IronKey D300 - bezpieczny, szyfrowany i odporny pendrive

IronKey D300 firmy Kingston to bezpieczny pendrive wykorzystujący rozwiązanie technologiczne marki IronKey. Z kolei IronKey jest własnością firmy DataLocker, z którą to Kingston nawiązał partnerstwo w temacie najlepszej klasy rozwiązań szyfrowania dla organizacji.

Ten szyfrowany pendrive ma certyfikat FIPS 140-2 Level 3 i wykorzystuje 256-bitowe szyfrowanie sprzętowe AES w trybie XTS. Jego oficjalny certyfikat znajduje się na stronie nist.gov.
OK, zatem trzeba zacząć od tego...

Co to jest FIPS 140-2 i jak mocne jest Level 3

FIPS, czyli Federal Information Processing Standard, to standard określony przez rząd USA, opisujący wymagania w zakresie szyfrowania i bezpieczeństwa wobec produktów informatycznych do przetwarzania danych istotnych, ale nie zastrzeżonych.

FIPS 140-2 został opublikowany w 2001 roku i nadal jest standardem obowiązującym, mimo że w 2009 roku zaproponowano jego nowszą wersję FIPS 140-3.

Aby uzyskać certyfikat FIPS 140-2 Validated™, produkt musi zostać przetestowany oraz zatwierdzony przez jedno z 13 niezależnych laboratoriów, posiadających akredytację instytutu NIST. Pełną listę wszystkich certyfikowanych produktów znajdziesz na tej stronie.
 
FIPS 140-2 ma cztery poziomy ochrony: 1 najniższy, 4 najwyższy.

• Poziom 1 służy do szyfrowania na poziomie oprogramowania. Dla przykładu może to być zaszyrfowany zwykły dysk lub zaszyrfowany pendrive.
   
• Poziom 2 wykrywa fizyczne naruszenia bezpieczeństwa. Czyli można stwierdzić, że ktoś próbował złamać zabezpieczenia.
   
• Poziom 3 zabezpiecza przed fizycznym naruszeniem, czyli demontażem lub modyfikacją, a naruszenie takiego zabezpieczenia powinno być trudne. Ponadto, po wykryciu naruszenia, urządzenie powinno usunąć  zabezpieczane dane.
   
• Poziom 4 nie tylko zabezpiecza przed fizycznym naruszeniem i usuwa dane, ale także wykrywa i powiadamia o próbie naruszenia.

To w dużym skrócie, bo więcej szczegółowych informacji jak zwykle można znaleźć w wikipedii.

Z pewnością jest bepieczny i bardzo mało prawdopodobne, aby "cywilnymi" metodami udało się wyciągnać z niego dane. Inna sprawa to agencje rządowe typu FBI, które na pewno mają swoje "tylne drzwi" do takich produktów.

IronKey D300 to wytrzymały pendrive bo...

No dobrze, wiemy już więc, że D300 nie jest taki jaki jest dlatego, że w firmie Kingston jakiś marketingowiec i projektant wymyślili sobie, aby zrobić solidnego metalowego pendrive, którego recenzenci będą wkładać pod prasę hydrauliczną, zrzucać z 1000 stóp, ciąć i wyginać, etc.

Całą elektronikę, czyli pamięć i moduł szyfrujący, zatopiono w żywicy epoksydowej i zamknięto w solidnej, masywej obudowie, którą bardzo trudno rozebrać, nie naruszając zabezpieczeń ochronnych. Tego wymaga FIPS 140-2 Level 3.

Na obudowie nie zobaczymy elementów łączenia. To jeden odlew, w którym umieszczono elektronikę, zatopioną w  żywicy epoksydowej

Próby dostania się do tej elektroniki mają skutkować skasowaniem (nieodwracalnym zniszczeniem) danych umieszczonych w pamięci. Przy okazji obudowa jest też bardzo wytrzymała na inne zdarzenia fizyczne.

