USB Flash Drive с аппаратным шифрованием

А кто что может сказать об этом звере?

_https://netac.com/Product/4cac3239-f63a-4183-9386-990251075267.html
Называется Netac U618

Есть аналоги побрендовее, в т.ч и соответствующие стандартам безопасности FIPS (напр. тот же Apricorn), но там и цены другие. Здесь же цена вполне доступная: 32 МБ за $35.
Преимущества очевидны: нет необходимости дополнительной настройки, независимость от ОС (защищенный раздел прочитается хоть со SmartTV), ключи шифрования не хранятся в ОЗУ, невозможность перехвата PIN-кода кейлоггерами и другой малварью.

Другой вопрос в том, насколько реально безопасно использование такой флешки? Заявлено аппаратное шифрование по AES-256. Никто не натыкался на анализ криптостойкости сего чуда?

Не безопасно.
Как реализовано шифрование не известно.
Есть ли закладки или баги - не известно.
Вывод: пригодиться только прятать порнуху от мамы с папой

Могу сказать что любое аппаратное шифрование - от лукавого. Не верьте ему, если не вы проектировали эту железку.

И главное - нахрена нужна эта чудо-флешка, если любая обычная легко шифруется проверенными и надежными программами?

Редактировался Северус (2016-12-20 02 ч.)

Ещё один дубль с небольшими дополнениями.
1. Правительство обязывает разработчиков таких девайсов иметь некий мастер-ключ для открытия спецслужбами.
2. Никакое шифрование не спасёт от дешифровки путём терморектального криптоанализа.
3. Вывод из первого пункта. Если уж решили купить, то стоит обратить внимание на страну-разработчика данного устройства. Плохие политические отношения могут спасти от этого "мастер-ключа".
4. Truecrypt на MicroSD флешке понадежнее будет, позволяя легко уничтожитель носитель и не довести дело до пункта 2. ИМХО.
5. Что на ней хранить? Бухгалтерию небольшого белого предприятия вполне покатит. Оцените степень рвение при дешифровке.
Вывод: нах... нужно, скажем дружно

Когда такое говорите, приводите ссылки на законы или хотя-бы уточняйте правительство какой страны и кого оно обязывает.
Аппаратное шифрование ненадежно не из-за правительственных закладок (наличие которых не исключается), а чаще из-за криворукости и похуизма инженеров помноженных на отсутствие надежного контроля. Плохая криптография чаще всего внешне выглядит точно так-же как и хорошая, и далеко не каждое устройство удостаивается внимания реверс-инженеров. Наиглупейшие ошибки могут жить там десятилетиями.

Опять же ошибочное утверждение. К терморектальному криптоанализу стойки протоколы на эфемерных ключах, потому что в них выдача ключа который известен человеку, не позволит расшифровать проводившиеся ранее сессии связи. Получив ключ, можно будет взламывать следующие, но кто находясь в своем уме будет продолжать использовать скомпроментированный ключ?

Героически преодолеваем самому себе придуманные трудности. Нахрен это аппаратное шифрование не сдалось, понты это голимые. Программное лучше, доступнее, надежнее и ничего не стоит.

Редактировался Северус (2016-12-20 03 ч.)

wdr, Как тебе сказали выше, просто понты. Можешь купить себе только если хочешь использовать там, где расшифровка веракриптом невозможна по умолчанию. Например, если хочешь подключать ее для каких-то целей напрямую к телевизору/проектору/принтеру и т.д.

А насчет «плохой криптографии» — согласен, по сему и интересовался по поводу криптоанализа.

wdr, все заявленные фичи и преимущества - это ниочем, пока не доказано главное - правильность реализации криптографии и отсутствие ошибок. Частично это можно сделать открытием полной документации проекта, полностью доказать безопасность для тысяч рандомных пользователей - врядли вообще возможно.

Очень мало.

Северус, на кик стартере(или аналоге) подобных пргектов нет, чтоб открытые и признанные светилами, чтоб аудит показал что явных дыр нет?

sektor, открытый проект - это половина дела. Нужно еще доказать что данная конкретная железка собрана в соответствии с ним и не содержит неисправностей.

В случае программы все просто, все копии одинаковые, компилировать можно самому, а для проверки соответствия бинарников исходникам давно придумали детерминированную сборку.

Я думаю что при желании все эти проблемы решаемы, но зачем? Для плакнтона подойдет залепа с этикеткой "зашифровано", он разницы не увидит. Специалисты и параноики пользуются ПО с открытыми исходниками, они консервативны и не побегут использовать что-то новое, что не имеет под собой хотя-бы десяти лет репутации. Аппаратные решения востребованы в государственно-военной сфере (в железо прячут неизвлекаемые секреты, надеясь что вскрытие физическими методами будет стоить дороже них) и при обработке ОЧЕНЬ БОЛЬШИХ потоков данных (шифровать межконтинентальную магистраль на несколько терабит в секунду с допустимым лагом в сотни наносекунд можно только очень специализированной техникой).

Редактировался Северус (2016-12-20 08 ч.)

.

Редактировался spurdo (2018-05-26 12 ч.)

Вангую ECB. Или даже ксор с байтом.

Вангую что не используется. Нормальные KDF аппаратно не реализуются, а считать их на микроконтроллере - занятие долгое и малоосмысленное. Самое лучшее чего следует ожидать - одиночное хэширование без соли.

Редактировался Северус (2016-12-20 08 ч.)

Там используется CBC, вообще практически везде сейчас используется CBC в аппаратном полнодисковом шифровании, редко встретишь ECB и XTS, хотя особой разницы в криптостойкости там нет. Любую информацию при вскрытии диска достаточно просто получить даже не прибегая к сверхсекретному оборудованию, так что если захотят, проблем не возникнет.

KDF используется, почти нормальное и даже почти с солью, но толку от этого все равно не так много.

Кому интересно, можете почитать об исследовании криптостойкости аппаратного шифрования подобных устройств, правда на английском языке:

Вообще, что-то мне подсказывает, что автор не собирается заниматься пропагандой ИГИЛ или не дай бог критиковать власть Царя И Гаранта Всея Руси, так что для хранения домашнего порно вполне подойдет. А вообще лучше задуматься об обычной повседневной безопасности, о том что кому и когда говорить и на чем можешь спалиться, тогда не придется думать о криптостойкости диска вообще в принципе.

Абсолютно нет смысла использовать проприетарные инструменты шифрования.
Опенсорс тоже не панацея (а кто работал с таким кодом знает что чаще всего это еще большая клоака), т.к. от бекдоров вида:

#define MODULUS 0x10001
...
void xxx(..., unsigned char a, ...) { ... }
...
xxx(..., MODULUS, ...)
...

ничто не спасет. Кто не понял в коде идет приведение типов с из DWORD в BYTE,
вследствие чего важная переменная становится равна абсолютно иному значению.

/thread