Пользователь
0,0
рейтинг
14 мая 2013 в 12:42

Разработка → Суперзащищенные флешки и жесткие диски

Всем привет!

На хабре уже был подобный обзор супер защищенной флешки datAshur, однако сегодня я бы хотел рассказать о всех моделях защищенных устройств этого производителя.

Заказываю такие устройства довольно часто, так что производитель предоставил промо-код специально для этого обзора (скидка 5% — LS18413).

image

Итак, в основе любого такого носителя информации — клавиатура для набора пинкода. Устройства представлены в различных форм-факторах: флешка (datAshur, 4-32 Gb) и жесткие диски (250-3000 Gb).

datAshur


image

datAshur представляет из себя флешку с клавиатурой для ввода пин-кода. Очень большим плюсом этого устройства является то, что при работе не нужно дополнительное программное обеспечение — Windows, Mac, Linux, Android и другие ОС, которые понимают обычные флешки без проблем воспримут и эту.

В основе криптографии лежит 256-битное AES шифрование на лету, то есть все данные, которые попадают на флешку уже защищены и перепайка памяти на другую, “обычную” флешку не даст возможности увидеть содержимое.

Весит флешка 25 грамм, размеры: 80х20х10 мм — чуть больше, чем среднестатистическая флешка на текущий момент, однако ударопрочность и влагозащищенность, на мой взгляд, того стоят.

Выпускается флешка 4-х различных объемов: 4, 8, 16 или 32 Gb. Скорость чтения и записи на очень хорошем уровне — до 27 мегабайт в секунду на чтение, 27 — на запись.

Теперь про пин-код. Чтобы активировать флешку нужно набрать пин-код (от 7 до 15 цифр) на клавиатуре и нажать на кнопку с ключиком. Если код введен верно, то загорается зеленый светодиод и можно выполнять подключение к компьютеру. В противном случае, загорается красный светодиод и можно попробовать ввести пин код еще раз. После 10 неправильных попыток ввода пин-кода, данные на флешке стираются безвозвратно и в этом случае поможет только полный сброс устройства. Производителем предусмотрено 2 вида пин-кода: администраторский и пользовательский. Администраторский пин-код полезен, например, в случае, если Вы хотите дать эту флешку своему сотруднику, но, в случае чего, иметь доступ к файлам.
После использования флешки ее достаточно просто отключить от компьютера и произойдет автоматическая блокировка, никаких дополнительных действий для блокировки совершать не нужно. Это удобно, если к Вам пришла налоговая — выдергиваете флешку и можно не волноваться. Внутри есть встроенный аккумулятор, который автоматически подзаряжается, когда флешка подключена к компьютеру. Память энергонезависимая, если сядет батарейка — нужно просто подключить флешку без ввода пин-кода на пол часа и аккумулятор снова зарядится.

Стоит такое устройство от 39 до 99 фунтов (1900 — 4800 руб.) в зависимости от объема. Производитель предоставляет гарантию сроком на 3 года.

На этой странице можно почитать дополнительную информацию и посмотреть фотографии устройства: http://istorage-uk.com/datashur.php
С инструкцией можно ознакомиться по этой ссылке: http://istorage-uk.com/documents/iStorage-datashur-User-Guide.pdf

Теперь перейдем к обзору винчестеров.

image image

Винчестеры представлены в 5 разных моделях. Часть из них поддерживает USB 3.0, часть использует SSD.

Принцип работы у таких винчестеров абсолютно такой же как и флешки, описанной выше, разница только в объеме данных и размере устройства.

diskAshur и diskAshur SSD



image

Эти диски выглядят одинаково, но, как видно по названию, у них есть одно важное различие — один из них использует SSD. Также версию без SSD можно купить со 128 битным шифрованием, она будет стоить на 20 фунтов дешевле 256-битной. SSD версия выпускается только с 256-битным шифрованием. Оба диска поддерживают USB 3.0 и не требуют дополнительного программного обеспечения. Питание происходит от USB порта, дополнительных адаптеров не нужно.
Объем дисков — от 250 до 1500 Gb для версии без SSD и от 64 до 512 Gb для версии с SSD. Стоит такая штука от 119 до 269 фунтов (5800 — 13000 руб.) за версию без SSD и от 169 до 639 фунтов (8200 — 31000 руб.) за SSD версию. Аналогично, производитель дает трехлетнюю гарантию.

