科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道旋风式USB加密盘:创意优秀 设计垃圾

旋风式USB加密盘:创意优秀 设计垃圾

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

最后,一个不太明显的要求——你可以认为我疯了——是确保我购买产品的供应商真正地理解加密、驱动器的安全基础并且他们拥有属于自己的技术。当看到这里的时间,我非常兴奋,开始继续搜索网站里关于射频识别芯片、密钥传输的方式以及对加密数据的影响的资料。

作者:汤姆·欧扎克 来源:ZDnet 2008年10月21日

关键字:

  • 评论
  • 分享微博
  • 分享邮件

  在一般情况下,我限制自己对喜欢的产品进行评测。但是这个星期,我暂时放弃了这个立场来讨论一款产品。这款正在销售的产品我认为不仅是毫无效果,而且还有可能会给消费者和企业带来一种虚假的安全感。

  这个产品是Aluratek公司提供的旋风式通用串行总线接口的(USB)加密驱动器。在我说明为什么觉得它是一个坏主意之前(数据泄漏等情况会发生),让我们先来看看一个驱动器加密解决方案的关键要素应该是什么。

  我(非常简单)对驱动器加密的要求

  首先,似乎也应该是很明显的要求,是采用一个标准的审核加密算法,它必须保证不能轻易被破解。象高级加密标准(ADS),甚至是三层数据加密标准(3DES)都可以。其次,密钥必须得到保护。用来解密驱动器的密钥应受到保护,以防止被截获或者暴力破解。

  最后,一个不太明显的要求——你可以认为我疯了——是确保我购买产品的供应商真正地理解加密、驱动器的安全基础并且他们拥有属于自己的技术。

  在安全这种类型的数据存储上不能有象怎么使用、使用的类型等其它方面的问题。这是最基本的要求,也是一切的基础。如果它们很薄弱,就如同俗语说的,用张卡就可以打开了。这,也是我担心的,恐怕就正是旋风式驱动器存在的问题。

  旋风式加密驱动器的工作原理是什么?

  旋风式加密驱动器的创意是相当出色的。在读到RSS连接中的一个相关资料的时间,我立刻登陆Aluratek的官方网站以获得更多的信息。该驱动器(如图一所示)采用了通用串行总线接口并且支持热插拔。而且不必担心Windows操作系统的断开要求。并且,其中最具创新性的功能就是用户可以快速打开一个加密的驱动器。

图一:旋风式驱动器和密钥卡

  旋风式驱动器包含了一个采用射频识别模式的密钥卡。密钥卡里的射频识别芯片里包含了连接驱动器上数据的密钥。因此,在每次登陆的时间你不必都插入密钥卡,只要把密钥卡放在驱动器附近就可以连接访问里面的数据了。

  当看到这里的时间,我非常兴奋,开始继续搜索网站里关于射频识别芯片、密钥传输的方式以及对加密数据的影响的资料。结果什么也没发现。因此,我决定联络Aluratek。这让我感到搞笑,也开始失望了。

  旋风式驱动器存在的问题

  我第一个询问的是一位销售人员。我的第一个问题是加密的模式是什么。他的回答是他不知道。我继续问如何实现数据保护的,也没有得到答案。我开始怀疑自己是不是找错人了,应该找一位技术方面的专家。经过短暂等待,另一位销售人员拿起电话。他知道多一点。告诉我,加密的方法是对关键数据进行异或处理。大家都是安全界的同行,应该想象地到我听到这一消息后的反应。异或处理对于机密信息的加密来说是很差的办法。非常差。

  虽然感到很失望,但我还有足够的兴趣询问了密钥管理的情况。新的销售人员不知道。我被转接到一位“工程师”那里。我在和工程师(我们会叫他安东尼)解释了为什么觉得密钥的保护是非常重要的后,才发现他并不了解磁盘加密的本质。他并不认为射频识别芯片里的密钥和密钥向驱动器传输的时间受到了保护。换句话说,任何人的密钥卡可以存取加密密钥。也就是说,在正确的地点放上正确的设备就可以在密钥向驱动器传输的时间进行拦截。

  没有过多的考虑,我就问他是否可以调查这些问题。这种设计方式似乎有些错误。也许销售人员和安东尼只是不明白技术。安东尼说,他将给我打回电话来。

  经过两个星期的等待,我还是没有得到关于最初的疑问的正确信息。并且,没有迹象显示安东尼给我打过电话。

  危险的所在

  我们都清楚绝对不要购买这种驱动器,除非仅仅用它来存储安全要求很低的休假图片或资料,并且从不离开家里或办公室。还有人认为这是一个易于使用的保护数据的办法,毕竟很多人在互联网上说这是很好的主意,他们并不了解这种解决方案存在的问题。在这个驱动器上,由于被盗或连同设备遗失,无法为机密信息提供足够的保护。但其易用性和低成本将会吸引许多消费者和中小型企业,它们将陷入一种虚假的安全状态。这不是消费者应该得到的。

  关于这个驱动器的新版本在网上有很多内容。我对其中的一个进行了调查。结果发现,很少有记者问过驱动器的工作原理。相反的是,他们迅速报道并且大张旗鼓的宣传它。在经过十分钟的电话交谈后,一些网络日志作者和其它的互联网专家承诺将会对安全状况进行测试。

  最后的话

  旋风式驱动器没有满足我的要求。它采用的是功能贫弱、很容易破解的加密方式。而且密钥没有得到充分的保护,供应商的销售和支持团队似乎也不了解技术的实际情况。为了保护机密信息的安全,我强烈建议抵制旋风式驱动器。这是一个被垃圾设计破坏的伟大创意。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章