Как стать автором
Обновить

Комментарии 72

Где купить в России не самовывозом?
Официально в Россию эти устройства не ввезти. По нотификации не проедет. Нужна лицензия. Лицензию не получить, потому что нужно предоставить исходные коды.
Хм, хотите сказать, что Corsair Padlock 2, которая официально продается в России, прошла все это..?
Мне нужно взглянуть на ГТД, по которой этот груз был ввезен в Росиию, чтобы сказать прошли они все это или нет.
Нужно понимать что существует миллион способов обхода законов и таможни.
На их страничке есть 2 Российских дилера. istorage-uk.com/wheretobuy.php
А про лицензию не совсем так — чтоб ввозить и продавать — лицензия и исходники не нужны. Продают же Iphone у них тоже встроено шифрование. Короче есть возможность приобрести в России с гарантией и прочими обязательствами. Например у нас из 60 шт флешек оказалось 2 бракованные -доставка в англию и обратно получалась больше стоимости этих флешек. Доставка около 15-20 дней смотря куда.
Да и не скажу, кто но есть в России аналоги и по дешевле и по прикольней.

Corsar и Kingston Travel это все без ГТД
Посмотрел странички дилеров. Первый вообще пустой. Второй только по Украине.
Но вернемся к законности ввоза этого устройства.
Обратимся к официальной базе зарегистрированных нотификаций: www.eurasiancommission.org/ru/docs/Pages/notif.aspx
Оформленной нотификации на данное устройство нет. Более подробно со всеми положениями можно ознакомиться из документа: www.eurasiancommission.org/ru/act/trade/catr/nontariff/Documents/2.19%20-%20shifrovka%20PR.doc
Исходя из вышеприведенного документа (Приложение №2) данное устройство не соответствует параметрам, на которое нужно оформлять нотификацию. Поэтому для ввоза такой флешки нужно получать именно лицензию.

Ваш аналог мы уже обсуждали на хабре. Только автор топика почему-то предпочел скрыть его от общественности ;)
А какова вероятность, что производитель имеет супер-администраторский пин-код?)
Я думаю, что эта вероятность стремится к нулю слева.
А стирание по десятку попыток можно отключить? Будет крайне досадно, если приятель возьмет, поиграется без особой цели разблокировать и сотрет все.
Нет, к сожалению, такой настройки нет.
Подобные устройства не созданы для того, чтобы с ними игрались приятели. При выборе устройства стоит это учитывать.
Возможно, приятели этого не учтут ;))
Это должен учитывать хозяин устройства, а не его приятели.
Ну там, куда не дотянутся ручки «кого не надо» мне и защита не особо нужна. А вот такая защита хорошо бы подошла именно от случайных любопытных. Но без такого кардинально уничтожения.
Для этой цели есть другие менее защищенные флешки. Эта служит одной цели — гораздо серьезней, чем защита от приятелей.
А еще можно вспомнить про Zalman ZM-VE400, в которую можно поставить свой SSD/HDD, и купить в обычном DNS за ~2.5Кр.
Класная вещь, кроме шифрования кстати, оно умеет монтировать ISO-шники как виртуальный CD, т.е. можно с него загрузить любую live-cd операционку или «ремонтный» диск и т.д. просто положив несколько ISO на плату.
Причем на usb 3.0 убунту лайв грузит за 4-5 секунды. То же на CD — минута с гаком.
Было бы замечательно, если можно было монтировать образы HDD. А если еще и можно было бы подделывать модель винчестера, серийный номер и версию прошивки — был бы офигенный хакерский девайс.
А что с шифрованием у него не так? Real Time 256-Bit AES Hardware Encryption

Кажется, Zalman в этом топике смотрелся бы круче — туда можно воткнуть своего донора (естественно с форматированием...)
все нормально с шифрованием, возможно зпт не там — хотел сказать, что не только шиф
рует но умеет еще кое-что.
Можете подробнее рассказать про стирание жёстких дисков?
Принцип одинаковый у всей линейки продуктов: если введете код неправильно несколько раз подряд, то устройство просто блокируется. Чтобы продолжить работу с ним, его нужно сбросить, при сбросе стираются все данные и меняется пин-код.
Скорее всего просто стирается ключ шифрования AES, хранящийся в чипе, доступ к которому и закрывается цифровыми пин-кодом. Данные превращаются в кашу. Теоретически.
Были бы очень интересны такие девайсы с open-source прошивкой.
Сам собрал прошивочку, и уверен, что никаких лазеек нет. Жаль, что никто пока не выпускает.
Ну так сделайте контейнер truecrypt внутри такой флешки и думаю можно не переживать.
Ну, контейнер truecrypt можно сделать внутри любой флешки,
тут весь прикол в том, чтобы шифровалось не на компьютере а во флешке.
Ну наверное просто люди которым нужна такая защита данных, обычно не умею сами прошивать флешки.

А вообще, если бы не было удаления данных через 10 неудачных попыток, использование вместе с truecrypt было бы замечательным.
В России её вообще использовать в качестве системы шифрование конфиденциальной информации нельзя, а какой там менталитет в Европе или Америке мы не знаем, мб их это полностью устраивает, хотя ту же гос.тайну такими игрушками точно не шифруют.