Описание накопителей на сайте производителя: http://istorage-uk.com/diskashur.php и http://istorage-uk.com/diskashur_ssd.php

Также в продаже есть “урезанная” версия diskAshur — diskG. Последний поддерживает только USB 2.0 и выпускается объемом от 250 до 1000 Gb (версия без SSD) и от 64 до 512 Gb в SSD версии. Разницы в цене и других отличий по сравнению со “старшим братом” нет.

diskAshur DT



image

Последнее устройство о котором я хочу рассказать — это настольный жесткий диск. Поддерживает USB 3.0, выпускается в трех вариантах: 1 TB, 2 TB и 3 TB. Стоит диск от 179 до 279 фунтов (8600 — 13500 руб.) — самая низкая цена за гигабайт из всех представленных устройств. Питается устройство от внешнего адаптера, так что для работы нужна будет электрическая розетка. Аналогично предыдущим, на это устройство производитель дает трехлетнюю гарантию.

Ниже Вы можете увидеть сводную таблицу по всем устройствам.

image

В завершении приятный бонус — промо-код от производителя для 5% скидки LS18413

Спасибо за внимание!

P. S. Спасибо andorro за помощь с редактированием текста.
Леонид @leonid239
карма
82,0
рейтинг 0,0
Пользователь
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (72)

  • +2
    Где купить в России не самовывозом?
    • +2
      Официально в Россию эти устройства не ввезти. По нотификации не проедет. Нужна лицензия. Лицензию не получить, потому что нужно предоставить исходные коды.
      • +1
        Хм, хотите сказать, что Corsair Padlock 2, которая официально продается в России, прошла все это..?
        • +2
          Мне нужно взглянуть на ГТД, по которой этот груз был ввезен в Росиию, чтобы сказать прошли они все это или нет.
          Нужно понимать что существует миллион способов обхода законов и таможни.
      • 0
        На их страничке есть 2 Российских дилера. istorage-uk.com/wheretobuy.php
        А про лицензию не совсем так — чтоб ввозить и продавать — лицензия и исходники не нужны. Продают же Iphone у них тоже встроено шифрование. Короче есть возможность приобрести в России с гарантией и прочими обязательствами. Например у нас из 60 шт флешек оказалось 2 бракованные -доставка в англию и обратно получалась больше стоимости этих флешек. Доставка около 15-20 дней смотря куда.
        Да и не скажу, кто но есть в России аналоги и по дешевле и по прикольней.

        Corsar и Kingston Travel это все без ГТД
        • 0
          Посмотрел странички дилеров. Первый вообще пустой. Второй только по Украине.
          Но вернемся к законности ввоза этого устройства.
          Обратимся к официальной базе зарегистрированных нотификаций: www.eurasiancommission.org/ru/docs/Pages/notif.aspx
          Оформленной нотификации на данное устройство нет. Более подробно со всеми положениями можно ознакомиться из документа: www.eurasiancommission.org/ru/act/trade/catr/nontariff/Documents/2.19%20-%20shifrovka%20PR.doc
          Исходя из вышеприведенного документа (Приложение №2) данное устройство не соответствует параметрам, на которое нужно оформлять нотификацию. Поэтому для ввоза такой флешки нужно получать именно лицензию.

          Ваш аналог мы уже обсуждали на хабре. Только автор топика почему-то предпочел скрыть его от общественности ;)
  • +18
    А какова вероятность, что производитель имеет супер-администраторский пин-код?)
    • –7
      Я думаю, что эта вероятность стремится к нулю слева.
  • +3
    А стирание по десятку попыток можно отключить? Будет крайне досадно, если приятель возьмет, поиграется без особой цели разблокировать и сотрет все.
    • 0
      Нет, к сожалению, такой настройки нет.
    • +5
      Подобные устройства не созданы для того, чтобы с ними игрались приятели. При выборе устройства стоит это учитывать.
      • +2
        Возможно, приятели этого не учтут ;))
        • +1
          Это должен учитывать хозяин устройства, а не его приятели.
          • 0
            Ну там, куда не дотянутся ручки «кого не надо» мне и защита не особо нужна. А вот такая защита хорошо бы подошла именно от случайных любопытных. Но без такого кардинально уничтожения.
            • 0
              Для этой цели есть другие менее защищенные флешки. Эта служит одной цели — гораздо серьезней, чем защита от приятелей.
  • –3
    Спасибо за интересную наводку, прикупил на 4gb!
  • +6
    А еще можно вспомнить про Zalman ZM-VE400, в которую можно поставить свой SSD/HDD, и купить в обычном DNS за ~2.5Кр.
    • +4
      Класная вещь, кроме шифрования кстати, оно умеет монтировать ISO-шники как виртуальный CD, т.е. можно с него загрузить любую live-cd операционку или «ремонтный» диск и т.д. просто положив несколько ISO на плату.
      Причем на usb 3.0 убунту лайв грузит за 4-5 секунды. То же на CD — минута с гаком.
      • –2
        Было бы замечательно, если можно было монтировать образы HDD. А если еще и можно было бы подделывать модель винчестера, серийный номер и версию прошивки — был бы офигенный хакерский девайс.
      • 0
        А что с шифрованием у него не так? Real Time 256-Bit AES Hardware Encryption

