Flash disk se zabezpečením

Flash disk se zabezpečením
« kdy: 05. 01. 2022, 07:50:23 »
Dobrý den,
máte nějaké zkušenosti s flash, která má zabezpečení? Je lepší software, nebo číselná klávesnice na flash? Potřebuji přenášet pár souborů a chtěl bych je mít v bezpečí. Děkuji za vaše odpovědi.
« Poslední změna: 05. 01. 2022, 09:34:26 od Petr Krčmář »


Re:Flash Locker+ G3
« Odpověď #1 kdy: 05. 01. 2022, 08:49:23 »
jsou to hračky pro děti a přesně takové zabezpečení od nich čekej, náhodný kolemdoucí se přes to nedostane, ale velkou míru zabezepčení nečekej. V retailu jsem ještě nepotkal flashku/disk se zabezpečením, které by bylo na dobré úrovni, tj. chceš-li něco více zabezpečit, musíš data před uložením šifrovat vlastní cestou.

Jako přenosné bezpečné a dostupné zařízení se dnes daji netradičně považovat mobilní telefony, zejména ty s state of art bezpečností jako iphone nebo Nexus

SB

  • ****
  • 347
    • Zobrazit profil
    • E-mail
Re:Flash disk se zabezpečením
« Odpověď #2 kdy: 05. 01. 2022, 09:48:28 »
Ta první: Na čem ten software funguje a kde bude nainstalovaný (jinak to nebude fungovat)? Je to nějaký vlastní bastard, nebo standardizované řešení? Je aktualizovaný? To radši standardizované řešení (šifr. soub. systém) nebo šifrované zipy.
Ta druhá: Samostatně funkční bez SW, ale jak dlouhý kód jde zadat a jak dlouhý jste ochoten zadávat? Jak mají zaimplementované šifrování? (Pamatuju si, že se to kdesi řešilo, že některé takovéto flash měly bezpečnostní nedostatky.)

Re:Flash disk se zabezpečením
« Odpověď #3 kdy: 05. 01. 2022, 10:07:39 »
Asi nejlepší je dnes VeraCrypt kontejner na flashce.
Z HW řešení bych doporučil 2,5" USB3 box Zalman VE400,který má hardwarové AES a po 10 chybných pokusech disk skartuje,ale už se nevyrábí,protože Zalman byl odkoupen konkurencí a zrušen.

Re:Flash disk se zabezpečením
« Odpověď #4 kdy: 05. 01. 2022, 12:14:52 »
Asi nejlepší je dnes VeraCrypt kontejner na flashce.
Z HW řešení bych doporučil 2,5" USB3 box Zalman VE400,který má hardwarové AES a po 10 chybných pokusech disk skartuje,ale už se nevyrábí,protože Zalman byl odkoupen konkurencí a zrušen.

Zrovna ten ZAlman VE400 je průser, má sice AES, ale nemá bezpečně uchované klíče, nemá vyřešený bezpečný generátor soli, i bez pinu odpovídá na AT příkazy a je možné přes upravený kabel samotný pin získat, dokonce i resetovat ho do továrního nastavení.

Stejně jako ty zmíněné v otázce, na zabezpečení proti náhodným kolemdoucím to je super, ale pokud to má být pro bezpečné uložení informací, rozhodně to není dobrý nápad.

A jak to poznat v praxi? Výrobci, kteří se nespecializují dlouhodobě na bezpečnost, ale jedná se o konzumní producenty příslušenství vesměs zatím nikdy nevyprodukovali bezpečné zařízení. HW, který odolá řadě různých útoků a k tomu ověřený SW je pekelně drahá věc, takové zařízení nebude stát stovky, ale tisíce. V popisu takových produktů je dobré hledat klíčové slovo HSM, ověřit si certifikace a audity, aspoň, že jich to řadu má a že tomu důvěřují společnosti v oboru.

Z těch dostupný je třeba zajímavé zařízení f-secure USB armory, ale pořizovací cena jde to tisíců.


Re:Flash disk se zabezpečením
« Odpověď #5 kdy: 05. 01. 2022, 12:21:18 »
Tiez hlasujem za veracrypt. Je to software ktory mozte mat ulozeny rovno na flaske ako portable verziu, cize aj ked pripojite flasku do pc kde veracrypt nie je nainstalovany, no problem, spustite ho z flasky.

Vyhodou moze byt aj to, ze pri veracrypte si zvolite kolko miesta z flasky ma byt sifrovanych (vytvori sa tam predalokovane miesto - kontajner, ktory je sifrovany). Pri tichto celo-sifrovanych flaskach je cely ich obsah sifrovany, co je niekedy zbytocne, ak vam staci zasifrovat iba zopar stoviek MB.

