ハードウェア暗号化を備えたフラッシュドライブが必要なのはなぜですか？

こんにちは、Habr！フラッシュドライブに関する私たちの資料の1つへのコメントで、読者は興味深い質問をしました。「TrueCryptがあるのに、なぜハードウェア暗号化を備えたフラッシュドライブが必要なのですか？」キングストンドライブにブックマークがありませんか？」私たちはこれらの質問に簡潔に答えましたが、そのトピックは基本的な分析に値すると判断しました。これがこの投稿で行うことです。







AESハードウェア暗号化は、ソフトウェア暗号化と同じように長い間使用されてきましたが、フラッシュドライブ上の機密データをどの程度正確に保護しますか？誰がこれらのドライブを認証し、これらの認証は信頼できますか？TrueCryptやBitLockerのような無料のプログラムを使用できるのに、このような「複雑な」フラッシュドライブが必要な人もいます。ご覧のとおり、コメントで設定されたトピックは本当に多くの疑問を投げかけます。それを理解してみましょう。

ハードウェア暗号化はソフトウェア暗号化とどう違うのですか？

フラッシュドライブ（およびHDDとSSD）の場合、デバイスのプリント回路ボードにある特別なチップを使用して、ハードウェアデータの暗号化を実装します。暗号化キーを生成するランダム番号ジェネレーターが組み込まれています。ユーザーパスワードを入力すると、データは自動的に暗号化され、即座に復号化されます。このシナリオでは、パスワードなしでデータにアクセスすることはほぼ不可能です。



ソフトウェア暗号化を使用する場合、ドライブ上のデータは外部ソフトウェアによって「ロック」されます。これは、ハードウェア暗号化方式の低コストの代替手段として機能します。そのようなソフトウェアの不利な点は、絶えず改善されているハッキング技術への抵抗を提供するための定期的な更新の些細な要件かもしれません。さらに、（個別のハードウェアチップではなく）コンピュータープロセスの能力を使用してデータを復号化します。実際、PCの保護レベルによって、ドライブの保護レベルが決まります。



ハードウェア暗号化を備えたドライブの主な機能は、独立した暗号化プロセッサです。その存在は、コンピュータのRAMまたはハードドライブに一時的に保存できるソフトウェアキーとは異なり、暗号化キーがUSBドライブを離れることがないことを示しています。また、ソフトウェア暗号化はPCのメモリを使用してログイン試行回数を保存するため、パスワードまたはキーに対するブルートフォース攻撃を阻止することはできません。自動パスワードクラッキングプログラムが目的の組み合わせを見つけるまで、攻撃者はログイン試行のカウンターを常にリセットできます。



ちなみに...、記事「Kingston DataTraveler：新世代の安全なフラッシュドライブ」へのコメントで」ユーザーは、たとえば、TrueCryptにはポータブルな操作モードがあることにも注目しました。ただし、これは大きな利点ではありません。実際のところ、この場合、暗号化プログラムはフラッシュドライブのメモリに保存されているため、攻撃に対してより脆弱になります。



その結果、ソフトウェアアプローチは、AES暗号化と同じ高レベルのセキュリティを提供しません。むしろ、それは基本的な保護です。一方、重要なデータのソフトウェア暗号化は、暗号化をまったく行わないよりも優れています。そして、この事実により、これらのタイプの暗号化を明確に区別することができます。フラッシュドライブのハードウェア暗号化は、むしろ企業部門にとって必要です（たとえば、会社の従業員が職場で発行されたドライブを使用する場合）。ソフトウェアはユーザーのニーズにより適しています。







ただし、キングストンはドライブモデル（IronKey S1000など）をベーシック（ベース）バージョンとエンタープライズ（エンタープライズ）バージョンに分割しています。機能と保護プロパティの点では、これらはほぼ同じですが、企業バージョンでは、SafeConsole / IronKeyEMSソフトウェアを使用してドライブを管理する機能が提供されています。このソフトウェアのおかげで、ドライブはクラウドサーバーまたはローカルサーバーのいずれかと連携して、パスワード保護とアクセスポリシーをリモートで適用します。これにより、ユーザーは紛失したパスワードを回復でき、管理者は使用されなくなったドライブを新しいタスクに切り替えることができます。