        Кажется, Zalman в этом топике смотрелся бы круче — туда можно воткнуть своего донора (естественно с форматированием...)
        • +1
          все нормально с шифрованием, возможно зпт не там — хотел сказать, что не только шиф
          рует но умеет еще кое-что.
  • 0
    Можете подробнее рассказать про стирание жёстких дисков?
    • 0
      Принцип одинаковый у всей линейки продуктов: если введете код неправильно несколько раз подряд, то устройство просто блокируется. Чтобы продолжить работу с ним, его нужно сбросить, при сбросе стираются все данные и меняется пин-код.
    • +6
      Скорее всего просто стирается ключ шифрования AES, хранящийся в чипе, доступ к которому и закрывается цифровыми пин-кодом. Данные превращаются в кашу. Теоретически.
  • +1
    Были бы очень интересны такие девайсы с open-source прошивкой.
    Сам собрал прошивочку, и уверен, что никаких лазеек нет. Жаль, что никто пока не выпускает.
    • 0
      Ну так сделайте контейнер truecrypt внутри такой флешки и думаю можно не переживать.
      • 0
        Ну, контейнер truecrypt можно сделать внутри любой флешки,
        тут весь прикол в том, чтобы шифровалось не на компьютере а во флешке.
        • 0
          Ну наверное просто люди которым нужна такая защита данных, обычно не умею сами прошивать флешки.

          А вообще, если бы не было удаления данных через 10 неудачных попыток, использование вместе с truecrypt было бы замечательным.
          • 0
            В России её вообще использовать в качестве системы шифрование конфиденциальной информации нельзя, а какой там менталитет в Европе или Америке мы не знаем, мб их это полностью устраивает, хотя ту же гос.тайну такими игрушками точно не шифруют.

            Кстати весь смысл ввода пин-кода с собственной клавиатуры в том, что перехватить его не получится.

            А у этих флешек есть пин для стирания ключа в ручную?
        • +1
          О! Ещё один бешеный проект на raspberry!
  • 0
    На какой-то барахолке в описании товара пишут про iStorage datAshur:
    Доступ к данным устройства может быть многоступенчатым, содержать гостевой, пользовательский или админский доступ. Например, если от вас начнут требовать пин-код, вы выдаете гостевой пароль, и получается, что недоброжелатели получают данные для общего пользования, а секретные данные автоматически уничтожаются.

    Что-то я такого в инструкции не нашел, про разделение доступа. Врет продавец?
  • 0
    Баловство имхо.
    Обычная флешка/диск с трукрипотом в десятки раз дешевле, открытый код и неоднократно доказанная надежность.

    • +2
      А её можно будет подключить, например, к планшету?
      • +1
        Возможность подключения к планшету стоит закрытого кода, неудобной клавиатуры для ввода пароля, цены в 5-10 раз дороже?
        Тут каждый решает сам для себя.
        • –1
          Тут каждый решает сам для себя.

          Всё зависит от требований, которые необходимо учитывать владельцу. Если ты хочешь курсовую или диплом защитить (а вдруг?), то конечно хватит и трукрипта, а вот если у тебя какая-то финансовая документация, или нечто подобное, то наверняка переплатить будет не лишним =)
          • 0
            Трукрипт гораздо надежнее этого продукта, я объяснял выше.
            Разве что в паре использовать.
        • +1
          С трукрипта можно загрузится?
          Трукрипт-том откроется на машине с ограничениями на запуск/установку ПО?
          • +1
            Каждый день загружаюсь с трукрипта, в чем проблема?
            • 0
              >Каждый день загружаюсь с трукрипта, в чем проблема?
              Не знаю, это я Вас спросил. Или это какая-то загадка?
  • 0
    Вот не нравилось мне никогда это «стирание после 10 попыток». Получается первый же любопытный коллега/сотрудник/ребенок, не знающий про эту фичу — и все, сушите весла? Всегда ведь можно дать погулять часок-другой, и все
    • +3
      Ну очевидно, что на такой флешке следует хранить данные, которые лучше потерять, чем отдать кому-то другому. Выбор настоящих параноиков.
      • 0
        Кстати, если вводить один пин-код раз в 3 секунды, то 10 000 000 комбинаций (для 7 значного пин-кода) можно подобрать всего за 40 дней.
        • –1
          Подобрать и умереть?
          • +2
            А что, обязательно вручную подбирать?
            Разбираем, подпаиваемся к клавиатуре и светодиоду, пишем программу в 20 строк на всеми любимой ардуине…