Plus problem hw sifrovanych veci je, ak je v tom niekde chyba, casto krat sa uz neda opravit. V pripade softveru to nie je problem, proste vyde novsia opravena verzia a prinajhorsom budete musiet data odsifrovat starou verziou a zasifrovat novou. V pripade hw chyby v uvedenych flaskach budete musiet kupit iny model.

Re:Flash disk se zabezpečením
« Odpověď #6 kdy: 05. 01. 2022, 12:39:07 »
Je jich málo. Cokoli co potřebuje instalaci SW je k ničemu. Polovina HW řešení má taky problémy.
Předchůdce níže uvedené měl FIPS140 a je víceméně použitelný.
Rozhodně dost na to, aby nevadilo když tu flashku někdo ukradne nebo najde.
https://www.alza.cz/kingston-datatraveler-2000-64gb-d4048800.htm

Re:Flash disk se zabezpečením
« Odpověď #7 kdy: 05. 01. 2022, 12:51:32 »
uplne stejny problem a nevyresil jsem to.

veracrypt uz se da pouzit bez admina? kdyz jsem to zkousel , tak zadna portable verze neexistovala.
Protoze navody "pristup k cilovemu pocitaci, zaloguj se jako admin a nainstaluj Veracrypt" jsou vite na co.


nemusi to byt extra bezpecne, proste jen nechci, kdyz ztratim flashku, abych musel premyslet, co tam proboha bylo a kdo ted vi detaily o me hypotece apod.
Nejaky FIPS jsou vetsi lidi k nicemu.
https://xkcd.com/538/




protoze je mi to naprd, pokud nekam strcim flashku a bez veracryptu

kvas

  • ***
  • 119
    • Zobrazit profil
    • E-mail
Re:Flash disk se zabezpečením
« Odpověď #8 kdy: 05. 01. 2022, 13:16:35 »
A co tak pouzit KeePassXC ?

Ano, viem, primarne urcenie je spravca hesiel, ale:
1) ma moznost prilozit k zaznamu prilohy https://keepassxc.org/docs/KeePassXC_UserGuide.html#_attachments
2) ma aj portable verziu: https://keepassxc.org/download/#windows
3) multiplatform

Kedze autor vlakna pise, ze chce prenasat "par suborov", tak by aj toto bola cesta.
« Poslední změna: 05. 01. 2022, 13:18:29 od kvas »

Re:Flash disk se zabezpečením
« Odpověď #9 kdy: 05. 01. 2022, 13:33:40 »
Flash disk, který potřebuje pro zabezpečení speciální software, je dobrý akorát tak k tomu, aby se k datům nedostal někdo, když flashku někde ztratíte. Jinak ji můžete používat jen na zařízení, kterému důvěřujete a víte, že tam není keylogger – a to už můžete použít normální flashdisk a na něm použít třeba VeraCrypt.

Pokud to myslíte se zabezpečením vážně, je potřeba, aby se bezpečnostní kód zadával přímo na tom flash disku. A pak samozřejmě také záleží na tom, jak je zabezpečený samotný flash disk. Tam se můžete řídit certifikacemi (taková zařízení ale nebudou levná), případně recenzemi. Já jsem si kdysi na základě článku Test bezpečných flash disků: Slib ochrany dat naplní jen málokterá USB klíčenka vybral Corsair Padlock 2.

Ale pokud vám jde jenom o případnou ztrátu a víte, že tam nebudete mít nějaká citlivá data, stačí asi cokoli s libovolným zabezpečením – akorát je dobré si pohlídat, zda tam není nějaká banální chyba jako že se to dá odšifrovat továrním heslem 0000. A nebo použít ten VeraCrypt.

_Jenda

  • *****
  • 1 550
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Flash disk se zabezpečením
« Odpověď #10 kdy: 05. 01. 2022, 19:05:44 »
Já jsem si kdysi na základě článku Test bezpečných flash disků: Slib ochrany dat naplní jen málokterá USB klíčenka vybral Corsair Padlock 2.
V tom článku (je za paywallem) dělali audit toho šifrování? Protože na ty běžné problémy, co se tam objevily - šifrovací klíč zůstává v paměti a jen se porovnává shoda hesla; šifrovací klíč se generuje směšným náhodným generátorem; atd. - nemáte šanci přijít bez disassemblování firmware.

