本网站使用 Cookie 提供增强的特性和功能。使用本网站,即表示您同意。我们重视您的隐私与数据安全性。请查阅我们的 Cookie 政策隐私政策, 两者最近都经过更新。

加密盘

XTS 加密

最安全的 USB 加密闪存盘需要的不仅仅是一份证书。DataTraveler® 4000G2 和 DataTraveler Vault Privacy 3.0 是金士顿安全加密 USB 闪存盘,采用 XTS 分组加密模式的 256 位 AES 硬件加密。与 CBC 和 ECB 等其他分组加密模式相比,XTS 的数据保护功能要更胜一筹。

下文详细阐述了 DT4000G2 和 DTVP30 加密 USB 闪存盘的安全优势。

全盘加密 AES 分组加密操作模式

AES(高级加密标准)是加密 128 位数据块的分组密码。要加密长度在 128 位以上的数据,AES 会使用分组加密模式。有多种不同的 AES 分组加密模式,它们都属于 AES 规范。最简单的分组加密模式是电子源码书 (ECB)。密码块链接 (CBC) 可找出 ECB 的安全漏洞,它是便携式加密闪存盘中最常用的模式之一。XTS 是最新的模式之一,其数据保护功能要优于 ECB 和 CBC。下面简要介绍了这几种分组加密模式。

电子源码书 (ECB)。这种密码模式只是重复每个 128 位数据块的 AES 加密流程。图 1 描述了使用 ECB 模式的数据加密。每个块都使用具有相同加密密钥的 AES 进行独立加密。若要进行解密,则逆向执行该流程。借助 ECB,相同的未加密数据块(即纯文本)会使用相同的加密方式,并产生相同的加密数据块(密码文本)。这种密码模式不能很好地隐藏数据模式,因此并非理想模式。图 2 中的示例可以看出这种密码模式的重大安全漏洞。

Electronic Code Book (ECB)
图 1

左边是未加密的图像。右边的图像显示出使用 CBC 或 XTS 等其他加密模式时密码文本的外观。中间的图像清晰地显示了 ECB 存在的漏洞。因为加密块中相同的图像像素模式所采用的加密方法会产生相同的密码块,因此原始图像会渗滤。


很明显,相同的数据块不应该使用会产生相同密码文本的模式进行加密。因此,ECB 块加密模式安全性较弱,不推荐使用。

原始图像

使用 ECB 模式进行加密

图 2

使用其他模式进行加密

密码块链接 (CBC)。如上文所讨论,ECB 的主要劣势在于,加密相同数据块的方式会产生相同的密码文本。我们的目标是得到一种可以使用同一加密密钥对各个分组进行加密的方法,同时生成不同的密码文本,即便 2 个或 2 个以上分组的纯文本相同也是如此。密码块链接可实现这一结果。图 3 是对 CBC 密码模式的说明。

生成 128 位的初始矢量 (IV),并与区段内第一分组的纯文本结合在一起。使用异或 (XOR) 功能组合此数据。然后使用 AES 加密算法对生成的 128 位数据进行加密,并存储在介质内。生成的密码文本会传输到下一分组,在下一分组与该分组的纯文本组合在一起,并进行加密和存储。会为该区段内所有分组重复执行此链接流程。该流程可确保数据相同的分组会产生完全不同的密码文本。因此,CBC 的安全性要远远高于 ECB,并且适用于最安全的应用程序。CBC 被广泛应用于许多加密闪存盘中。

Electronic Code Book (ECB) - Encryption
图 3

AES-XTS 分组密码模式。最初被指定为 IEEE Std 1619-2007,NIST 于 2010 年将 XTS 添加到 AES 分组密码名单。XTS 是最新的分组密码模式,也是 DataTraveler 4000G2 和 DataTraveler Vault Privacy 3.0 使用的密码模式。它被指定为 CBC 等其他可用分组密码模式的更为强大的备选方案。它可消除某些更复杂的旁通道攻击带来的潜在漏洞,这些攻击可用于发现其他模式中的缺陷。图 4 是 XTS 模式的简化框图。

XTS 使用两个 AES 密钥。其中一个用于执行 AES 分组加密;另一个用于加密“调整值”。这种加密调整借助伽罗瓦多项式函数 (GF) 和 XOR 得到了进一步修改,这二者都含有各分组的纯文本和密码文本。GF 功能进一步扩散,确保数据相同的分组不会产生相同的密码文本。这样一来,即便纯文本相同且没有使用初始矢量和链接,每个分组也会产生出独特的密码文本。实际上,文本几乎(但并不完全)都会使用两个独立的密钥进行双重加密。逆向执行此流程即可实现数据解密。因为各个分组相互独立且没有链接,因此如果存储的密码数据受损并崩溃,则只有特定分组的数据不可恢复。借助链接模式,这些错误可在解密时传播到其他分组。

