隨著越來越多的員工在家工作,筆記本電腦現在比以往任何時候都成為 IT 專業人員更關心的問題。在某些情況下,將數據集中在公司或云服務器上,再加上零信任基礎設施是可行的,但云也有缺點:某些任務非常慢,並且員工需要訪問互聯網。當旅行或在客戶現場工作時,這可能會很困難。
另一個需要考慮的因素是員工使用的所有應用程序的緩存行為。有許多有效的案例可以在本地緩存數據。一個例子是改善用戶體驗,以便用戶可以在數據寫入雲端時繼續工作。數據可能從 RAM 開始,但隨後被交換到磁盤。
一個更簡單的解決方案是確保 SSD 像保險庫一樣構建,而不是試圖鎖定軟件行為的各個方面。如果您有訪問代碼,則可以進入。如果沒有代碼,則驅動器上的數據無法讀取。這就是經過 FIPS 140-2 或 FIPS 140-3 認證的 SSD 可以提供幫助的地方。這些驅動器非常安全,即使攻擊者有能力物理移除 NAND 存儲芯片並直接訪問數據,也無法讀取驅動器上的數據。在 FIPS 140-2/-3 SSD 上,靜態數據已加密,並且始終看起來像隨機數據。
什麼是靜態數據?
在數據安全領域,數據被設置為以兩種狀態之一存在:運動狀態和靜止狀態。動態數據是指通過私有或公共(不可信)網絡流動的信息。雲是由互聯網實現的,互聯網是連接我們所有人的全球網絡。虛擬專用網絡 (VPN) 等技術可保護動態數據。
靜態數據是指非易失性存儲(例如 SSD)上的數據。這就是經過 FIPS 140-2/-3 認證的 SSD 的用武之地。在大多數 SSD 上,它是使用 TCG Opal 標準實現的,但認證需要遵守非常嚴格的加密要求和第三方設計審核。該過程通常需要 18-24 個月,並且需要深入研究 SSD 的硬件和軟件設計。
靜態數據保護如何發揮作用?
這種保護有兩個方面:訪問控制和加密。第一個涉及確保只有受信任的個人才能訪問數據。驅動器保持鎖定狀態,直到用戶通過提供正確的密碼證明其身份。
為了防止物理攻擊(即:拆焊 NAND 存儲芯片),數據使用 AES-XTS-256 等算法進行加密。加密算法採用原始明文數據,並使用我們稱為密鑰的 256 位輸入以不可預測的方式將其隨機化。隨機化過程只能使用該密鑰來逆轉。即使使用最快的超級計算機,嘗試猜測如此長度的密鑰也需要數万億年[1]。
最佳實踐要求每個 SSD 維護自己的數據加密密鑰。 SSD 通過使用從訪問控制密碼派生的專用密鑰加密密鑰 (KEK) 進行加密來保護這些數據加密密鑰 (DEK)。根據設計,SSD 絕不會保留用戶密碼的副本。這意味著,如果你偷了一台具有這種保護功能的筆記本電腦,那麼你得到的只是硬件。加密後的公司機密仍然安全。
為什麼僅靠防病毒軟件和防火牆可能還不夠
人們普遍認為防病毒和防火牆軟件已經提供了足夠的保護。不幸的是,情況並非如此,因為這些工具只能防禦某些類型的遠程攻擊。它們無法防止有人偷走您的筆記本電腦、擰下 14 顆螺絲並拔出 SSD。這就是 TCG Opal 或 FIPS 140-2/-3 認證的 SSD 發揮作用的地方。研究表明,7% 企業筆記本電腦在使用壽命結束(通常為 3 年)之前丟失或被盜 [2].
什麼是 FIPS 140-2/-3 以及為什麼它對企業安全很重要
聯邦信息處理標準 (FIPS) 140-2/-3 是美國、加拿大和許多其他國家/地區強制執行的安全標準。獲得此認證的產品符合美國國家標準與技術研究院 (NSIT) 對加密模塊定義的嚴格要求,可保護敏感但非機密信息。
目標是確保產品提供的功能符合 FIPS 140-2/-3 標準。
FIPS 140-2/-3 定義了編號為 1 到 4 的四個安全級別,這些級別對下面所示的 11 個要求領域中的每一個領域都有越來越困難的要求 [3].