            «Позабыты хлопоты, остановлен бег,
            Вкалывают роботы, а не человек.» (с)
    • НЛО прилетело и опубликовало эту надпись здесь
  • 0
    Не пойму, если данные на флэшке зашифрованы, как может быть два пароля?
    • 0
      Очень просто. Данные зашифрованы, а ключ сныкан в недрах контроллера. Он их расшифровывает, если введен правильно любой из двух
      • +1
        Тогда появляется возможность получить собственно один из ключей, нет? Ведь они не являются ключом к расшифровке.
        • –1
          Ключ шифрования/дешифровки хранится в контроллере и никоим образом не зависит от пинкода. Просто контроллер соглашается расшифровывать данные только после ввода оного.
          • +1
            Есть у меня знакомый, открывают они такие контроллеры и достают ключи. Порой достаточно тривиальными методами. Про этот не скажу, но хранение ключей внутри железа — это плохая идея.
            • 0
              Хранить в контроллере сам ключь — это как минимум не кошерно, никто порядочные компании так давно не делают, см. мой коммент ниже
            • 0
              Хм, вроде бы стандартный способ для всяких смарт-карт. Считается очень защищенным.
              Может ваш знакомый и Ki с сим-карт умеет добывать? Было бы интересно…
    • +2
      Думается, что как-то так:
      Два ключа К (их запоминаем) — для каждого генерится своя соль С и сохраняется в железе, функция Ф(К, С) и есть реальный ключь шифрования, т.е. РК = Ф(К1, С1) = Ф(К2, С2).
      Кстати при десятикратном неправильном вводе «забываем» соль в железе.
      • 0
        А как вы добьётесь вот этого — Ф(К1, С1) = Ф(К2, С2)?
        • +2
          Довольно просто, нужно просто знать обратную функцию к Ф (назовем ОФ):
          Например функция Ф это XOR, тогда ОФ тоже XOR, К1 = 5555555 и случайно сгенерированый С1 = 1234567.
          Тогда реальный ключь РК = 4592612.
          1) Просим ввести пользователя свой первый пароль К1.
          2) Вычисляем реальный ключ по соли (5555555 ^ 1234567) = 4592612
          3) Просим ввести второй ключ К2, например 9999999
          4) Вычисляем новую соль С2 используя ОФ(К2, РК) = (9999999 ^ 4592612) = 14583195
          5) Проверка Ф(К2, С2) = (9999999 ^ 14583195) = 4592612
          Конец.
          • 0
            В их сертификации ничего такого не видно. Я не спец, но похоже пин хранится в контроллере:

            • 0
              «Created in RAM and compared to EEPROM» в таких случаях как правило означает
              «В EEPROM лежит что то для сравнения например контрольная сумма».
              Подозреваю что «AES Key» без «User PIN» или без «CO PIN» — мертвый груз (ака соль), посему он может хранится в контроллере сколько ему угодно. Иначе зачем Hash-DRBG?
              Либо так, либо — решето…
    • +1
      Данные зашифрованы ключом A, который дважды (в двух разных областях памяти) зашифрован ключами U1 и U2. Пароли к ключам U1 и U2 — это пин-коды.
      При работе проверяется соответствие парооля ключу U1, если не подошел, то U2, если не подошел, то отказ.
    • НЛО прилетело и опубликовало эту надпись здесь
  • +2
    И это, конечно, ни разу не реклама.
  • +1
    У меня есть такой винчестер от iStorage (только почему-то логотипа diskAshur на нём нет). Версия USB2 1 GB с классическим винчестером. В принципе работает, но есть и небольшие недостатки:

    Во-первых, если подключить его к USB и начать вводить код немедленно, то он не принимается. Надо чуток подождать, пока винчестер внутри раскрутится. Секунд этак три-пять. Иногда достаёт — то ли я неправильно ввёл код, то ли он ещё не готов его принять.