图 4

结论

AES-XTS 为 DT4000G2 和 DTVP30 提供优于市场其他产品的数据安全。 所有加密功能都包含在板载安全处理器内,具有更高的安全性和便携性。

此外,这两款设备都采取复杂密码保护措施,在输入一定次数的无效密码之后将自行锁定。它们都采用坚固防水外壳,给予数据超乎寻常的安全保护。所有金士顿® 企业级和军用级加密设备都提供五年保固和免费技术支持。

增值
安全定制计划

此计划提供客户频繁请求的选项,包括序列编号、双密码和定制徽标。只需至少 50 件的订购数量,该计划就能精确满足您组织的需求。
了解更多信息

防病毒保护
ESET Anti-Virus

防止 WannaCry 变化。更让人放心的是,DataTraveler Vault Privacy 3.0 提供反病毒保护。它采用 ESET NOD32® 反病毒引擎软件,易于部署,无需安装。防止恶意软件/勒索软件、病毒、间谍软件、木马程序和其他互联网威胁。
了解更多信息

管理解决方案
管理解决方案

防止 WannaCry 变化。可用选项让您或您的 IT 专家可以集中管理闪存盘,以满足合规要求、远程重置密码、管理设备库存、强制执行策略等操作。由我们与 DataLocker 合作推出。解决方案包括面向 IronKey 闪存盘的 IronKey Enterprise 管理和面向 DataTraveler 加密闪存盘的 SafeConsole 管理。
了解更多信息

了解更多信息
政府机构

机构肩负着不断增长的立法要求和草案协议,这些立法需求和草案协议旨在保护传输中和静态的敏感数据,包括:

  • 《OMB M06-16 指令》
  • 《联邦桌面核心配置 (FDCC) 指令》
  • 《中央情报局局长指令 (CDID) 6/3》
  • 《一般数据保护条例》,旨在保护静态和传输中的敏感数据

不遵守可能会导致丧失公众的信任、严格的监管或昂贵的集体诉讼和损失;对于与政府部门合作的公司,不合规可能导致它们失去承接政府合同的资格。

政府部门可以使用金士顿® IronKeyTM 和 DataTraveler® 加密 USB 闪存盘,从任何地方访问数据。联邦执法人员可以在现场查阅和更新案例文件,而科学家、分析师和预测人员可以使用 PC 或平板电脑从任何位置访问数据集。

使用可靠的闪存盘,承包商可以在政府部门办公室开展工作,同时拥有可靠的数据访问,政府部门可以将关键数据交到主要人员手中,从而在遭遇灾难时继续运作。

为了便于远程管理,IT 专业人员可以从中央控制台强制执行访问和使用策略。IT 可以展现在遵从新的和不稳定的法规方面所作的最大努力,其中包括《一般数据保护条例》。

医疗保健

医疗保健机构必须遵从数据安全指令,例如:

  • 《健康保险流通与责任法案》 (HIPAA)
  • 《医疗信息技术促进经济和临床健康法案》 (HITECH)
  • 医疗保险和医疗补助服务中心 (CMS) 电子健康记录 (EHR) 安全性要求
  • 不断演变的《ASTM 医疗器械互操作性标准》

对于医院、医疗保健机构、保险公司和制药公司而言,消除移动性中的风险并简化 HIPPA 和 GDPR 审计至关重要。

利用金士顿 IronKey 和 DataTraveler 加密 USB 闪存盘,医生可以安全、轻松地从任何地方访问患者数据。当临时性医务和药事人员在执行任务或在家办公时,可以获得可靠的应用程序和访问记录。临床试验参与者、经理和审计员可以在任何位置使用 PC 或平板电脑输入或查看试验数据,而保险理赔员、核查员和调查员可以无限制地访问记录。如果遭遇恶劣天气或其他灾难,机构可以向重要人员提供关键数据访问以继续运作。

IT 部门可以从中央控制台强制执行访问和使用策略,并展现在遵从新的和悬而未决的法规方面所作的最大努力,其中包括 GDPR。

金融

金融服务公司必然要遵从日益增长的数据安全法规和标准,包括:

  • 《金融服务现代化法案》 (GLBA)
  • 《萨班斯-奥克斯利法案》 (SOX)
  • 《支付卡行业数据安全标准》 (PCI DSS)
  • 《州金融数据隐私法案》
  • 《欧盟数据保护指令》 (EUDPD)

