Full crypto: Zvítězí spojení kryptografie a lenosti nad GDPR? | Kapitola 3
Seznam kapitol
GDPR je vágní a těžko uchopitelný dokument. V panující nejistotě dokonce německé město Roth zakázalo dětem posílat Santovi dopisy, aby nedošlo k porušení jejich soukromí. Nikdo neví, co chránit – a zda to zaměstnanci budou vážně dodržovat. Naštěstí ale existuje elegantní řešení.
Ve středu 28. listopadu jsme byli pozváni firmou Kingston na prezentaci jejich hardware, který slouží pro celodiskovou kryptografii. Šlo jednak o nové disky IronKey, které nabízí nejen celodiskovou kryptografii, ale také ucelenou řasu Kingston UV500 SSD v podobě 2,5“ SATA (120GB-2TB), M.2 (120GB-960GB) a mSATA (120GB-480GB). Všechny disky používají kontrolér Marvell Dean s podporou hardwové akcelerace 256 bitového AES a podporou rozhraní TGC OPAL 2.0.
Kingston v podstatě nabízí hardware, ke kterému si pak vyberete softwarové řešení pro správu disků podle toho, jak se vám to hodí – a to právě zajišťuje podpora OPAL. V současnosti můžete použít řešení McAfee, Sophos, Symantec a Winmagic, na svých řešeních pracují i další softwarové firmy. To přináší výhodu konkurence a tedy pokles cen softwaru pro správu, která byla tradičně vysoká, očekává se ale propad zhruba o řád – což souvisí s tím, že s nástupem GDPR už bezpečnost není jaksi volitelná.
Demo, které nám bylo předvedeno, kombinovalo SSD disky Kingston UV500 a softwaru od Winmagic. V praxi to funguje tak, že po bootu se objeví řídící software, tam se nalogujete, on se volitelně ověří proti serveru a pak spustí načítání Windows. Celodiskové řešení znamená, že se v nezabezpečené oblasti disku neobjeví ani dočasné kopie dat, je to zkrátka bezpečné. Centrální správa se tak může starat jak o zabezpečené počítače, tak i flashdisky. Hardwarová akcelerace AES pak přináší rychlost při práci s disky, jejich mazání, reinstalaci a podobně. Je to masivní zjednodušení práce jak pro uživatele, tak pro administrátory – plus samozřejmě, k diskům existuje i heslo administrátora, takže když si uživatel to svoje zapomene, je možné se přihlásit a heslo mu resetovat.
Samozřejmě, má to svoje problémy. Bezpečný disk je bezpečný nejen před útočníkem, ale také před pokusem o záchranu dat. Pravidelné a systematické zálohování je tedy nutností. Naštěstí administrátor může určit adresáře pro synchronizaci se serverem, ale jinak jste tak nějak na svém. Přičemž, z bezpečnostních důvodů, není dobrý nápad dovolit zálohování dat jak na klasické nechráněné USB disky, tak i na běžná cloudová úložiště. V případě, že chcete mít data v bezpečí, je nutné sáhnout po zabezpečeném úložišti.
To dnes nabízí kde kdo, i vysokorychlostní Samsung X5 Thunderbolt 3 – ano, i ten má podporu 256bitového AES, najdeme ji také u některých externích disků Western Digital. Pro malé objemy dat anebo domácí použití podle mě stačí bohatě VeraCrypt, s „pouze“ AES kryptografií u moderních počítačů v podstatě nerozeznáte rozdíl mezi normálním a zabezpečeným chodem. To funguje s libovolným externím diskem, nevýhodou je ale dlouhá příprava bezpečného volume, protože se už od začátku musí zaplnit náhodnými daty.
Kingston nabízí svoje zodolněné disky, které u nejvyšší řady IronKey. Ty nabízí odolnost vojenské úrovně s tím, že fyzicky mají obal ze zinku a celý vnitřek je zaplněný epoxidem, takže se jednak dovnitř nedostane voda a potom je velmi obtížné se dostat fyzicky k čipům. Mimo 256 bitové AES kryptografie je USB kontrolér vybavený podepsaným firmwarem, což znemožňuje napadení malwarem BadUSB, ovládací software navíc nabízí virtuální klávesnici, která zvyšuje ochranu před keyloggery (i když ty potvory někdy odchytávají i pohyb myši). Řada S (Serialized) mí individuální čísla, která jsou uvedena i na plášti disku včetně čárového kódu, což zjednodušuje evidenci.
Komentáře naleznete na konci poslední kapitoly.
