加密USB驱动器安全

<h1>USB闪存驱动器有多安全? 保护数据的4种方法</h1>
<blockquote> <strong>金斯敦数字欧洲公司LLP</strong> <br />闪存产品和配件的分销商</blockquote>
<h2>什么是USB控制与加密?</h2>
<p>了解数据保护中的USB控制和加密101，我们的系列涵盖了数据安全的基础知识.</p>
<p>USB端口是将几乎所有内容连接到计算机的手段. USB闪存驱动器允许用户轻松地通过USB端口在设备之间存储和传输信息. GPS单元，相机和手机使用这些相同的端口传输数据，接收更新并为电池充电. 虽然USB端口使用户变得容易，但从安全角度来看，它们可能是一场噩梦.</p>
<p>不可否认的是USB媒体的便利性，从硬盘驱动器和闪存驱动器到其他便携式媒体. 几乎每个人都使用它们；但是，它们可访问且可移植的性质使它们容易出现数据泄漏，盗窃和丢失.</p>
<p>例如，不熟悉适当安全控制的用户通常会通常将敏感数据传输到无加密的USB驱动器.</p>
<p>员工还可以将受损的USB驱动器带到家里，将其插入其工作系统，并无意间将恶意软件引入公司网络. 因此，控制便携式设备，可移动媒体和USB存储对端点设备的访问对于维护安全网络至关重要.</p>
<h3>USB控制与加密的定义</h3>
<p> USB控制和加密是指用于保护和控制设备进入USB端口的一组机制和技术. 它们是端点安全的核心部分，它们保护数据资产和计算机系统免受安全威胁. 可以通过USB端口连接的USB适配器，设备和外围设备的未经授权使用构成此类威胁. 这些机制保护端点系统免受恶意软件攻击，防止公司网络通过插入设备妥协，并确保在系统环境之外传输数据的安全性. 实施USB控制和加密有几种方法.</p>
<p>最蛮力的USB控制机制涉及完全阻止USB媒体的使用. 这可以通过在整个操作系统中禁用USB适配器或通过物理阻止对USB端口的访问来完成. 但是，这不是可行的解决方案，因为大多数打印机，鼠标，键盘和其他外围设备都使用系统的USB端口.</p>
<p>一种更有效的方法使用加密来保护存储在便携式设备上的机密信息. 这样可以确保闪存驱动器或USB设备中的数据在盗窃或意外损失时保持安全. 这是USB加密所在的地方.</p>
<p>这样做的最简单，最有效（尽管昂贵）的方法是购买具有强大加密算法的设备. 此外，管理员可以为用户提供已手动加密文件系统的USB设备. 最后，作为数据丢失策略的一部分，可能需要用户在将单个文件传输到USB设备之前加密。.</p>
<h3>USB控制和加密的工作方式</h3>
<p>大多数操作系统本地的USB端口控制在选项和灵活性方面受到严重限制. 管理员可以渲染USB端口只读或完全禁用它们. 为了确保对文件类型和允许的设备进行更精细的控制，您可能必须使用强大的第三方应用程序，以提供不同程度的粒度.</p>
<p>作为连接协议的一部分，USB硬件规范要求每个插入设备告诉操作系统是什么样的设备. 通过使用此信息，一些USB控制应用程序允许管理员在特定端口上阻止特定类型的设备. 例如，管理员可以指示操作系统允许所有端口上的USB小鼠或键盘，而不是拇指驱动器. 最好通过指定应允许使用哪些设备而不是应阻止哪些设备来应用最少特权的原则.</p>
<p>某些应用程序可以通过指定端口只能由已根据其序列号进行白色的设备来使用端口，从而可以进行更优质的USB控制，这些设备可以与特定用户相关联。. 管理员还可以通过特定的USB端口来指定可以编写或读取哪些文件. 因此，它们阻止了某人想要从系统中获取未经授权的数据，或者想通过端口将Rogue程序（例如恶意软件）加载到系统中的情况.</p>
<h3>USB控制和加密的好处</h3>
<p>USB的控制和加密有助于通过控制对USB端口的访问以及从系统或便携式媒体进行加密来防止系统感染. 由于仅识别授权设备并连接到系统，因此恶意软件进入端点系统并在整个网络基础架构中传播的风险很小.</p>
<p>尽管防病毒病毒，但基于签名的防御解决方案对零日的利用没有用，但USB控制有助于防止基于零时的USB利用来通过端点获得网络访问.</p>
<p>使用便携式存储设备将网络上的敏感数据（您的组织最有价值的资产）揭示未经授权的使用，内部人员的剥削以及外部人员的彻底盗窃. USB的控制和加密有助于通过对其离开公司网络之前对其进行加密（或存储的便携式设备）来保护您的宝贵数据. 它通过在授权的闪存驱动器上执行AES 256加密来做到这一点，同时不使用未经授权的可移植设备在受保护的端点上.</p>
<h3>USB控制和加密的最佳实践</h3>
<p>为了确保有效的USB控制和加密，管理员应该：</p>
<ul>
<li>使用提供粒度和易于管理的解决方案.</li>
<li>通过使用强大的加密机制来防止数据丢失和系统感染.</li>
<li>维护对端点计算机的实时控制，以及全天候USB监视文件传输详细信息.</li>
<li>白名单特定的USB可移动驱动器，而不是黑名单未经授权的设备.</li>
</ul>
<p>由于典型的网络可能具有数百个（如果不是数千）USB端口，因此更容易从一个位置管理它们. 因此，最好选择一个允许您集中监视，管理和阻止USB设备访问网络中计算机端口的解决方案.</p>