キングストンAESフラッシュドライブはどのように機能しますか？

Kingstonは、すべてのセキュアドライブにAES-XTS 256ビットハードウェア暗号化（オプションのフルレングスキーを使用）を使用しています。上で述べたように、フラッシュドライブのコンポーネントベースには、データを暗号化および復号化するための個別のチップが含まれています。このチップは、常にアクティブなランダム番号ジェネレータとして機能します。



デバイスを初めてUSBポートに接続すると、初期化セットアップウィザードにより、デバイスにアクセスするためのマスターパスワードを設定するように求められます。ドライブをアクティブ化すると、暗号化アルゴリズムがユーザーの設定に従って自動的に機能し始めます。



同時に、ユーザーにとって、フラッシュドライブの動作原理は変更されません。通常のUSBフラッシュドライブを使用する場合と同様に、ファイルをダウンロードしてデバイスのメモリに配置できます。唯一の違いは、フラッシュドライブを新しいコンピューターに接続するときに、情報にアクセスするために設定されたパスワードを入力する必要があることです。

ハードウェア暗号化を備えたフラッシュドライブが必要な理由と人は誰ですか？

機密データがビジネスの一部である組織（金融機関、医療機関、政府機関など）にとって、暗号化は最も信頼性の高い保護手段です。この点で、256ビットAESハードウェア暗号化をサポートするフラッシュドライブは、個人や中小企業から大企業、さらには軍事組織や政府機関まで、あらゆる企業が使用できるスケーラブルなソリューションです。もう少し具体的に言うと、暗号化されたUSBドライブを使用する必要があります。

• 会社の機密データのセキュリティを確保するため
• 顧客情報を保護するため
• 利益と顧客ロイヤルティの損失から企業を保護するため

一部の頑丈なフラッシュドライブメーカー（キングストンを含む）は、顧客のニーズと課題に合わせてカスタマイズされたソリューションを企業に提供していることは注目に値します。しかし、マスライン（DataTravelerフラッシュドライブを含む）は、そのタスクで優れた仕事をし、エンタープライズクラスのセキュリティを提供することができます。

1.会社の機密データのセキュリティを確保する

2017年、ロンドン市民が公園の1つでUSBドライブを発見しました。このドライブには、監視カメラの位置、高官が到着した場合の保護対策に関する詳細情報など、ヒースロー空港のセキュリティに関する保護されていない情報が含まれていました。また、フラッシュドライブには、空港の閉鎖区域への電子パスとアクセスコードのデータが含まれていました。



アナリストは、そのような状況の理由は、彼ら自身の怠慢によって分類された情報を「漏らす」ことができる会社の従業員のサイバーリテラシーであると言います。ハードウェア暗号化を備えたフラッシュドライブは、この問題を部分的に解決します。そのようなドライブを紛失すると、同じセキュリティ担当者のマスターパスワードがないと、そのドライブ上のデータにアクセスできなくなるためです。いずれにせよ、これは、暗号化されたデバイスに関しても、従業員がフラッシュドライブを処理するためのトレーニングを受ける必要があるという事実を否定するものではありません。

2.顧客情報の保護

どの組織にとってもさらに重要なのは、侵害のリスクにさらされるべきではない顧客データの管理です。ちなみに、異なる事業部門間で最も頻繁に送信されるのはこの情報であり、原則として機密情報です。たとえば、金融取引や病歴などのデータが含まれている場合があります。

3.利益と顧客の忠誠心の喪失に対する保護

ハードウェアで暗号化されたUSBデバイスを使用すると、組織の混乱を防ぐことができます。個人データ保護法に違反する企業は、多額の罰金を科せられる可能性があります。したがって、質問する必要があるのは、適切な保護なしに情報を共有するリスクを冒す価値があるかどうかです。



経済的な影響を無視しても、発生するセキュリティバグの修正に費やされる時間とリソースも同様に重要です。さらに、データ侵害によって顧客データが危険にさらされた場合、特に同様の製品またはサービスを提供する競合他社が存在する市場では、企業はブランドの忠誠心を危険にさらします。