- 密碼模塊規格
- 加密模塊端口和接口
- 角色、服務和身份驗證
- 有限狀態模型 (FIPS 140-2) / 軟件/固件安全 (FIPS 140-3)
- 物理安全
- 運行環境
- 加密密鑰管理 (FIPS 140-2) / 敏感安全參數管理 (FIPS 140-3)
- EMI/EMC (FIPS 140-2) / 非侵入式安全 (FIPS 140-3)
- 自檢
- 設計保證 (FIPS 140-2) / 生命週期保證 (FIPS 140-3)
- 緩解其他攻擊
FIPS 140-2 和 FIPS 140-3 哪個更好?
FIPS 140-3 取代FIPS 140-2,於2019 年9 月22 日生效,驗證從2020 年9 月22 日開始。這意味著FIPS 140-2 測試正式於2021 年9 月21 日結束,NIST 將僅接受從9 月14 日起提交的FIPS 140-3 2021 年 2 月 22 日。140-2 標準沒有任何已知的漏洞,但要求已更新,以反映安全領域最先進的新發展。設備認證有效期為五年 [4],此時必須重新認證或更換為已通過 FIPS 140-3 認證的新型號。這意味著所有經過 140-2 認證的設備將自然退出市場或在 2026 年 9 月之前移至歷史列表。
如何獲得 FIPS 140-2/-3 認證
獲得 FIPS 140-2/-3 證書需要經過認可的實驗室進行一致性測試以及特定政府機構的驗證和批准。
加密模塊驗證計劃 (CMVP)
加密模塊驗證計劃 (CMVP) 驗證加密模塊是否符合 FIPS 140-2/-3 標準。 CMVP 是美國國家標準與技術研究所 (NIST) 和加拿大政府通信安全機構 (CSE) 的共同努力。
CMVP 的目標是促進經過驗證的加密模塊的使用,並為聯邦機構提供安全指標,用於採購包含經過驗證的加密模塊的設備 [5].
經驗證符合此標準的產品受到兩國聯邦機構的認可,以保護敏感信息(美國)或指定信息(加拿大) [5].
密碼算法驗證程序 (CAVP)
加密算法驗證程序 (CAVP) 驗證產品是否真正實現了 NIST 官方定義的算法。此外,它也是密碼模塊驗證的先決條件 [6].
模塊驗證
NIST 和 CSE 驗證來自認可實驗室提交的申請。為了獲得認證,該模塊需要通過實驗室進行的嚴格測試。實驗室檢查產品符合規定要求後,將向NIST和CSE提交正式測試報告。
如果沒有問題,NIST 和 CSE 將頒發官方證書,並且該模塊將作為經過驗證的模塊列在 CMVP 網站上。欲了解更多信息,請訪問 NIST 網站。
CMVP審核狀態: 密碼模塊驗證程序|中國證監會 (nist.gov)
已驗證模塊列表: 密碼模塊驗證程序|中國證監會 (nist.gov)
FIPS 140-2/-3 與群聯
“保護客戶數據是群聯最重要的工程設計原則之一。我們很高興在群聯 SSD 解決方案中提供 FIPS 140-2 安全性,以緩解現代威脅。”群聯首席執行官 KS Pua 說道。 [7].
群聯 E12/S12 控制器的 TCG OPAL SSC SSD 系列已通過 FIPS 140-2 2 級驗證。這些是高性能自加密固態硬盤,支持 PCIe 和 SATA 接口。用戶數據受到 AES-256-XTS 動態硬件加密/解密的保護,而不會影響傳輸速率。
該SSD系列實現了各種經FIPS批准的加密算法,並通過符合行業標準TCG Opal SSC協議提供服務。 CMVP證書編號為3758,可以在下面的鏈接中找到。
群聯CMVP證書: 密碼模塊驗證程序|中國證監會 (nist.gov)
數據保護是這個生態系統中所有參與者的共同努力,群聯只是其中的一部分。但我們努力展示技術領先地位、致力於超越客戶和最終用戶、做好滿足未來要求的準備,並致力於為安全和安保做出貢獻。
本文使用的參考文獻:
- 假設使用 500 petaFLOPS 超級計算機搜索一半的 256 位密鑰空間。
- 波尼蒙研究所(2010 年 9 月)
- NIST(2019 年 5 月)
- NIST(2019 年 5 月)
- NIST(2001 年 5 月)
- NIST(2021 年 3 月)
- 群聯電子 (2021 年 1 月)