<h2>USB闪存驱动器有多安全? 保护数据的4种方法</h2>
<p> <img src=”https://www.usbmemorydirect.com/blog/wp-content/uploads/2022/07/pic-1.jpg” alt=”蓝色USB闪存驱动器坐在黄金锁旁边的黑色键盘上” /></p>
<p><img src=”https://www.usbmemorydirect.com/blog/wp-content/uploads/2022/07/featuresd-image.png” alt=”卡通锁从计算机屏幕上出来，男人握住USB闪存驱动器旁边” /></p>
<p>USB 2发行后不久，第一个USB闪存驱动器于2000年出现在市场上.0标准. 二十年后，USB驱动器现在无处不在，他们使用的技术已经大大发展：较高的能力，较小的物理尺寸，与USB-C的兼容性等等.</p>
<p>但是，USB驱动器的广泛采用也导致了新的安全风险的增加. 普通USB驱动器通常缺乏安全功能，使数据存储和运输风险.</p>
<p>如果您正在寻找维护USB驱动器并保护其携带数据的最佳方法，那么这里有四种解决方案和最佳实践.</p>
<p>从理论上讲，确保驱动器数据保持安全的最佳方法是采取措施防止任何未经授权的人访问它，即使驱动器落入错误的手中. 该目标是加密USB驱动器的主要目的.</p>
<p>加密的USB驱动器采用了一种硬件加密形式，这意味着该驱动器具有明确专用于数据加密的芯片. 大多数加密的驱动器通常与同一制造商的伴侣软件配对.</p>
<p>首次将加密的USB驱动器插入计算机时，您通常需要打开伴侣软件. 之后，您可以像其他任何驱动器一样插入和删除文件.</p>
<p>一旦拔下驱动器，加密芯片会自动炒并加密数据和文件. 每次将其插入计算机时，您都需要使用配套软件并输入密码以访问数据. 主要优势是安全性. 即使您失去了驱动器，如果没有您的密码，潜在的小偷也无法访问内容.</p>
<p>但是，主要缺点是费用. 加密驱动器比标准散装闪存驱动器的昂贵订单级，伴侣软件从免费到付费不等，有些人需要每月订阅.</p>
<p> <img src=”https://www.usbmemorydirect.com/blog/wp-content/uploads/2022/07/pic2.jpg” alt=”带有屏幕上的笔记本电脑打字的人”Encrypted”” /></p>
<p>2. <strong>全驱动加密</strong></p>
<p>硬件加密的最常见替代方法是软件加密，其中有两种方法：全驱动器加密和单个文件加密.</p>
<p>尽管您可以在互联网上找到许多用于全驱动器加密的软件解决方案（既付款又免费），但今天它们是不必要的. 现代操作系统配备了免费的内置驱动器加密工具，例如Windows上的Bitlocker或MacOS磁盘实用程序上的加密功能.</p>
<p>例如，如果您使用bitlocker对USB-C内存棒进行加密，那么它包含的所有数据将变得无法访问，直到再次解密.</p>
<p>解密驱动器的唯一方法是将驱动器插入带有bitlocker的计算机并输入您在加密步骤中设置的密码.</p>
<p>3. <strong>单个文件加密</strong></p>
<p>如果您不想加密整个驱动器，则可以使用旨在保护单个文件或文件档案的加密软件，而将其余的驱动器自由访问. 如果您需要携带安全和无抵押数据的混合物，或者您想要在自定义闪存驱动器上进行部分数据加密，则该解决方案可能是可取的。.</p>
<p>多个文件加密解决方案在Internet上可用，包括免费和付费. Windows的流行示例包括Axcrypt，Veracrypt和文件夹锁，而Mac用户可能听说过遮瑕膏或Encrypto. 您还可以在流行文件存档软件上使用密码设置，例如Winrar或7-zip.</p>
<p>无论您使用哪种软件，大多数都以大致相同的方式运行. 在USB驱动器上选择单个文件，文件夹或文件档案，设置密码并让程序加密文件. 加密后，尝试打开文件将提示您输入密码（即使在没有安装相应软件的计算机上，也会提示您）.</p>
<p> <img src=”https://www.usbmemorydirect.com/blog/wp-content/uploads/2022/07/pic-3.jpg” alt=”用白色USB闪存驱动器插入笔记本电脑上的手键入” /></p>
<p>4. <strong>安全擦除</strong></p>
<p>使用标准方法从USB驱动器中删除文件（E.G., 右键单击>删除）不会永久将它们从驱动器中删除. “删除”功能简单地将其不可见，并使其可用于覆盖.</p>
<p>即使您的操作系统再也看不到文件，如果尚未覆盖相应的数据，数据恢复程序也可能会重建并删除它们，可能允许未经授权的个人恢复敏感文件.</p>
<p>建议的安全实践是在使用后固定擦除（或固定擦除）驱动器. 在Windows上，推荐的方法是在命令提示符中使用diskpart函数. Mac上的等效物是磁盘实用程序中的擦除函数.</p>