Navíc u klíče s PINem by se vám hodila dobrá key derivation funkce, protože kvalitní klíč bude nesmyslně dlouhý (20 číslic = 66 bitů entropie, cokoli slabšího je v dosahu brute-force motivovaného jednotlivce). Srovnejte s písmenkovým heslem, kde 66 bitů má už 11 znaků, navíc alespoň já si nedokážu 20číselné heslo zapamatovat - leda že byste použil písmenka „jako na mobilu“, ale tam nemáte mixed-case a vůbec to bude strašný opruz.

Re:Flash disk se zabezpečením
« Odpověď #11 kdy: 05. 01. 2022, 19:46:53 »
Tady je článek odemčený: https://tech.hn.cz/c7-59201540-c8dj8-61d2bbf66ea9214

Michal Altair Valášek nedělal vlastí bezpečnostní analýzu. Ale některé kandidáty odfiltruje už to, že mají jen softwarové šifrování nebo známé bezpečnostní slabiny (o těch psal Michal myslím jinde, možná na svém blogu). A naopak pokud chcete něco opravdu bezpečného, jsou v přehledu i disky s FIPS certifikací.

Na key derivation funkci podle mne tolik nezáleží – pokud nebude vyloženě špatná a nebude snižovat entropii. Sebelepší funkce ale entropii nevyčaruje. Ta ochrana PINem je bezpečná samozřejmě jedině tehdy, pokud se klíč po několika neúspěšných pokusech nenávratně zničí.

Nicméně já jsem si flashku s hardwarovou klávesnicí nepořizoval kvůli obavě z keyloggerů nebo něčeho takového. Nýbrž z toho důvodu, že to nepotřebuje žádný obslužný software a funguje to tedy na jakémkoli zařízení, které je schopné pracovat s obecným flash diskem. Protože ten disk odemknete před připojením k počítači a v okamžiku připojení se to pro OS tváří jako úplně normální flashka. Můj přístup nebyl „1. hlavně ať se tam nikdo nedostane, 2. při splnění bodu 1 bude fajn, když se k datům aspoň někdy dostanu já“, ale opačný „1. ať se k datům vždy dostanu já, 2. bude fajn, když se při splnění bodu 1 k datům nedostane někdo, kdo tu flashku někde najde, až mi vypadne z kapsy“.

Re:Flash disk se zabezpečením
« Odpověď #12 kdy: 05. 01. 2022, 20:18:57 »
Asi nejlepší je dnes VeraCrypt kontejner na flashce.
Z HW řešení bych doporučil 2,5" USB3 box Zalman VE400,který má hardwarové AES a po 10 chybných pokusech disk skartuje,ale už se nevyrábí,protože Zalman byl odkoupen konkurencí a zrušen.

Zrovna ten ZAlman VE400 je průser, má sice AES, ale nemá bezpečně uchované klíče, nemá vyřešený bezpečný generátor soli, i bez pinu odpovídá na AT příkazy a je možné přes upravený kabel samotný pin získat, dokonce i resetovat ho do továrního nastavení.

Stejně jako ty zmíněné v otázce, na zabezpečení proti náhodným kolemdoucím to je super, ale pokud to má být pro bezpečné uložení informací, rozhodně to není dobrý nápad.

A jak to poznat v praxi? Výrobci, kteří se nespecializují dlouhodobě na bezpečnost, ale jedná se o konzumní producenty příslušenství vesměs zatím nikdy nevyprodukovali bezpečné zařízení. HW, který odolá řadě různých útoků a k tomu ověřený SW je pekelně drahá věc, takové zařízení nebude stát stovky, ale tisíce. V popisu takových produktů je dobré hledat klíčové slovo HSM, ověřit si certifikace a audity, aspoň, že jich to řadu má a že tomu důvěřují společnosti v oboru.

Z těch dostupný je třeba zajímavé zařízení f-secure USB armory, ale pořizovací cena jde to tisíců.

Je to záležitost skoro 10 let stará a z toho dobře 6 let už nejde koupit,takže to asi bylo na dobové úrovni spotřební elektroniky. Do hloubky jsem to nikdy nezkoumal,mám ho hlavně kvůli emulaci bootovatelné optické mechaniky z ISO / IMG souborů.

Re:Flash disk se zabezpečením
« Odpověď #13 kdy: 06. 01. 2022, 07:38:12 »
Moc vám děkuji za názory a odpovědi. Jak jsem předpokládal, musím se rozhodnout mezi software flash / HW klávesnicí.

Vezmu tu s klávesnicí, odemkne se heslem a pak se tváří jako normální flash. Což vyřeší možné problémy s instalací a kompatibilitou softwaru.

Děkuji za článek v HN, potvrdil mou volbu.

Taky zkusím vytvořit vlastní za pomoci BitLocker To Go.

Ještě jednou moc všem děkuji.