未能遵从这些法规的成本要更高。未能遵从可能影响您的业务,使员工无法高效工作。

金士顿 IronKey 和 DataTraveler 加密 USB 闪存盘可以帮助金融远程工作者从家中安全地访问数据和应用程序。银行、保险公司等机构可以让承包商在现场工作,无需在笔记本电脑或平板电脑方面进行投资。

审计员在执行任务或在家办公时,可以获得可靠的敏感数据访问。保险理赔员、核查员和调查员可以从现场访问数据和应用程序。

如果遭遇恶劣天气或其他灾难,机构可以向重要人员提供关键数据访问以继续运作,IT 部门可以从中央控制台强制执行访问和使用策略。

数据安全中心:技术白皮书和资源
在您的组织内使用和推广加密 USB 闪存盘

获取关于如何帮助您的组织为机密信息保密并遵守法规的有用提示。
阅读文章

消除 USB 的威胁 (仅英文)
消除 USB 的威胁
解决最棘手的闪存盘问题。接入您网络的员工和访客是否曾使用 USB 闪存盘?
阅读白皮书
硬件软件加密对比

并排比较这两种主要数据加密方法。
阅读文章

超越合规:为什么“足够安全”还不够
Moving beyond compliance:  Why “secure enough” isn’t enough

理解遵从与保护之间的差别,以及它们分别对于您组织的 USB 数据存储战略意味着什么。
阅读摘要

远程锁定 IronKey 和 DataLocker 闪存盘(仅英文)
远程锁定 IronKey 和 DataLocker 闪存盘(仅英文)

如果闪存盘丢失或被盗,IronKey EMS 或 SafeConsole 可以远程禁用闪存盘以保护敏感数据。
阅读案例分析

《欧盟一般数据保护条例》 (EU GDPR) 生效日期:2018 年 5 月
《欧盟一般数据保护条例》 (EU GDPR) 生效日期:2018 年 5 月

Applies to every organization that processes personal data of EU citizens, will take full effect in May 2018. Organizations to implement and ensure a level of security appropriate to the risk, including…encryption of personal data" (Article 32, Security of processing)
了解更多信息

USB 提醒:锁定您的数据 (仅英文)
USB 提醒:锁定您的数据
USB 闪存盘可能出现在任何地方,令数据面临安全风险。 IT 可以如何在不完全禁用 USB 闪存盘并失去其便利性的情况下应对这些风险?
阅读文章
XTS 加密

所有金士顿加密闪存盘都采用 XTS 加密,可以提供比 CBC 和 ECB 等其他分组密码模式更加安全的保护。
阅读文章

加密对比图

查看金士顿 DataTraveler 和 IronKey 加密闪存盘系列的阵容,了解哪款适合您。
查看图表

更改 IronKey 和 DataLocker 闪存盘的密码策略(仅英文)
更改 IronKey 和 DataLocker 闪存盘的密码策略(仅英文)

使用 IronKey EMS 或 SafeConsole,可以远程更改所有密码策略。
阅读案例分析

《纽约州金融服务局》 (NYDFS - 23 NYCRR 500) 生效日期:2018 年 2 月
《纽约州金融服务局》 (NYDFS - 23 NYCRR 500) 生效日期:2018 年 2 月

Applies to every organization in New York that processes corporate / personal data. The proposal calls for organizations to encrypt sensitive data both in-transit and at-rest. (Section 500.15 Encryption of Nonpublic Information.)
了解更多信息

USB 闪存盘的安全现状

员工在使用闪存盘时可能出现疏忽,从而让敏感数据面临风险。通过创建和强制执行定义了可接受闪存盘应用的策略,有助于解决这个问题。
阅读摘要

防御 BadUSB

金士顿 DataTraveler 和 IronKey 闪存盘使用数字签名固件,允许 USB 成为主机代理的固件修改不会对其造成影响。
阅读摘要

重置 IronKey 和 DataLocker 闪存盘的密码(仅英文)
重置 IronKey 和 DataLocker 闪存盘的密码(仅英文)

利用 IronKey EMS 或 SafeConsole,可以远程或当面重置密码。
阅读案例分析

金士顿 / Ironkey 加密 USB 相比 BitLocker 的优势
金士顿 / Ironkey 加密 USB 相比 BitLocker 的优势

总的来说,金士顿 / IronKey 加密 USB 闪存盘被证明是为便携数据保护解决方案提供可靠性、兼容性和安全性的最佳解决方案。
阅读文章

认证
FIPS 认证

FIPS 认证由美国国家标准和技术研究所 (NIST) 发放,涉及协调一致的密码模块要求和标准。通过满足 FIPS 标准,金士顿和 IronKey 加密闪存盘可以让购买者确信它们满足了指定标准。

了解更多信息

FIPS 认证
        Back To Top