<p>您应该将安全擦除方法视为对现有数据安全协议的补充，而不是替换. 如果您有机会删除其内容，它将不会保护您的数据.</p>
<h4><strong>在USB内存直接购买安全的自定义闪存驱动器</strong></h4>
<p>USB内存Direct是拥有15年以上经验的安全高质量自定义USB驱动器的供应商. 成千上万的国际客户信任我们的服务，包括Adobe，FedEx和Nvidia等世界知名公司.</p>
<h3>这样的流行帖子</h3>
<ul>
<li>如何使用USB将手机连接到电视</li>
<li>如何使用USB电缆传输数据</li>
<li>如何用电力库向笔记本电脑充电</li>
<li>维修USB驱动器的8种方法</li>
<li>什么是USB存储卡读取器?</li>
</ul>
关于作者：
<h3>乌比</h3>
umd的脸
<p>嘿，我是UBIE（您），USB内存的吉祥物直接是我们所有人的USB驱动器的最大粉丝. 如果您想进一步了解USB驱动器，我们所做的一些很酷的营销工作或我们正在努力的技术进步，请注意此帐户中的帖子!</p>
<p><img src=”https://www.usbmemorydirect.com/images/gifts_they_like_desktop.png” alt=”网络商店驱动器” /> <img src=”https://www.usbmemorydirect.com/images/gifts_they_like_mobile.png” alt=”网络商店驱动器” /></p>
<h4>他们想保留的礼物</h4>
<p>凉爽且独特的闪光驱动器，是任何人的完美礼物!</p>
<p><img src=”https://www.usbmemorydirect.com/images/mini_fan_desktop.png” alt=”迷你USB粉丝” /></p>
<h4>迷你USB粉丝</h4>
<p>只需$ 15就得到4包!</p>
<p><img src=”https://www.usbmemorydirect.com/images/photographers_footer_desktop.png” alt=”摄影师” /> <img src=”https://www.usbmemorydirect.com/images/photographers_footer_mobile2.png” alt=”摄影师” /></p>
<h4>摄影师的闪存驱动器</h4>
<p>为摄影师购买我们最受欢迎的风格!</p>
<h4>来自博客</h4>
<h5>如何使用USB将手机连接到电视</h5>
2023年5月8日
<h5>如何使用USB电缆传输数据</h5>
2023年5月2日
<h4>保持联系</h4>
<h5>订阅我们的新闻</h5>
<p>注册以获取我们的时事通讯，并成为第一个了解我们最新促销和产品的人.</p>
©2001-2023 USB内存直接®隐私政策|术语
<h2>在不到15分钟的时间内获取报价.</h2>
<p>有一个问题? 致电（866）404-4645或发送电子邮件至usbmemorydirect致电（866）404-4645.com</p>
<h2>加密的USB闪存驱动器为个人，政府和业务使用提供数据安全性</h2>
<p>DataTraveler和Kingston Ironkey加密USB驱动器使用基于硬件的加密，这是政府和公司数据的理想数据保护安全解决方案. 它们旨在保护从分类到个人数据的一切；帮助组织符合各种全球安全法规.</p>
<p> <img src=”https://media.kingston.com/kingston/headers/ktc-header-category-usb-encrypted-md.jpg” alt=”金斯敦的所有加密安全USB闪存驱动器” /></p>
<h5>选择产品线</h5>
安全功能
FIPS 140-2级3
非管理
可自定义的选项
速度课
USB 3.1代1
USB 3.2代1
（重置）关闭申请
名称 – a至z
名称 – Z到A
应用过滤器过滤器
默认情况下排序
<p><img src=”https://media.kingston.com/kingston/product-card/ktc-product-usb-ikvp50-ikvp50c-productcard-tn.png” alt=”金斯敦铁心保险隐私50系列” /></p>
<ul>
<li>企业级安全性</li>
<li>XTS-AES 256位加密</li>
<li>可用于A型和type-C USB</li>
<li>USB 3.2代1</li>
<li>8GB，16GB，32GB，64GB，128GB，256GB</li>
<li>最多250mb/s阅读，180MB/s写</li>
</ul>
显示更多 +少显示 –
<p><img src=”https://media.kingston.com/kingston/product-card/ktc-product-usb-ikkp200-productcard-tn.png” alt=”Kingston Ironkey键盘200硬件加密USB闪存驱动器” /></p>