    Во-вторых, не все компьютеры способны его запитать — там потребляемый ток на грани порта, иногда надо пользовать Y-кабель (он в комплекте прилагается). Причём, по внешнему виду и звуку не скажешь — хватает ему или нет, просто он код не принимает и всё.

    В-третьих, если компьютер с подключённым и разлоченным винтом перегрузить, то система перестаёт винчестер видеть (хотя на нём по-прежнему горит зелёная лампочка). Приходится его отсоединять, затем снова присоединять, снова вводить пин-код, только после этого система его видит.

    В-четвёртых — кабель реально короткий (он, правда, удобно прячется в корпус) — в результате винчестер на нём, как правило, висит — у большинства десктопов расстояние от USB до поверхности стола довольно велико. А через удлинитель может и не работать по причине высокого потребляемого тока.

    Я это всё к тому, что наверное лучше брать USB3 SSD версию (если средства позволяют) — там эти болячки (ну по крайней мере первые две) могут быть пофиксены.

    Ах, да, к нему ещё приятный на ощупь мешочек в комплекте идёт.
  • 0
    Интересно, что в Украине можно купить без всякой почты, в магазинах.
    datawaysecurity.com/ru/products/list.php?SECTION_ID=161
    Как у них с сертификацией? Пропускают?
  • 0
    Вместо стирания данных после 10 попыток, могли бы сделать экспоненциальное замедление: пусть каждая следующая попытка подобрать код проверяется в 2 раза дольше предыдущей.
    • 0
      решается разбором устройства и отсоединением обесточиванием
      • 0
        А если количество попыток писать в ПЗУ?
        • 0
          Никто не мешает менять ПЗУ в данном случае — ключа не было при неверном вводе, значит хорошо зашифровано данное значение быть не может. Правда и от брутфорса такая атака не спасет, т.к. память всегда можно вернуть к предыдущему состоянию.
          Ограничителем может стать только внутреннее шифрование чипа, но при должном умении все равно может быть вскрыто.
          • 0
            Видимо ничего не мешает :) Но аналогичная проблема есть и в оригинальном решении, в нем же тоже нужно поддерживать счетчик попыток.
      • +1
        Можно сделать экспоненциальное замедление и без хранения счетчика попыток. Пусть внутри процессора хранится ключ, зашифрованный функцией от пинкода. Добавим к нему контрольную информацию и зашифруем еще раз некоторым N-разрядным случайным числом Z. Сразу после этого удалаяем число Z из памяти. Теперь узнать его можно только полным перебором.

        Валидация теперь выглядит так:
        1) юзер вводит пин
        2) процессор начинает подбирать Z. Допустим, это занимает 1 секунду.
        3) если при расшифровке контрольная информация совпала, значит перебор закончен
        4) процессор расшифровывает ключ при помощи пинкода
        5) ключ шифруется новым случайным Z
        5.1) если пинкод верный, разрядность Z берется по умолчанию
        5.2) если пинкод неверный, разрядность Z берется на единицу больше текущей. Таким образом, следующая попытка займет уже 2 секунды, следующая — 4 и т.д.
  • –2
    Чем бы дитя не маялось…
    Если уж так свербит, то не проще ли создать на флешке что-нибудь вроде encfs и т.п., чтобы монтировать с паролем?
    • 0
      Главные достоинства аппаратного шифрования:
      1) Полная независимость от платформы и софта. Если устройство может работать с обычными флешками — сможет и с зашифрованной.
      2) Пароль не покидает пределов устройства, можно не бояться кейлоггеров.

      encfs, truecrypt и т.п. этого не обеспечивают.
      • 0
        1а) Устройства, не умеющие шифрование, это либо телевизоры какие-нибудь, либо вообще микроволновки. Чего там шифровать — рецепт бабушкиного пирога?
        1б) Для бешеных параноиков решение на каком-нибудь дешевом ARM-процессоре + SD-карточке обойдется ощутимо дешевле. А то и не на ARM, а и вообще на PIC…

        2) Паранойя такой степени, пожалуй, даже в психушке не лечится…
  • 0
    Кстати эта флешка выпускается под одной и той же лицензией что и Aegis Secure Key habrahabr.ru/post/138289/
    И не буду говорить кто, но одна крупная западная компания выпускает под этой лицензией девайсы и анонсирует что это их разработка хотя все это тупо OEM с подправленным девайсом.
    Будьте острожный и не поддавайтесь на маркетинговые ловушки )
    image

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.