Nie jest to jednak produkt, który służy do testowania wytrzymałościowego, "rozjeżdżania czołgiem", łamania w imadle, zamrażania w kostce lodu, etc.  Gdy zobaczysz na youtube filmik, na którym ktoś (a nie jest to kowal ;) traktuje IronKey D300 młotkiem, palnikami, czy sztangielkami, prawdopodobnie nie ma zielonego pojęcia o tym urządzeniu. Jak ktoś słusznie już kiedyś zauważył, "dla młotka wszystko jest gwoździem".

Prawda jest taka, że są o wiele subtelniejsze sposoby aby taki pen uszkodzić. Każdy kto ma choć odrobinę pojęcia o takim sprzęcie, doskonale o tym wie. Choćby zgubić zatyczkę do złącza.
Jak dla mnie niech wytrzyma pięć lat przypięty do pęku kluczy, a będzie naprawdę dobrze. O ile wcześniej sam się nie zepsuje (iYKwIM).

W zestawie otrzymujemy zgrabną stalową linkę spinaną na gwincie. Idealnie nadaje się do spięcia z kluczami.

IronKey D300 zamiast VeraCrypt i Keepass

VeraCrypt czy Keepass, nie są oznaką jakiejś szczególnej fobii na punkcie bezpieczeństwa, lub używane przez osoby mające coś do ukrycia (choć trzeba rozumieć logikę agencji typu FBI czy CIA - zasada młotek i gwoździe). To przeciętne, cywilne aplikacje pomagające chronić nasze ważne dane i hasła, w przypadku kradzieży lub zgubienia laptopa. Wiedzą o tym doskonale osoby często podróżujące służbowo, szczególnie pociągiem. Trzymanie kluczowych haseł w otwartym pliku tekstowym na dysku, albo w danych logowania przeglądarki (nawet za hasłem), nie jest ani bezpieczne, ani wygodne. Dlatego przydaje się taka aplikacja jak choćby Keepass.

Z kolei jeśli na zewnętrznym dysku tworzymy kopie zapasowe ważnych dokumentów (a w tym pewnie też haseł), warto taki dysk zaszyfrować. Jeśli pracujemy wyłącznie na Windows, można to zrobić funkcją BitLocker, ale ta jest dostępna jedynie w systemie Windows w wersji Pro. Jeśli używamy systemu Linux lub obydwu jednocześnie, trzeba sięgnąć po rozwiązanie multiplatformowe, czyli np.: VeraCrypt.

Zewnętrzny dysk może być poręcznym pendrivem, który przypniemy sobie do kluczy. Jeśli zaszyfrujemy go programem BitLocker lub VeraCrypt, a hasło będzie wystarczająco mocne, po jego zgubieniu będzie można spać spokojnie.
Jak mocne powinno być hasło, żeby zapewnić sobie twardy sen? Powiedzmy, że o sile około 100 bitów  da nam wystarczająco dużo czasu, żeby bez pośpiechu zmienić hasła, które chroniliśmy na dysku. Jeśli dodatkowo były w pliku Keepass, w zasadzie nie ma powodów do obaw.

Jeśli musimy chronić pliki lub dokumenty, ważniejsze niż hasła (hasła można przecież zmienić na nowe w kilka minut), może się przydać właśnie taki gadżet jak IronPen. Wśród wielu podobnych szyfrowanych dysków flash, ten cechuje także podwyższona wytrzymałość.

To dlaczego nie zaszyfrować normalnego pena?

Można, i z całą pewnością będzie to rozsądniejsze niż noszenie ważnych dokumentów na niezabezpieczonym pendrive. Jednak dla tych, którzy potrzebują zapezpieczenia na profesjonalnym poziomie, IronKey D300 Kingston ma kilka kluczowych cech, niedostępnych w samodzielnie zaszyfrowanych dyskach.