<ul>
<li>军事级安全</li>
<li>FIPS 140-3级别3（待定）认证</li>
<li>设备/操作系统独立</li>
<li>多针选项</li>
<li>8GB，16GB，32GB，64GB，128GB</li>
<li>最多145mb/s阅读，115mb/s写作</li>
</ul>
显示更多 +少显示 –
<p><img src=”https://media.kingston.com/kingston/product/ktc-product-usb-iklp50-productcard-tn.png” alt=”金斯敦铁键储物柜+ 50 USB闪存驱动器” /></p>
<ul>
<li>消费级安全性</li>
<li>XTS-AES硬件加密</li>
<li>自动个人云备份</li>
<li>USB 3.2代1</li>
<li>16GB，32GB，64GB，128GB</li>
<li>最多145mb/s阅读，115mb/s写作</li>
</ul>
显示更多 +少显示 –
<p><img src=”https://media.kingston.com/kingston/product/ktc-product-usb-d300s-d300s128gb-1-tn.png” alt=”Kingston Ironkey D300S加密USB闪存驱动器” /></p>
<ul>
<li>高级安全级别</li>
<li>可在托管模型中使用</li>
<li>4GB，8GB，16GB，32GB，64GB，128GB</li>
<li>USB 3.1 Gen 1速度</li>
</ul>
显示更多 +少显示 –
<p><img src=”https://media.kingston.com/kingston/product/ktc-product-usb-ironkey-s1000-basic-iks1000b-1-tn.png” alt=”Kingston Ironkey S1000加密USB闪存驱动器” /></p>
<ul>
<li>设备上的隐杆</li>
<li>USB 3.1代1（USB 3.0）</li>
<li>4GB，8GB，16GB，32GB，64GB，128GB</li>
<li>最多230mb/s阅读，240MB/s写</li>
<li>复杂的密码或密码安全性</li>
</ul>
显示更多 +少显示 –
<p><img src=”https://media.kingston.com/kingston/product/ktc-product-usb-dt4000g2-managed-dt4000g2dm128gb-1-tn.png” alt=”DT4000G2加密USB闪存驱动器” /></p>
<ul>
<li>XTS-AES 256位加密</li>
<li>USB 3.1代1（USB 3.0）</li>
<li>4GB，8GB，16GB，32GB，64GB，128GB</li>
<li>最多250mb/s读，85MB/s写</li>
</ul>
显示更多 +少显示 –
<p>没有发现与您的选择相匹配的产品</p>
<h2>SSD</h2>
<h5>选择产品线</h5>
（重置）关闭申请
名称 – a至z
名称 – Z到A
应用过滤器过滤器
按名称排序-A到Z
<p><img src=”https://media.kingston.com/kingston/product/ktc-product-ssd-ikvp80es-tn.png” alt=”金斯敦铁key拱门隐私80外部SSD” /></p>
<ul>
<li>XTS-AES 256位加密</li>
<li>USB 3.2代1</li>
<li>480GB，960GB，1920GB</li>
<li>最多250mb/s阅读，250MB/s写作</li>
</ul>
显示更多 +少显示 –
<p>没有发现与您的选择相匹配的产品</p>
遵守
<ul>
<li>公司合规性</li>
<li>产品合规性</li>
<li>管理系统</li>
</ul>
供应链管理
<ul>
<li>可持续性</li>
<li>行为守则</li>
<li>现代奴隶制声明</li>
</ul>
<ul>
<li>商店金斯敦</li>
<li>商店Kingston UK</li>
<li>反馈</li>
</ul>
保持联系! 注册我们的金斯敦新闻的电子邮件等等. 立即注册
关闭图标
<p>保持联系! 注册我们的金斯敦新闻的电子邮件等等.</p>
<p>请给我签约金斯敦的电子邮件，以了解其产品，服务和新闻.</p>
<p>我们使用“金斯敦”来指代我们的英国贸易公司及其法律继承人. 他们的注册名称和主要活动/产品组如下：</p>
<p> <strong>金斯敦技术欧洲公司有限公司</strong> <br />DRAM产品的分销商</p>
<p> <strong>金斯敦数字欧洲公司LLP</strong> <br />闪存产品和配件的分销商</p>
<p>我们将根据我们的隐私政策处理您的信息. <br />要“退订”，请单击我们电子邮件底部的链接.</p>
