Kingston IronKey Donanım Şifrelemeli USB ve Harici SSD Sürücülerde AES-XTS Blok Şifreleme Modu kullanılmaktadır

XTS - En İyi Şifrelemenin Anahtarı

En güvenli USB sürücü şifrelemeye sahip olmak bir sertifikadan çok daha fazlasını gerektirir. Kingston IronKey™ donanım şifrelemeli USB ve harici SSD sürücüler, XTS blok şifreleme modunu kullanan 256 bit AES şifreleme özelliğine sahiptir. XTS; CBC ve ECB gibi diğer blok şifreleme modlarına göre daha fazla veri koruması sağlar.

Aşağıda, en başından veri koruma cihazları olarak tasarlanan IronKey sürücülerinin güvenlik avantajları ayrıntılı olarak açıklanmaktadır.

Tam Disk Şifreleme AES Blok Şifreleme Çalışma Modları

AES, yani Gelişmiş Şifreleme Standardı, 128 bit'ler halindeki veri bloklarını şifreleyen bir blok şifrelemedir. 128 bit'ten daha büyük verileri şifrelemek için, AES bir blok şifreleme modu kullanır. AES spesifikasyonunun bir bölümü olan çok sayıda farklı AES blok şifreleme modu vardır. En basit blok şifreleme modu Elektronik Kod Kitabıdır (ECB). Şifreleme Blok Zincirleme (CBC) güvenlik yetersizliğini belirleyip çözer ve taşınabilir Flash sürücü şifrelemede en yaygın olarak kullanılan moddur. XTS en yeni modlardan biri olup, ECB ve CBC'ye göre daha güçlü veri koruması sağlar. Aşağıda, bu blok şifreleme modlarının kısa açıklaması verilmiştir.

Elektronik Kod Kitabı (ECB). Bu şifreleme modu her bir 128 bit veri bloğu için AES şifreleme işlemini basitçe tekrarlar. Şekil 1'de ECB modu kullanılarak veri şifreleme gösterilmektedir. Her bir blok AES kullanılarak aynı şifreleme anahtarı ile bağımsız olarak şifrelenir. Şifreyi çözmek için, işlem tersine gerçekleştirilir. ECB ile, şifrelenmemiş benzer veri blokları, düz metin olarak atıfta bulunularak, aynı yöntemle şifrelenir ve şifrelenmiş benzer veri blokları (şifreleme metni) oluştururlar. Bu şifreleme modu veri düzenlerini uygun şekilde gizlemediği için ideal değildir. Şekil 2'de, bu şifreleme modu ile ortaya çıkan büyük güvenlik zafiyetinin gösterildiği bir örnek verilmiştir.

Figure 1, ECB

Electronic Code Book (ECB)
Şekil 1

Sol tarafta şifrelenmiş veri görüntüsü gösterilmektedir. Sağ taraftaki resimde, CBC veya XTS gibi diğer şifreleme modları kullanılırken şifreleme metninin nasıl görüneceği gösterilmektedir. Ortadaki resimde ECB ile ortaya çıkan güvenlik zafiyeti açıkça görülmektedir. Şifreleme bloklarında benzer görüntü pikseli düzenleri benzer şifreleme bloğu oluşturdukları düzende şifrelendiği için, orijinal görüntü bozulur.

Açıkça, benzer veri blokları aynı şifreleme metni oluşturulacak şekilde şifrelenmemelidir. Sonuç olarak, ECB blok şifreleme modu zayıf güvenlikli olarak dikkate alınıp, kullanılması tavsiye edilmez.

Original Image Encrypted using ECB mode Encrypted using other mode

Orijinal Görüntü

ECB modu kullanılarak şifrelenmiş

Diğer mod kullanılarak şifrelenmiş

Şekil 2

Şifreleme Blok Zincirleme (CBC). Bahsedildiği gibi, ECB'nin temel zayıf noktası benzer veri bloklarının benzer şifreleme metni oluşturacak şekilde şifrelenmesinden dolayıdır. Amaç, her bir bloğu aynı şifreleme anahtarını kullanarak şifrelerken, aynı zamanda 2 veya daha fazla blok için düz metin benzer olduğunda dahi farklı bir şifreleme metni sağlayan bir şifreleme yöntemi elde etmektir. Şifreleme Blok Zincirleme bu amaç için tasarlanmıştır. Şekil 3'te CBC şifreleme modu gösterilmektedir.