Po pierwsze i co chyba najważniejsze, procesy szyfrowania i odszyfrowania danych odbywają się w układach pamięci i nie pozostawiają żadnych śladów w systemie, do którego wpinamy pendrive (aczkolwiek Kingston nie wyjaśnia co może się stać, gdy w systemie celowo podstawiony jest keylogger - lepiej nie logować się do niego na obcych komputerach).

Po drugie, pendrive, a konkretnie pamięć, jest blokowana i formatowana po 10 nieudanych próbach wprowadzenia hasła, co zabezpiecza dane przed atakami metodą brute force.

Po trzecie, co również może okazać się przydatne, D300 jest urządzeniem multiplatformowym. Można się do niego logować w systemie Windows, Linux lub MAC.

Prawie 350 zł i tylko 4GB

IronKey D300 jest niejako następcą i ulepszoną wersją starszego DataTraveler 4000G2. To również szyfrowany pendrive, który posiadał certyfikat FIPS 140-2 Level 3 i sprzętowe szyfrowanie 256-bitowe AES w trybie XTS.

Łatwo można policzyć, ile trzeba dodatkowo zapłacić za tak solidne zabezpieczenia i ceryfikat FIPS 140-2 Level 3. Dla porównania Kingston DataTraveler Vault Privacy 8GB kosztuje już tylko 180 zł. Również oferuje 256-bitowe szyfrowanie AES w trybie XTS, wymusza używanie złożonego hasła i formatuje pamięć po 10 nieudanych próbach uzyskania dostępu do danych. W przeliczeniu na 1GB kosztuje więc prawie cztery razy mniej, jednak posiada już tylko certyfikat FIPS 197, przez co bardziej przypomina normalny zaszyfrowany pendrive.

Na nieszczęście dla D300, wersja o pojemności 4GB jest najwolniejszą - prędkość odczytu 80 MB/s, zapis zaledwie 12 MB/s.
Dla porównania wersje 8GB i 16GB mają odczyt 165 MB/s, zapis 22 MB/s, a wersja 32GB: odczyt 250 MB/s, zapis 40 MB/s.
Zatem kosztujące mniej i czterokrotnie pojemniejsze DataTraveler Vault Privacy, będą również dwukrotnie szybsze. Przyjmijmy jednak, że na szyfrowany pendrive o pojemności 4GB nie będziemy kopiować dużej ilości danych, zatem trudno taką prędkość zapisu zakwalifikować jako minus.

Do czego i komu przyda się IronKey D300?

Przede wszystkim dla tych, którzy nie mają umiejętności, aby samodzielnie stworzyć sobie bezpieczny pendrive - np: używając VeraCrypt, czy innej tego typu aplikacji. BitLockerem wbudowanym w Windows Pro jest to łatwiejsze, ale taki pen odczytamy tylko na komputerze z Windows Pro, nie wspominając już o Linuxie.

Dla lubiących rozwiązania pewne i wygodne. Korzystanie z fabrycznie zaszyfrowanego pena - czyli takiego jak IK D300 czy DT Vault Privacy - jest o wiele wygodniejsze, niż spreparowanego samodzielnie. Automatyczne wykrywanie i czytelny interefejs logowania, to drobiazgi, ale na dłuższą metę duże atuty, szczególnie gdy często logujemy się do tej pamięci.

Sądzę, że model IronKey D300 bardziej nadaje się na bezpośrednie przechowywanie niezaszyfrowanych dokumentów i plików, do których chcielibyśmy mieć bezpośredni dostęp, ewentualnie dodatkowo zaszyfrowanych plików z hasłami o bardzo dużym znaczeniu. Do przechowywania zaszyfrowanych baz np: keepass, spokojnie powininen wystarczyć DataTraveler Vault Privacy.

Na koniec drobne spostrzeżenie dotyczące trwałości lakieru na obudowie. Fotkę na samym początku artykułu wykonaliśmy tuż po wyjęciu D300 z pudełka. Na fotce poniżej, ten sam pen po około 60 dniach używania, przypięty do kilku kluczy. W sumie to drobiazg, ale w topowym produkcie za 350 zł można się było postarać o coś lepszego.