<p>©2023 Kingston Technology Europe Co LLP UND KINGSTON DIGITAL CO LLP，KINGSTON CORT，BROOKLANDS CLOSSIR，SUNBURY-THAMES ON-MIDDLESEX，TW16 7EP，英格兰. 版权所有. 所有商标和注册商标都是其各自所有者的财产.</p>
<h2>在USB闪存驱动器上保护敏感数据的7种方法</h2>
<p>20年前，USB闪存驱动器（也称为拇指驱动器）被认为是便携式数据存储技术的突破. 今天，它们被视为主要的安全风险.</p>
<p>如果您必须使用USB闪存驱动器进行数据存储，则有一些改善数据安全性的方法. 继续阅读以了解如何保护您的拇指驱动器.</p>
<h2>什么是敏感数据?</h2>
<p>在决定将其存储在拇指驱动器上之前，首先定义被认为敏感的数据及其更广泛的安全要求很重要. 敏感数据是需要许可才能访问的任何机密信息.</p>
<h2>敏感数据存储要求</h2>
<p>敏感数据包括以下特权信息 – 原始或复制：</p>
<ul>
<li>受保护的健康信息（PHI）‍</li>
<li>个人身份信息（PII）</li>
<li>教育记录</li>
<li>客户信息</li>
<li>卡持有人数据</li>
<li>机密人员信息</li>
<li>机密数据</li>
</ul>
<p>组织必须具有严格的数据安全和信息安全惯例，以确保不会通过未经授权的访问来妥协此数据. 他们还必须遵守相关的个人数据立法，例如一般数据保护法规（GDPR）.</p>
<p>组织可以采取的一些敏感数据安全措施包括：</p>
<p>1. 数据治理</p>
<p>2. 安全特权访问管理</p>
<p>4. 员工教育计划</p>
<p>5. 数据安全测试</p>
<p>8. 存储系统的常规数据备份</p>
<p>9. 安全删除过程</p>
<h2>如何将数据牢固地存储在USB闪存驱动器上</h2>
<p>强烈建议您不要在USB闪存驱动器上存储敏感数据，而是选择更安全的存储设备以确保数据安全. 它们的小尺寸使它们易于运输，但也很容易丢失或被盗. 这种倒台增加了数据丢失，数据泄漏和数据泄露的风险，这对组织付出了巨大的成本.</p>
<p>如果您确实使用闪存驱动器，请按照以下7个提示保护数据.</p>
<h3>1. 购买加密USB</h3>
<p>加密仅通过使其仅对具有解密密钥的人访问来确保敏感信息. 购买闪存驱动器时，您应该选择使用256位AES硬件加密的军事级闪光灯 – 最强的加密算法.</p>
<p>在加密的USB闪存驱动器中查找的其他功能包括：</p>
<ul>
<li>防篡改保护</li>
<li>反病毒扫描</li>
<li>蛮力保护</li>
<li>密码保护</li>
<li>TAA合规性</li>
<li>远程管理功能</li>
<li>FIPS 140-2认证（第3级）</li>
<li>遵守HIPAA，SOX和GLBA等行业安全标准.</li>
</ul>
<h3>2. 使用USB加密软件</h3>
<p>作为购买加密闪存驱动器的替代方案，Microsoft Windows操作系统用户可以使用BitLocker加密闪存驱动器. 请注意，加密硬件比软件提供了更好的安全性.</p>
<p>Microsoft的启用Bitlocker的说明如下：</p>
<ul>
<li>查看在Windows 10中启用BitLocker的说明</li>
<li>查看在Windows 11‍中启用BitLocker的说明</li>
</ul>
<h3>3. 有备份</h3>
<p>如果您的闪存驱动器丢失，被盗或损坏，则可能永远不会恢复存储在其上的数据. 即使返回丢失或被盗的闪存驱动器，您也不应该再次使用它，因为它可能会安装勒索软件或其他类型的恶意软件. 在闪存驱动器上恢复数据的最佳保证是对保存在另一个单独存储位置的所有文件（例如云存储）中备份.</p>
<h3>4. 使用后删除数据</h3>
<p>一旦您从USB棒中保存，编辑和传输数据后，立即完全删除它是最安全的. 然后，您应该从USB端口中卸下闪存驱动器并将其存储在安全的位置，以避免将其遗留下来并开放损失或盗窃.</p>
<h3>5. 安装防病毒保护</h3>
<p>每天出现不同类型的恶意软件，保持软件的最新状态至关重要. 使用防病毒软件，可在所有端点上提供恶意软件保护，包括硬盘驱动器，USB设备和SD卡 – 可以感染所有.</p>
<h3>6. 保持软件最新</h3>
<p>零日漏洞利用未拨打的软件漏洞 – 一种可能带来毁灭性后果的常见攻击向量. 网络犯罪分子可以轻松访问，编辑和窃取来自脆弱系统和设备的数据，包括USB存储.</p>
<p>尽快安装软件更新可以防止网络犯罪分子利用这些漏洞. 大多数操作系统，包括Microsoft Windows，Mac OS / Apple iOS和Linux，都提供自动更新，以确保您保持受保护.</p>
<h3>7. 使用替代存储方法</h3>
<p>最终，如果您想认真对待数据安全性，闪存驱动器不是答案. 即使是最安全的USB驱动器也无法与现代数据存储方法相匹配，例如云存储. 云服务提供许多创新的安全功能，例如安全访问服务边缘（SASE）.</p>