ハードウェア暗号化を備えたフラッシュドライブを使用する場合、メーカーからの「ブックマーク」がないことを誰が保証しますか？

私たちが提起したトピックでは、この質問はおそらく主要な質問の1つです。 Kingston DataTravelerドライブに関する記事へのコメントの中で、別の興味深い質問に出くわしました。「お使いのデバイスには、サードパーティの独立したスペシャリストによる監査がありますか？」ええと...それは論理的な関心事です。ユーザーは、USBドライブに、弱い暗号化やパスワード入力をバイパスする機能などの一般的なバグがないことを確認したいと考えています。また、記事のこの部分では、キングストンドライブが真に安全なフラッシュドライブになる前に実行する認証手順について説明します。



誰が信頼性を保証しますか？彼らは、「キングストンが生み出した-彼は保証している」と言っていると言えるでしょう。ただし、この場合、製造元は利害関係者であるため、このような記述は正しくありません。したがって、すべての製品は、独立した検査を受けた第三者によってテストされます。具体的には、キングストンのハードウェア暗号化ドライブ（DTLPG3を除く）は、暗号化モジュール検証プログラム（CMVP）のメンバーであり、連邦情報処理規格（FIPS）の認定を受けています。また、ドライブはGLBA、HIPPA、HITECH、PCI、およびGTSA規格に従って認定されています。

1.暗号化モジュールの検証のためのプログラム

CMVPプロ​​グラムは、米国商務省とカナダサイバーセキュリティセンターの下にある国立標準技術研究所の共同プロジェクトです。このプロジェクトの目標は、検証済みの暗号化デバイスの需要を刺激し、機器の調達に使用される連邦政府機関および規制対象の業界（金融機関や医療機関など）にセキュリティメトリックを提供することです。



一連の暗号化およびセキュリティ要件に準拠しているかどうかのデバイスのチェックは、NVLAP（National Voluntary Laboratory Accreditation Program / "National Voluntary Laboratory Accreditation Program"）によって認定された暗号化およびセキュリティテストのための独立した研究所によって実行されます。さらに、各ラボレポートは、連邦情報処理規格（FIPS）140-2に準拠しているかどうかがチェックされ、CMVPによって確認されます。



FIPS 140-2に準拠していることが確認されたモジュールは、2026年9月22日まで米国およびカナダの連邦機関で使用することをお勧めします。その後、引き続き使用できますが、アーカイブリストに含まれます。2020年9月22日、FIPS140-3規格に準拠した検証申請の受付が終了しました。検証が完了すると、デバイスは5年間[アクティブな信頼済みおよび信頼済みデバイス]リストに移動されます。暗号化デバイスが検証に失敗した場合、米国およびカナダの政府機関での使用は推奨されません。

2. FIPS認定のセキュリティ要件は何ですか？

認定されていない暗号化されたディスクからでもデータをハッキングすることは難しく、数の力の範囲内ではないため、認定された家庭用の消費者向けドライブを選択するときは、気にする必要はありません。企業部門では状況が異なります。安全なUSBドライブを選択する場合、企業はFIPS認定レベルを重視することがよくあります。ただし、これらのレベルの意味を誰もが明確に理解しているわけではありません。



現在のFIPS140-2規格は、フラッシュドライブが満たすことができる4つの異なるレベルのセキュリティを定義しています。最初のレベルは、中程度のセキュリティ機能のセットを提供します。 4番目のレベルは、デバイスの自己防衛に関する厳格な要件を意味します。レベル2と3は、これらの要件のグラデーションを提供し、一種の黄金の平均を形成します。

1. : USB-, , .
2. : , , - .
3. : «» . . : , .
4. 4番目のセキュリティレベル：暗号化モジュールの完全な保護を前提とする最高レベル。これにより、許可されていないユーザーによる許可されていないアクセスの試みに対する検出と耐性の最大の確率が保証されます。レベル4の証明書を受け取ったフラッシュドライブには、とりわけ、電圧と周囲温度を変更することによるハッキングを許可しない保護オプションが含まれています。

