:

Ano, disk má dva oddíly. Jeden je read only – tam jsou soubory potřebné k autentifikační proceduře. Druhý je určen pro vaše data. Je možné jej naformátovat, ale doporučujeme používat oficiální software. Současně nedoporučujeme používat souborové systémy jako FAT32 atd.

Kde se dají tyto disky v ČR koupit?

Martin Gaczor:

Jsou na Alze, na CzechComputeru, Mironetu atd. Zvláště ty stand-alone verze je možné koupit téměř všude. Managed verze jsou většinou pouze na seznamu prodávaných, ale koupě se většinou dohaduje přímo se společností, která o ně má zájem, protože je možné si disky plně upravit včetně SafeConsole. Většinou za nimi přímo osobně dojde náš zástupce (systém integrator nebo corporate reseller) a vše domluví na místě. U SafeConsole si můžete koupit licenci na jeden rok nebo neomezenou. Před koupí umožňujeme si vše vyzkoušet včetně samotné SafeConsole v demo verzi.

Oba pánové od Kingstonu po interview pokračovali do přednáškového sálu, kde měl Kingston svůj půlhodinový blok, ve kterém představili své disky.

Kingston DataTraveler 4000 Managed 8GB
Kingston DataTraveler 4000 Managed 8 GB

Měl jsem možnost zhlédnout DTVP flash disk a musím říct, že je opravdu velmi kvalitní. Přenosové rychlosti pro tuto verzi jsou do 24 MB/s čtení a do 10 MB/s zápis.

Celé portfolio probíraných disků včetně detailních informací si můžete prohlédnout zde.

Tagy: 

Jiří Moos (Google+)

Jirka Moos je redaktor CDR.cz a DIIT.cz, kreativec se smyslem pro humor a také blázen do zabezpečení IT systémů. Vede bezpečnostní týdeník CDR Security Update a v současné době řeší marketing a redakční spolupráce CDR/DIIT.

více článků, blogů a informací o autorovi

Diskuse ke článku ICT&Security 2011: Rozhovor se zástupci společnosti Kingston o aktuálních šifrovacích postupech a metodách

Pátek, 2 Prosinec 2011 - 17:30 | Matydot | Zkouset muzes od IronKey, DataLocker nebo i...
Pátek, 2 Prosinec 2011 - 15:15 | HKMaly | To je pomerne dulezite upresneni. A je z nej i...
Pátek, 2 Prosinec 2011 - 13:15 | WIFT | Znovu říkám: ta fleška se bez spuštění toho softu...
Pátek, 2 Prosinec 2011 - 11:32 | Izak | Opravdu ? Windows totiz na USB flash nevidi jinou...
Čtvrtek, 1 Prosinec 2011 - 16:19 | WIFT | Máme tady v redakci jednu takovou flešku na testy...
Čtvrtek, 1 Prosinec 2011 - 15:53 | Anders | jenze bez autentizace se ktomu oddilu vubec...
Čtvrtek, 1 Prosinec 2011 - 15:19 | any.sk | Hmm, disk se sam zmaze po 10 pokusech ... to...
Čtvrtek, 1 Prosinec 2011 - 11:26 | sumix | U toho liveCD se to řeší ramdiskem, jak napsal...
Čtvrtek, 1 Prosinec 2011 - 11:24 | sumix | Ty "testy" jsou takhle dělané proto, že...
Čtvrtek, 1 Prosinec 2011 - 10:26 | David Foltyn | ty testy si delaji srandu?, zlodej asi nebude...

Zobrazit diskusi