<p>SASE是一个利用防火墙，云访问服务经纪（CASB），安全网络网关（SWG）和零值网络访问（ZTNA）的云安全模型. 其他云安全机制包括云安全姿势管理和云基础架构权利管理（CIEM）.</p>
<p>尽管像所有第三方供应商一样，尽管具有强大的安全功能，但Cloud Services具有第三方风险和其他功能的其他风险. 组织和个人必须进行尽职调查，以确保其云提供商遵循适当的数据安全要求.</p>
<h2>您的加密USB驱动器安全是否安全?</h2>
<p>您能确定所使用的加密USB驱动器不会透露您公司对黑客的秘密? 问题是，当前的认证无法保证.</p>
<p><img src=”https://www.kaspersky.com/blog/encrypted-usb-drives-audit/17948/https%3A%2F%2Fassets.kasperskydaily.com%2Fwp-content%2Fthemes%2Fdaily2019%2Fassets%2Fimages%2Fsecuritron.png&r=g” /></p>
<p><img src=”https://media.kasperskydaily.com/wp-content/uploads/sites/92/2017/08/10080247/encrypted-usb-drives-featured.jpg” /></p>
<p>Alex Drozhzhin</li>
<li>2017年8月10日</li>
</ul>
</p>
<p>您如何确定所使用的“安全” USB驱动器确实是安全的，并且您存储在其上的数据无法提取? 这正是Google的安全研究人员Ellie Bursztein，Jean-Michel Picod和RémiAudebert在他们最近的Black Hat USA 2017上的“攻击加密USB密钥”中提出的问题。.</p>
<p>研究人员说，目前，安全USB驱动器制造商正在遵循FIPS 140认证标准，该标准是由NIST（国家标准技术研究所）针对各种加密模块开发的，这是硬件和软件. 该认证涉及加密安全披露和验证过程.</p>
<p>正如研究人员所说，保持认证最新很重要，因为披露的信息可以帮助他们找出可能的问题. 但这还不够；并非所有可能的攻击向量都涵盖了FIPS 140. 如下所示，一些加密的USB驱动器通过了通过认证，但仍然容易受到攻击 – 有时甚至是轻松的攻击.</p>
<p>这就是为什么研究人员建议开发新的审计方法，专门用于评估加密USB驱动器的安全性. 首先，研究人员将安全问题分为三类：</p>
<ul>
<li>弱点：使进一步黑客进一步的过程更容易的问题；</li>
<li>单驱动断裂：允许攻击者只能入侵一个特定驱动器的漏洞；</li>
<li>完整休息：可以使攻击者访问同一模型的任何驱动器上的信息的漏洞.</li>
</ul>
<p>此外，剥削某些漏洞需要特定的技能和资源. 即使对于非熟练攻击者，其中一些问题也可以使用，其中一些问题主要需要大量用于国家赞助黑客的资源. 因此，危险水平可以分为三类：</p>
<ul>
<li>偶然性：向具有最低资源的机会主义攻击者开放 – 基本上，在此级别上，您会发现一个可能找到或偷走了驱动器的人，并且渴望获得（可能）包含的信息.</li>
<li>专业人士：可用于资源的攻击者，尽管有限. 通常，该级别的攻击者有兴趣收集大量信息。</li>
<li>国家赞助：需要大量资源的攻击者. 通常，此类攻击者追随特定数据，值得大量投资的键.</li>
</ul>
<p>特定于加密USB驱动器的威胁的进一步分类涉及将可能的攻击向量分为几组，具体取决于设备的组件或该组件：整个驱动器的设计和制造功能，身份验证因子（简称输入，简称），USB/Crypto Controller ，加密算法和闪存. 让我们快速看一下这些类别.</p>
<p><img src=”https://media.kasperskydaily.com/wp-content/uploads/sites/92/2017/08/10080237/encrypted-drives-components-chart-1024×588.jpg” /></p>
<h3>设计和制造</h3>
<p><img src=”https://media.kasperskydaily.com/wp-content/uploads/sites/92/2017/08/10080331/manufacturing-criteria-chart-1024×537.jpg” /></p>
<p>首先，必须以定义一定水平的保护的方式设计和制造加密的USB驱动器. 首先，要篡改加密设备将是很好的 – 如果有人搞砸了包含您珍贵文件的USB驱动器，您应该看到一些折衷指标.</p>
<p>访问电子组件的越容易，攻击者就越容易研究硬件并找到设备中的漏洞. 为了防止这种情况，应将电路板浸入环氧树脂中.</p>
<p>值得补充的是，环氧树脂一定是真实的，而不是替代品：研究人员发现，至少在某些情况下，制造商声称它们使用了环氧树脂，但实际上他们使用了一些不太舒适的聚合物. 结果，可以通过丙酮轻松卸下涂层，从而完全访问硬件.</p>