128 bit değerinde bir başlangıç vektörü (IV) oluşturulur ve ilk bloğun düz metni ile bir sektörde birleştirilir. Bu veriler Ayrıcalıklı OR (XOR) fonksiyonu kullanılarak birleştirilir. Ardından elde edilen 128 bit veriler AES şifreleme algoritması kullanılarak şifrelenir ve medyada depolanır. Oluşturulan şifreleme metni ilgili blok için olan düz metin ile birleştirildiği bir sonraki bloğa aktarılır, şifrelenir ve depolanır. Bu zincirleme işlemi sektördeki her bir blok için tekrarlanır. Bu işlem benzer veri bloklarının tamamen farklı şifreleme metnine dönüşmesini sağlar. Sonuç olarak CBC, ECB'den çok daha güvenli olup, birçok güvenlik uygulaması için uygun olarak dikkate alınır. CBC birçok şifrelenmiş Flash sürücüde geniş çapta kullanılır.

Figure 3, Cipher Block Chaining (CBC) - Encryption

Cipher Block Chaining (CBC) - Encryption
Şekil 3

AES-XTS Blok Şifreleme Modu. Orijinal olarak IEEE Std 1619-2007 olarak belirtilen, NIST 2010 yılında AES blok şifreleme modlarına XTS'yi ilave etmiştir. XTS en yeni blok şifreleme modudur ve IronKey sürücüleri tarafından kullanılan moddur. CBC gibi diğer mevcut blok şifreleme modlarına daha güçlü bir alternatif olarak tasarlanmıştır. Diğer modlardaki yetersizlikten faydalanmak için kullanılabilen bazı daha karmaşık yan kanal saldırıları ile birlikte ortaya çıkan olası güvenlik zafiyetlerini ortadan kaldırır. Şekil 4, XTS modu için basitleştirilmiş bir blok şemasıdır.

XTS, iki AES anahtarı kullanır. Anahtarların bir AES blok şifreleme işlemini gerçekleştirmek için kullanılır; diğeri ise "İnce Ayar Değeri" olarak bilinen verileri şifrelemek için kullanılır. Şifrelenen bu ince ayar değerleri daha sonra da her bir blok için hem düz metin hem de şifreleme metni ile Galois polinom fonksiyonu (GF) ve XOR yardımıyla değiştirilir. GF fonksiyonu daha fazla difüzyon sunar ve benzer veri bloklarının benzer şifreleme metni oluşturmamasını sağlar. Böylece, başlangıç vektörleri ve zincirleme kullanılmaksızın benzersiz şifreleme metni verilen benzer düz metin oluşturan blok hedefine ulaşılmış olunur. Aslında, bu metin iki bağımsız anahtar kullanılarak neredeyse (ancak tamamen değil) iki defa şifrelenmiştir. Verilerin şifreleri bu işlemin tersten gerçekleştirilmesiyle sağlanır. Her bir blok bağımsız olduğundan ve zincirleme olmadığından, depolanan şifreleme verileri zarar görürse ve bozulursa, yalnızca ilgili bloktaki veriler kurtarılamaz. Zincirleme modları ile, şifre çözme sırasında bu hatalar diğer bloklara sıçrayabilir.

Figure 4, Electronic Code Book (ECB) - Encryption

Şekil 4

Sonuç

AES-XTS, IronKey donanım şifrelemeli sürücülere pazardaki diğer ürünlere göre daha fazla veri güvenliği sağlar. Yerleşik güvenlik işlemcisinde yüksek düzeyde güvenlik ve taşınabilirlik sağlayabilecek şekilde tüm güvenlik fonksiyonları bulunur.

Ayrıca, bu cihazların her ikisi de karmaşık şifre koruması özelliği sunar ve belirtilen geçersiz şifre girişimi sayısından sonra cihazı kilitler ve son olarak sürücüdeki verileri şifreleyerek siler. Sağlam su geçirmez muhafaza içine yerleştirilen bu cihazlar ileri düzeyde veri güvenliği ve koruma sağlar. En üst düzeyde veri korumasına ihtiyaç duyan müşterilere yönelik belirli IronKey sürücüleri, en yüksek değerli veriler için askeri düzeyde güvenlik sağlayan en yeni FIPS 140-3 Seviye 3 sertifikasına sahiptir. IronKey kurumsal ve askeri sınıf şifrelenmiş sürücüler üç ila beş yıllık garanti ile birlikte sunulur.