USB-minnen har ökat vilt. Jag har en på min nyckelring; det är den fjärde jag har ägt. Du kan få respektabla 8 GB lagringsutrymme i en liten bärbar form för under $20 nu. Det är jävligt mycket data du kan bära med dig. Men vad händer om det hamnar i någon annans händer?
När diskettenheter började gå samma väg som Dodo, vet jag att jag personligen inte var helt säker på vem som var arvtagaren. ZIP-skivor hade potential, men var för dyra. Att skriva CD- och DVD-skivor kan ha blivit snabbare med åren, men det är fortfarande för tidskrävande. I huvudsak de syften som disketten upptog – spridning av data och bärbar lagring – slutade att delas upp i två delar av teknik: optisk media för den första och flash-enheter för den andra.USB-minnen har ökat vilt. Jag har en på min nyckelring; det är den fjärde jag har ägt. Du kan få respektabla 8 GB lagringsutrymme i en liten bärbar form för under $20 nu. Det är jävligt mycket data du kan bära med dig. Men vad händer om det hamnar i någon annans händer?
PROBLEMET
Även om jag inte har något av något verkligt värde på min egen flash-enhet, gör vissa människor – särskilt individer i företag eller statliga sektorer – det. Flash-enheter är små och praktiska, men det gör dem också extremt lätta att stjäla eller förlora.
För att bekämpa problemet började många tillverkare att introducera enheter med olika grader av kryptering. Dessa enheter är märkta i pris och mer för företagsanvändning, men tillåter användaren att lösenordslåsa data på dem för att säkerställa att alla som stjäl enheten inte kommer att kunna återvinna den värdefulla lasten.
Problemet? Mycket av detta hanteras i mjukvara på ett sätt som hittills har visat sig otillförlitligt för säkerheten. Medan den genomsnittliga idioten som bara försöker stjäla en annan killes flash-enhet förmodligen inte bryr sig om vad som finns på den (även om den troligen inte heller kommer att kunna använda den, i praktiken bara slösar tid och energi), för statliga och privata ändamål kommer bara inte att klippa det.
Det blir värre. Nyligen ett krypteringsschema som hade ratificerats för att vara lämpligt för statlig användning hackades.
LÖSNINGARNA
För det första är den grundläggande krypteringsmetoden som används för närvarande inte nödvändigtvis fundamentalt felaktig. 256-bitars AES-kryptering är en standard som antagits av regeringen, och utan att gå in på för mycket detaljer om hur det fungerar (till och med mina ögon korsade när jag studerade det), räcker det för att säga att det inte lätt går sönder. Metoden "brute force" för att hacka kryptering – i princip att prova nycklar tills en fungerar – är extremt opraktisk och tidskrävande.
Problemet kom med implementeringen av krypteringen och hur enheterna hanterade det. Tidigare regeringsratificerade flash-enheter kunde luras att dekryptera data utan rätt nyckel; själva nyckeln var inte kopplad till lösenordet.
Lyckligtvis, om du har mycket viktig last som behöver transporteras via USB-minne, finns det några företag som har kommit fram med nya (och till och med några gamla) alternativ.
Kingston-, Verbatim- och SanDisk-enheterna som ursprungligen hackades har fått antingen erinrar eller uppdateringar som korrigerar krypteringsproblemet, men en del av den grundläggande bristen kvarstår: dessa enheter hanterar fortfarande validering i programvara.
Å andra sidan, IronKey producerar flash-enheter med vad de kallar "CryptoChip", hårdvara som hanterar all kryptering och säkerhet för data som lagras på enheten. Att ha all denna funktionalitet lagrad i hårdvaran på själva enheten – utanför själva lagringsflashen – gör den mycket motståndskraftig mot hackning.
Kanguru lösningar även nyligen släppt flash-enheter med hårdvarubaserad kryptering som liknar IronKeys implementering, där validering hanteras på ett chip inuti enheten i motsats till att göras i mjukvara på PC:n.
Genom att använda hårdvarulösningar undviker dessa leverantörer ett väsentligt problem: programvaran som körs på den PC som används för att komma åt krypterad data är betydligt mindre säker än denna data. Hackaren behöver inte skaffa nyckeln själv, han behöver bara lura programvaran att tillhandahålla den till enheten.
SLUTSATS
I slutet av dagen är framtiden för flash-enhetssäkerhet där IronKey såg det: hårdvarubaserad kryptering och validering. Tillägget av denna hårdvara kan vara av större kostnad för tillverkaren (och konsumenten i natura), men resultaten är onekligen bättre än den mjukvarubaserade valideringen som de hackade enheterna led av.
Säkerhet kommer att komma ner till en fråga om personliga behov och datakänslighet. Om du bara är en vanlig Joe som inte nödvändigtvis behöver bära med dig känsligt material – som jag – så kommer en säker flash-enhet oavsett fjäder att vara överdriven för dig. Om du inte nödvändigtvis bär runt på toppföretagshemligheter eller något och bara är orolig för att någon främling ska stjäla din enhet, så även om mjukvarukryptering har sina brister, borde det vara mer än tillräckligt för att överlista den genomsnittlige tjuven.
Om du däremot ska bära runt på något extremt känsligt material, kommer hårdvarubaserad kryptering att vara den enda vägen att gå.