<p><img src=”https://media.kasperskydaily.com/wp-content/uploads/sites/92/2017/08/10080306/epoxy-coating-done-wrong-1024×1024.jpg” /></p>
<p>如果要黑客硬件，一旦获得电子设备，攻击者寻找的第一件事就是组件标记. 这对于查找手册和规格和探索进一步的攻击可能性至关重要. 如果所有模型名称，序列号等都被仔细地从芯片中删除，则攻击者发现自己正在考虑黑匣子 – 他们必须进行更复杂的研究才能了解哪些黑客实际上可以应用于驱动器.</p>
<p>有时，即使制造商试图从芯片上删除标记，他们也无法正确地做到这一点.</p>
<p><img src=”https://media.kasperskydaily.com/wp-content/uploads/sites/92/2017/08/10080342/marking-etching-done-wrong-1024×1024.jpg” /></p>
<p>用调整版本替换固件，该版本允许攻击者绕过保护是艰苦的工作. 但是，拥有大量资源的熟练攻击者可能会涉及. 更糟糕的是，这种类型的攻击是可复制的：一旦攻击者反向工程固件并弄清楚如何进行所需的调整，他们就可以破解同一模型的任何驱动器.</p>
<p>Tempest是一种攻击，它允许攻击者通过电磁发射来监视设备内部发生的事情. 这种攻击很复杂，很可能不会经常发生，至少不是普通人和企业. 但是，任何想确定自己的秘密免受国家赞助黑客的秘密的人都应使用铜箔屏蔽的USB驱动器，这是可靠且相对便宜的保护措施.</p>
<p><img src=”https://media.kasperskydaily.com/wp-content/uploads/sites/92/2017/08/10080359/tempest-protection-1024×533.jpg” /></p>
<p>不仅有任何黑客甚至会伪造USB驱动器. 但是再次，国家赞助的攻击者可以. 因此，如果您想防止秘密避免高水平间谍活动，则可能希望以保护他们免于伪造的方式进行加密的USB驱动器的设计.</p>
<h3>输入</h3>
<p><img src=”https://media.kasperskydaily.com/wp-content/uploads/sites/92/2017/08/10080323/input-criteria-chart-1024×536.jpg” /></p>
<p>另一个问题源于USB驱动器部分的保护级别，该部分可以验证合法用户并解锁设备. 首先，黑客身份验证要比在硬件级别上黑客入侵闪存或黑客加密算法要容易得多。. 其次，制造商很有可能在开发身份验证机制时犯了一些错误. 因此，身份验证可能是任何攻击者（研究设备之后）最明显的重点.</p>
<p>有四种验证用户的方法：使用带有无线徽章，指纹或使用软件引脚输入的引脚垫.</p>
<p>制造商可以犯的第一个错误是将PIN存储在软件中. 即使是非熟练攻击者也可以弄清楚如何提取它，从而不仅要破解一个特定的设备，而且要破解同一型号的任何驱动器. 在某些情况下，软件可能具有重播攻击的漏洞 – 2009年德国系统研究人员研究的几个FIPS认证的驱动器就是这种情况.</p>
<p>针 – 输入垫可能是一个非常简单的漏洞.</p>
<p>无线徽章甚至更糟：可以使用非常简单的设备克隆它们. 使用克隆的徽章，任何攻击者都可以立即解锁USB驱动器，因此没有痕迹，因此没有其他人访问了驱动器.</p>
<p>研究人员在黑帽谈话中演示了四种方法：</p>
<p>至于指纹，它们似乎是一个强大的身份验证因素，但实际上它们远非完美. 存在各种各样的指纹，其中一些不需要任何身体接触 – 攻击者可以使用DSLR相机获得相当好的指纹镜头，并使用标准发音的喷墨打印机使用导电墨水制作假指纹. 更糟糕的是，您无法更改指纹 – 它们不喜欢密码.</p>
<p>但是实际上，攻击者不一定要伪造指纹. 正如研究人员所表明的那样，在某些情况下，可以更轻松地解锁指纹驱动器.</p>
<p>事实证明，至少有指纹保护的USB驱动器模型Bursztein及其同事检查很容易受到重播攻击. 当此驱动器的传感器扫描合法的指纹时，它只会将命令发送到驱动器的控制器以解锁.</p>
<p><img src=”https://media.kasperskydaily.com/wp-content/uploads/sites/92/2017/08/10080409/active-debugging-port-fail-1024×1024.jpg” /></p>
<p>该特定制造商犯的另一个错误是在电路板上留下一个正常的调试端口. 使用此端口，研究人员拦截了解锁命令，因此能够重播并解锁此模型的任何驱动器.</p>
<p>这些骇客似乎很复杂，但毫无疑问：熟练的攻击者将使用此类技巧来访问您的文件. 而且，如果您想保护自己的秘密免受更熟练或足智多谋的国家赞助的攻击者的侵害，那么您肯定需要考虑上述所有漏洞.</p>
<h3>控制器</h3>