次のキングストンドライブは、FIPS 140-2レベル3認定済みです：DataTraveler DT2000、DataTraveler DT4000G2、IronKey S1000、IronKeyD300。これらのドライブの主な機能は、侵入の試みに応答する機能です。パスワードが10回間違って入力されると、ドライブ上のデータが破壊されます。

キングストンフラッシュドライブは、暗号化以外に何ができますか？

完全なデータセキュリティに関しては、フラッシュドライブのハードウェア暗号化、組み込みのアンチウイルス、外部の影響からの保護、パーソナルクラウドやその他のチップとの同期が役立ちます。これについては、以下で説明します。ソフトウェア暗号化を備えたフラッシュドライブに大きな違いはありません。悪魔は細部にあります。そして、ここにあります。



1.Kingston DataTraveler 2000







たとえば、Kingston DataTraveler 2000USBスティックを取り上げます。..。これはハードウェア暗号化を備えたフラッシュドライブの1つですが、同時に、ケースに独自の物理キーボードを備えた唯一のドライブです。この11キーのキーパッドにより、DT2000はホストシステムから完全に独立しています（DataTraveler 2000を使用するには、キーボタンを押してから、パスワードを入力し、もう一度キーボタンを押す必要があります）。さらに、このフラッシュドライブは、水やほこりに対してIP57の保護レベルを備えています（驚くべきことに、キングストンはパッケージにも公式Webサイトの仕様にもこれを記載していません）。



DataTraveler 2000の内部にはリチウムポリマーバッテリー（容量40mAh）があり、キングストンは、バッテリーを再充電できるように、ドライブを使用する前に少なくとも1時間はドライブをUSBポートに接続することをお勧めします。ちなみに、過去の資料の一つでパワーバンクから充電されたフラッシュドライブがどうなるかについて話しました。心配する必要はありません。システムからコントローラーへの要求がないため、フラッシュドライブは充電器でアクティブになりません。したがって、ワイヤレス侵入によってデータを盗むことはありません。



2. Kingston DataTraveler Locker + G3







Kingston DataTraveler Locker + G3モデルについて言えば、フラッシュドライブからGoogleクラウドストレージ、OneDrive、Amazon Cloud、またはDropboxへのデータバックアップを構成する機能で注目を集めています。これらのサービスとのデータ同期も提供されます。



読者からの質問の1つは、「バックアップから暗号化されたデータを取得するにはどうすればよいですか？」です。とてもシンプルです。事実、クラウドと同期するとき、情報は復号化され、クラウド上のバックアップの保護はクラウド自体の機能に依存します。したがって、このような手順は、ユーザーの裁量でのみ実行されます。彼の許可がなければ、クラウドへのデータのアップロードはありません。



3.Kingston DataTravelerVaultプライバシー3.0







しかしKingstonDataTravelerVaultプライバシー3.0デバイスESETのドライブセキュリティも組み込まれています。後者は、ウイルス、スパイウェア、トロイの木馬、ワーム、ルートキット、USBドライブへの侵入からデータを保護し、他の人のコンピューターに接続することを恐れていません。アンチウイルスは、潜在的な脅威がある場合は、ドライブの所有者に即座に警告します。この場合、ユーザーは自分でアンチウイルスソフトウェアをインストールして、このオプションの料金を支払う必要はありません。 ESET Drive Securityは、5年間のライセンスを持つフラッシュドライブにプリインストールされています。



Kingston DT Vault Privacy 3.0は、主にITプロフェッショナル向けに設計および重点化されています。管理者は、スタンドアロンストレージデバイスとして使用したり、集中管理ソリューションの一部として追加したりできます。また、パスワードを構成またはリモートでリセットしたり、デバイスポリシーを構成したりするためにも使用できます。キングストンはUSB3.0を追加しました。これにより、安全なデータをUSB2.0よりもはるかに高速に転送できます。



全体として、DT Vault Privacy 3.0は、データを最大限に保護する必要のある企業セクターや組織にとって優れたオプションです。また、パブリックネットワーク上のコンピューターを使用するすべてのユーザーに推奨することもできます。



キングストン製品の詳細については、同社の公式ウェブサイトをご覧ください。..。