Кстати весь смысл ввода пин-кода с собственной клавиатуры в том, что перехватить его не получится.

А у этих флешек есть пин для стирания ключа в ручную?
НЛО прилетело и опубликовало эту надпись здесь
На какой-то барахолке в описании товара пишут про iStorage datAshur:
Доступ к данным устройства может быть многоступенчатым, содержать гостевой, пользовательский или админский доступ. Например, если от вас начнут требовать пин-код, вы выдаете гостевой пароль, и получается, что недоброжелатели получают данные для общего пользования, а секретные данные автоматически уничтожаются.

Что-то я такого в инструкции не нашел, про разделение доступа. Врет продавец?
Баловство имхо.
Обычная флешка/диск с трукрипотом в десятки раз дешевле, открытый код и неоднократно доказанная надежность.

А её можно будет подключить, например, к планшету?
Возможность подключения к планшету стоит закрытого кода, неудобной клавиатуры для ввода пароля, цены в 5-10 раз дороже?
Тут каждый решает сам для себя.
Тут каждый решает сам для себя.

Всё зависит от требований, которые необходимо учитывать владельцу. Если ты хочешь курсовую или диплом защитить (а вдруг?), то конечно хватит и трукрипта, а вот если у тебя какая-то финансовая документация, или нечто подобное, то наверняка переплатить будет не лишним =)
Трукрипт гораздо надежнее этого продукта, я объяснял выше.
Разве что в паре использовать.
С трукрипта можно загрузится?
Трукрипт-том откроется на машине с ограничениями на запуск/установку ПО?
Каждый день загружаюсь с трукрипта, в чем проблема?
>Каждый день загружаюсь с трукрипта, в чем проблема?
Не знаю, это я Вас спросил. Или это какая-то загадка?
Вот не нравилось мне никогда это «стирание после 10 попыток». Получается первый же любопытный коллега/сотрудник/ребенок, не знающий про эту фичу — и все, сушите весла? Всегда ведь можно дать погулять часок-другой, и все
Ну очевидно, что на такой флешке следует хранить данные, которые лучше потерять, чем отдать кому-то другому. Выбор настоящих параноиков.
Кстати, если вводить один пин-код раз в 3 секунды, то 10 000 000 комбинаций (для 7 значного пин-кода) можно подобрать всего за 40 дней.
Подобрать и умереть?
А что, обязательно вручную подбирать?
Разбираем, подпаиваемся к клавиатуре и светодиоду, пишем программу в 20 строк на всеми любимой ардуине…

«Позабыты хлопоты, остановлен бег,
Вкалывают роботы, а не человек.» (с)
НЛО прилетело и опубликовало эту надпись здесь
Не пойму, если данные на флэшке зашифрованы, как может быть два пароля?
Очень просто. Данные зашифрованы, а ключ сныкан в недрах контроллера. Он их расшифровывает, если введен правильно любой из двух
Тогда появляется возможность получить собственно один из ключей, нет? Ведь они не являются ключом к расшифровке.
Ключ шифрования/дешифровки хранится в контроллере и никоим образом не зависит от пинкода. Просто контроллер соглашается расшифровывать данные только после ввода оного.
Есть у меня знакомый, открывают они такие контроллеры и достают ключи. Порой достаточно тривиальными методами. Про этот не скажу, но хранение ключей внутри железа — это плохая идея.
Хранить в контроллере сам ключь — это как минимум не кошерно, никто порядочные компании так давно не делают, см. мой коммент ниже
Хм, вроде бы стандартный способ для всяких смарт-карт. Считается очень защищенным.
Может ваш знакомый и Ki с сим-карт умеет добывать? Было бы интересно…
Думается, что как-то так:
Два ключа К (их запоминаем) — для каждого генерится своя соль С и сохраняется в железе, функция Ф(К, С) и есть реальный ключь шифрования, т.е. РК = Ф(К1, С1) = Ф(К2, С2).
Кстати при десятикратном неправильном вводе «забываем» соль в железе.
А как вы добьётесь вот этого — Ф(К1, С1) = Ф(К2, С2)?
Довольно просто, нужно просто знать обратную функцию к Ф (назовем ОФ):
Например функция Ф это XOR, тогда ОФ тоже XOR, К1 = 5555555 и случайно сгенерированый С1 = 1234567.
Тогда реальный ключь РК = 4592612.
1) Просим ввести пользователя свой первый пароль К1.
2) Вычисляем реальный ключ по соли (5555555 ^ 1234567) = 4592612
3) Просим ввести второй ключ К2, например 9999999
4) Вычисляем новую соль С2 используя ОФ(К2, РК) = (9999999 ^ 4592612) = 14583195
5) Проверка Ф(К2, С2) = (9999999 ^ 14583195) = 4592612
Конец.
В их сертификации ничего такого не видно. Я не спец, но похоже пин хранится в контроллере:

«Created in RAM and compared to EEPROM» в таких случаях как правило означает
«В EEPROM лежит что то для сравнения например контрольная сумма».
Подозреваю что «AES Key» без «User PIN» или без «CO PIN» — мертвый груз (ака соль), посему он может хранится в контроллере сколько ему угодно. Иначе зачем Hash-DRBG?
Либо так, либо — решето…
Данные зашифрованы ключом A, который дважды (в двух разных областях памяти) зашифрован ключами U1 и U2. Пароли к ключам U1 и U2 — это пин-коды.
При работе проверяется соответствие парооля ключу U1, если не подошел, то U2, если не подошел, то отказ.
НЛО прилетело и опубликовало эту надпись здесь
И это, конечно, ни разу не реклама.
У меня есть такой винчестер от iStorage (только почему-то логотипа diskAshur на нём нет). Версия USB2 1 GB с классическим винчестером. В принципе работает, но есть и небольшие недостатки:

Во-первых, если подключить его к USB и начать вводить код немедленно, то он не принимается. Надо чуток подождать, пока винчестер внутри раскрутится. Секунд этак три-пять. Иногда достаёт — то ли я неправильно ввёл код, то ли он ещё не готов его принять.

Во-вторых, не все компьютеры способны его запитать — там потребляемый ток на грани порта, иногда надо пользовать Y-кабель (он в комплекте прилагается). Причём, по внешнему виду и звуку не скажешь — хватает ему или нет, просто он код не принимает и всё.

В-третьих, если компьютер с подключённым и разлоченным винтом перегрузить, то система перестаёт винчестер видеть (хотя на нём по-прежнему горит зелёная лампочка). Приходится его отсоединять, затем снова присоединять, снова вводить пин-код, только после этого система его видит.

В-четвёртых — кабель реально короткий (он, правда, удобно прячется в корпус) — в результате винчестер на нём, как правило, висит — у большинства десктопов расстояние от USB до поверхности стола довольно велико. А через удлинитель может и не работать по причине высокого потребляемого тока.

Я это всё к тому, что наверное лучше брать USB3 SSD версию (если средства позволяют) — там эти болячки (ну по крайней мере первые две) могут быть пофиксены.

Ах, да, к нему ещё приятный на ощупь мешочек в комплекте идёт.
Вместо стирания данных после 10 попыток, могли бы сделать экспоненциальное замедление: пусть каждая следующая попытка подобрать код проверяется в 2 раза дольше предыдущей.
решается разбором устройства и отсоединением обесточиванием
А если количество попыток писать в ПЗУ?
Никто не мешает менять ПЗУ в данном случае — ключа не было при неверном вводе, значит хорошо зашифровано данное значение быть не может. Правда и от брутфорса такая атака не спасет, т.к. память всегда можно вернуть к предыдущему состоянию.
Ограничителем может стать только внутреннее шифрование чипа, но при должном умении все равно может быть вскрыто.
Видимо ничего не мешает :) Но аналогичная проблема есть и в оригинальном решении, в нем же тоже нужно поддерживать счетчик попыток.
Можно сделать экспоненциальное замедление и без хранения счетчика попыток. Пусть внутри процессора хранится ключ, зашифрованный функцией от пинкода. Добавим к нему контрольную информацию и зашифруем еще раз некоторым N-разрядным случайным числом Z. Сразу после этого удалаяем число Z из памяти. Теперь узнать его можно только полным перебором.

Валидация теперь выглядит так:
1) юзер вводит пин
2) процессор начинает подбирать Z. Допустим, это занимает 1 секунду.
3) если при расшифровке контрольная информация совпала, значит перебор закончен
4) процессор расшифровывает ключ при помощи пинкода
5) ключ шифруется новым случайным Z
5.1) если пинкод верный, разрядность Z берется по умолчанию
5.2) если пинкод неверный, разрядность Z берется на единицу больше текущей. Таким образом, следующая попытка займет уже 2 секунды, следующая — 4 и т.д.
Чем бы дитя не маялось…
Если уж так свербит, то не проще ли создать на флешке что-нибудь вроде encfs и т.п., чтобы монтировать с паролем?
Главные достоинства аппаратного шифрования:
1) Полная независимость от платформы и софта. Если устройство может работать с обычными флешками — сможет и с зашифрованной.
2) Пароль не покидает пределов устройства, можно не бояться кейлоггеров.

encfs, truecrypt и т.п. этого не обеспечивают.
1а) Устройства, не умеющие шифрование, это либо телевизоры какие-нибудь, либо вообще микроволновки. Чего там шифровать — рецепт бабушкиного пирога?
1б) Для бешеных параноиков решение на каком-нибудь дешевом ARM-процессоре + SD-карточке обойдется ощутимо дешевле. А то и не на ARM, а и вообще на PIC…

2) Паранойя такой степени, пожалуй, даже в психушке не лечится…
Кстати эта флешка выпускается под одной и той же лицензией что и Aegis Secure Key habrahabr.ru/post/138289/
И не буду говорить кто, но одна крупная западная компания выпускает под этой лицензией девайсы и анонсирует что это их разработка хотя все это тупо OEM с подправленным девайсом.
Будьте острожный и не поддавайтесь на маркетинговые ловушки )
image
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории