Kingston IronKey D500S představuje vrchol v oblasti hardwarově šifrovaných USB disků. Jako první flashdisk na světě nabídl certifikaci FIPS 140-3 Level 3, díky čemuž slibuje ochranu dat na vojenské úrovni. Jak funguje a co dokáže?
Na první pohled jde o vcelku nenápadné zařízení. Černý flashdisk toho však díky zinkovému pouzdru vydrží skutečně hodně. Je vodotěsný podle IP67, odolává prachu a vyhovuje vojenským specifikacím pro odolnost proti nárazům, vibracím i pádům. V praxi to znamená, že přežije i drsné zacházení. Důležité je ale hlavně to, co se nachází uvnitř.
Foto: Redakce inSmart.cz
Když chcete mít absolutní jistotu, že se k vašim datům nikdo nedostane, nemáte na trhu mnoho možností. Kingston IronKey D500S je bezpečnostní zařízení navržené a sestavené přímo Kingstonem v Kalifornii, přičemž všechny kritické součástky pocházejí od dodavatelů splňujících požadavky TAA a CMMC. Výrobce měl zkrátka kompletní kontrolu nad dodavatelským řetězcem a sestavování disku probíhá přímo v USA.
Certifikace vyhoví i CIA
D500S využívá hardwarové šifrování XTS-AES 256-bit, přičemž všechny kryptografické operace probíhají přímo na zařízení. To znamená, že na počítači, ke kterému disk připojíte, nezůstává žádná stopa. Bezpečný mikroprocesor je chráněn epoxidovou výplní, která splňuje požadavky FIPS 140-3 Level 3 na ochranu proti neoprávněné manipulaci.
Foto: Redakce inSmart.cz
FIPS 140-3 Level 3 certifikaci primárně používají vládní a bezpečnostní složky jako ministerstva obrany, zpravodajské služby (CIA, NSA, BIS), diplomatické mise a vládní úřady zpracovávající utajované informace. Tato úroveň zabezpečení je požadována i u obranných kontraktorů, kritické infrastruktury a institucí, kde může dojít k fyzickému získání zařízení protivníkem. Zkrátka ta nejvyšší představitelná ochrana, ke které se jako běžný smrtelník dostanete.
Obsah balení je v tomto případě strohý. Vedle samotného flashdisku je zde pouze ocelové lanko. Na první pohled zaujmou větší rozměry 79 × 20 × 10 mm a váha kolem 77 g, což je dáno silnou vrstvou pevného kovu a použitými technologiemi.
-
- Foto: Redakce inSmart.cz
Na matném těle také nelze přehlédnout gravírování a čárový kód. Laserové gravírování sériového čísla a čárového kódu do pouzdra slouží k zabránění podvodným výměnám disku. Útočníci tak nemohou snadno nahradit originální zařízení falešnou kopií s malwarem nebo odposlouchávacími funkcemi, což je běžná taktika průmyslové špionáže a kybernetických útoků na organizace.
Foto: Redakce inSmart.cz
Prvotní nastavení a funkce
Po připojení vidíte disk jako nové médium určené pouze pro čtení. Bez odemknutí vám totiž uložená data neodhalí. Nastavení začíná spuštěním aplikace IronKey přímo z disku, přičemž není nezbytné cokoliv instalovat.
Foto: Redakce inSmart.cz
Systém vás provede nastavením hesla, přičemž máte na výběr mezi komplexním heslem (8-16 znaků s kombinací velkých písmen, malých písmen, čísel a speciálních znaků) a režimem „passphrase“ (10-128 znaků bez omezení).
V našem testu jsme použili passphrase režim (úmyslně termín nepřekládáme), který umožňuje použít třeba celou větu nebo kombinaci slov. Tento přístup je často bezpečnější než tradiční hesla, protože dlouhé passphrase jsou obtížně prolomitelné hrubou silou, ale snáze zapamatovatelné.
-
- Foto: Redakce inSmart.cz
Disk podporuje multi-password systém s rolí administrátora a uživatele. Admin může resetovat uživatelská hesla, nastavit jednorázové heslo pro obnovu nebo dokonce vytvořit crypto-erase heslo pro nouzové situace, kdy je potřeba data beze stopy smazat.
Čeština bohužel v aplikaci chybí. Najdete tam však hlavní světové jazyky. Foto: Redakce inSmart.cz
Duální oddíly a ochrana při zadávání hesla
Unikátní funkcí je možnost vytvoření dvou samostatných šifrovaných oddílů. Admin má přístup k oběma, zatímco uživatel vidí pouze svůj oddíl. Velikost oddílů lze nastavit podle potřeb, hodí se to při sdílení disku nebo pro vytvoření skrytého úložiště.
Foto: Redakce inSmart.cz
Při každém přihlášení můžete volit mezi režimem jen pro čtení a plným přístupem. První varianta mj. chrání před malwarem na nedůvěryhodných systémech. I když tedy disk nevědomky na zavirovaném zařízení odemknete, nikdo nebude moci data modifikovat.
Pokud nevěříte zařízení, ke kterému potřebujete disk připojit (takové chování nedoporučujeme), chrání vás další mechanismy. Virtuální klávesnice pro zadávání hesla klikáním myší chrání před keyloggery, přičemž můžete aktivovat i ochranu před screenloggery sledujícími obrazovku.
Foto: Redakce inSmart.cz
Crypto-erase: Nouzové heslo pro nejhorší scénář
Velmi zajímavou funkcí je tzv. crypto-erase heslo (v překladu heslo pro kryptografické vymazání dat). V případě ohrožení můžete zadat speciální heslo, které okamžitě a nenávratně smaže všechna data. Disk se pak tváří, jako by nikdy neobsahoval žádné informace – vytvoří se na něm nový šifrovací klíč a prázdný uživatelský oddíl.
Aktivace této funkce probíhá stisknutím Ctrl+Alt+C na přihlašovací obrazovce. Objeví se modrý rámeček signalizující připravenost pro crypto-erase heslo. Poté už jen stačí zadat předem navolené heslo a během okamžiku jsou všechna data nenávratně zničena.
Ochrana proti útokům hrubou silou
Disk má vestavěnou ochranu proti pokusům o prolomení hesla. Co se tedy stane, pokud heslo zapomenete? Po 10 neúspěšných pokusech se chování liší podle typu hesla:
- Uživatelské heslo: Účet se zablokuje, ale admin ho může odemknout
- Admin heslo: Disk se automaticky smaže a všechna data se ztratí
- Jednorázové obnovovací heslo: Heslo se deaktivuje
Ochrana je to nemilosrdná, ale efektivní. Ani vlastník disku nemá druhou šanci, pokud zapomene všechna hesla.
Foto: Redakce inSmart.cz
Bezpečnost na nejvyšší úrovni
Certifikace FIPS 140-3 Level 3 znamená, že disk prošel nejpřísnějšími bezpečnostními testy. Firmware je digitálně podepsaný a imunní vůči BadUSB útokům. Hardwarové šifrování zajišťuje, že data jsou chráněna i v případě fyzického získání disku.
Všechny kryptografické operace probíhají v bezpečném mikroprocesoru, který je fyzicky chráněn proti manipulaci. Pokus o otevření pouzdra by vedl ke smazání klíčů.
Rychlost a praktické použití
V našem případě slouží disk jako bezpečné úložiště důležitých dokumentů uložených v trezoru. I kdyby se někdo dostal k fyzickému přístupu, bez znalosti hesla jsou mu data nedostupná.
Disk podporuje Windows, macOS i Linux, i když na Linuxu jsou některé funkce omezené. Rychlost čtení a zápisu je díky hardwarovému šifrování a vlastnímu bezpečnostnímu čipu slušná, přestože to zdaleka není parametr, kvůli kterému si ho budete kupovat.
Foto: Redakce inSmart.cz
Závěr
Kingston IronKey D500S je určený pro situace, kdy je ochrana dat skutečně kritická. K dispozici jsou varianty od 8 GB do 512 GB, přičemž cena 4 800 Kč za 128GB variantu rozhodně není nízká. Není však pro každého a za vojenskou úroveň zabezpečení je to adekvátní. Disk dokáže ochránit vaše data před většinou útoků a funkce rychlého vymazání poskytuje „nouzová vrátka“ pro nejhorší scénáře.
Foto: Redakce inSmart.cz
Pro běžné uživatele jde spíše o přehnané řešení. Pokud ale potřebujete skutečně bezpečné úložiště citlivých dat – ať už jde o firemní dokumenty, zálohy hesel nebo cokoli jiného – IronKey D500S je patrně nejlepší dostupnou možností na českém trhu.
Zdroj: Kingston, test redakce inSmart.cz