<p><img src=”https://media.kasperskydaily.com/wp-content/uploads/sites/92/2017/08/10080229/controller-criteria-chart-1024×533.jpg” /></p>
<p>考虑驱动器的USB/加密控制器. 首先，您必须确保通过蛮力攻击而无法入侵. 他们之中有一些是. 例如，使用无线标签的驱动器（例如用于证明标签攻击的研究人员）也很容易受到蛮力攻击的攻击.</p>
<p>要保护免受蛮力的保护，设备必须在经过一定数量的失败身份验证尝试后燃烧. 理想情况下，当燃烧驱动器时，将安全擦除驱动器闪存中的加密密钥和信息.</p>
<p>确保该设备从USB端口，一定程度的不活动之后立即锁定并在USB重置后立即锁定自身也不会有任何伤害.</p>
<p>您还需要确保无法从驱动器的控制器请求密码，引脚和加密密钥. 这似乎很明显，但这正是Bursztein，Picod和Audebert在进行研究时在设备中发现的. 他们能够从一个驱动器的控制器请求主密码，使用此主密码，他们很容易成为新用户，并访问了存储在驱动器上的所有文件.</p>
<p>这次攻击允许甚至没有那么技能的黑客拥有最少的资源来解锁此模型的任何动力.</p>
<h3>加密</h3>
<p><img src=”https://media.kasperskydaily.com/wp-content/uploads/sites/92/2017/08/10080256/encryption-criteris-chart-1024×538.jpg” /></p>
<p>加密显然是安全USB存储的核心. 好消息是，没有足够资源的机会主义攻击者不太可能决定使用此攻击矢量，而现代的加密驱动器主要使用很难破坏的强加密算法 – 即使他们不能很好地实施它们.</p>
<p>坏消息是，很难确保设备制造商正确地加密.</p>
<p>为了使初学者真正安全，USB驱动器必须使用AES或更新的加密标准，而且情况并非总是如此. 在他们的研究中，Bursztein和他的同事遇到了几个使用过时的加密的驱动器，例如RC4和RSA-512. 这些密码系统已被证明是脆弱的（尽管破坏它们确实需要大量资源）.</p>
<p>其他方面包括随机生成加密密钥，对密钥的安全随机生成器的使用以及初始化向量，用于加密链接的安全算法的使用等等. 但是，这主要适用于那些想要受到民族国家 – 间谍活动的人.</p>
<p>正如研究人员强调的那样，加密魔法在硬件中，因此探索驱动器加密和查找漏洞到底发生了什么是非常困难的. 因此，关于这一特定问题的更多披露将是有帮助的.</p>
<h3>贮存</h3>
<p><img src=”https://media.kasperskydaily.com/wp-content/uploads/sites/92/2017/08/10080350/storage-criteria-chart-1024×536.jpg” /></p>
<p>可能的攻击向量的最后类是直接读取闪存. 似乎很难：攻击者需要小心地从驱动器电路板上提取内存芯片，然后将其连接到阅读设备. 在某些情况下，制造商将此部分作为 <em>很多</em> 更容易使用microSD卡代替焊接卡.</p>
<p><img src=”https://media.kasperskydaily.com/wp-content/uploads/sites/92/2017/08/10081806/microsd-in-secure-drive-1024×535.jpg” /></p>
<p>实际上，这是下一部分要困难得多：实际从闪存芯片中提取信息. 在硬件级别上，Flash不会以良好且方便的文件的形式存储数据，因此攻击者必须做很多工作才能从闪存转储中提取有用的东西.</p>
<p><img src=”https://media.kasperskydaily.com/wp-content/uploads/sites/92/2017/08/10080315/extracting-flash-memory-content-1024×537.jpg” /></p>
<p>但是，制造商可能会犯严重的错误，例如在内存芯片中以纯文本存储PIN代码. 其他可能的脆弱动作包括存储加密密钥，hashed Pin或在内存芯片中固定签名密钥 – 但这些问题主要与有高级间谍危险的人有关.</p>
<p>正如Bursztein和他的同事所指出的那样，他们刚刚开始研究这一难题，并期待与其他研究人员合作. 整个项目也是如此：他们邀请所有人为安全USB驱动器做出出色的审计方法做出贡献，并在框架中测试尽可能多的驱动器模型.</p>
<p>同时，考虑到没有人可以确定驱动器实际上是安全的，我们该怎么办来保护存储在“安全” USB驱动器上的信息? 最好的选择是将数据自行加密，然后将其托付给驱动器.</p>
<p>例如，我们的Kaspersky端点安全性可以使用AES-256算法加密信息. 如果您需要传输机密数据，则可以轻松地将其包装到受密码保护的，加密的，自提取的软件包中. 多亏了用于文件级加密的特殊便携式模式，即使在不运行Kaspersky Security Products的计算机上也可以读取文件.</p>