BioSlimDisk – биометрическая безопасность данных. Обзор. Сравнение.

Дорогие друзья, недавно мы рассмотрели совместимость «BioSlimDisk Signature» с некоторыми продуктами Rohos. Теперь пришло время провести обзор безопасности, которую предлагает это устройство, сравнить его с другими биометрическими USB флэш-накопителями со сканерами отпечатков пальцев, и предоставить вам несколько фотографий устройства.

Вкратце, BioSlimDisk представляет собой USB флэш-накопитель с аппаратным шифрованием (AES алгоритм, 256 бит длина ключа), и аппаратной биометрической аутентификацией.

На веб сайте производителя (RiTech Inc.) вы можете узнать о возможностях, перечисленных ниже с нашими комментариями:

  • Защита с использованием биометрического сенсора
    Ваши пальцы являются единственным средством аутентификации для доступа к данным на USB флэш-диске. В аварийной ситуации не существует резервного пароля для доступа к устройству.
  • 2 отпечатка пальца администратора и 4 пользователя
    При настройки это является обязательным условием:  Администратор должен зарегистрировать 2 пальца. Пользователь должен зарегистрировать 4 пальца. Без надлежащей регистрации устройство не работает. И более того — эти 2 или 4 пальца НЕ должны быть одними и теми же пальцами.
    На аппаратном уровне модуль биометрической аутентификации BioSlimDisk(а) контролирует регистрацию пальцев, и не позволяет использовать его без полной регистрации.
  • Двойная-аутентификация по отпечаткам пальцев
    Для доступа к данным, находящимся на USB устройстве пользователю необходимо успешно аутентифицировать 2 пальца. Это должно быть 2 разных пальца из 4-ёх пальцев, которые были ранее зарегистрированы пользователем во время настройки.
  • Использует методику двойной аутентификации
    Опять же, аппаратный уровень модуля биометрической аутентификации предназначен для аутентификации пользователя или администратора на основе 2-ух пальцев (из 2 или 4 пальцев зарегистрированных при настройке). Необходимо, чтобы пользователь коснулся биометрического датчика 2-ми пальцами, один за другим. Если пользователь не сможет пройти проверку подлинности одного из пальцев 3 раза подряд, устройство самостоятельно выключает питание. Так что вам будет необходимо снова подключить его к USB порту.
  • Функция Самоуничтожения, Защита от вмешательства и аппаратное шифрование AES 128 на основе чипа.
    Устройство самоуничтожается после 7 неудачных проверок пальцев, и автоматически отключается (т.е. 7 * 3 неудачных попыток аутентифицировать пальцы).  Так же, в самом чипе существует защита от вмешательства, т.е. когда регистрируется неисправность или вмешательство в аппаратный протокол, то устройство незамедлительно самоуничтожается. Так что для того, чтобы разобрать устройство и понять как работает чип, вам понадобится не один десяток флэш-накопителей для проведения экспериментов.
  • Действительно не нужны драйвера (работает на всех платформах, например, Linux, Mac OSX, Все Microsoft Windows, Solaris и т.д.)
    Это является почти невероятной особенностью этого устройства. При подключении BioSlimDisk в USB-порт в устройство поступает электрическая энергия и на аппаратном уровне подключается модуль биометрической аутентификации. После успешной аутентификации отпечатков пальцев BioSlimDisk подключает USB Flash с шифрованием AES.
  • Аппаратное шифрование данных.
    Когда вы работаете с токеном, все данные шифруются / расшифруются на-лету. AES ключ генерируется после того, как Администратор настроил USB накопитель.

На рисунках ниже показано: как работает BioSlimDisk и чем отличается от других защищенных USB флэш-накопителей с аутентификацией по отпечаткам пальцев.

Процесс аутентификации в BioSlimDisk(е) состоит из 2-х этапов:

 

На снимке:

  1. При подключении устройства в USB порт модуль биометрической аутентификации активируется только на аппаратном уровне. Устройство выполняет аутентификацию пальцев, прежде чем вы сможете приступить ко 2-му этапу.
  2. Модуль биометрической аутентификации включает USB флэш-накопитель. И устройство появляется в системе как обычный съемный диск.

 

 

 

 

Важной частью является то, что аутентификации проходит внутри устройства.

Давайте рассмотрим процесс аутентификации в других USB флэш-дисках оснащенных биометрической системой контроля доступа. То есть, те которые мы тестировали ранее: Apacer, Transcend JetFlash, TakeMS Scanline, Silicon Power.


На картинке изображены три этапа:

  1. Подключив устройство к USB порту, оно появляется в системе в качестве диска D: \ — CD-ROM с программным обеспечением для регистрации и аутентификации. А также вы получаете доступ к диску Y: \, это является открытой частью всего диска (пользователь определяет эту открытую часть во время установки).
    Для получения доступа к скрытой части диска X: \ пользователь запускает программу аутентификации с диска D: \
  2. Программное обеспечение использует сканер отпечатков пальцев расположенный на устройстве. Программное обеспечение (либо аппаратная часть) распознаёт отпечатки пальцев. Или существует резервный пароль на случай, если вы не хотите использовать биометрическую аутентификацию.
  3. Программное обеспечение либо аппаратное оборудование (в зависимости от модели) принимает решение подключить скрытую часть диска X: \.

Как мы видим, в процессе аутентификации могут существовать некоторые уязвимости в зависимости от реализации:

  • Биометрическая аутентификация на уровне программного обеспечения. Здесь существует возможность проследить попытки использования USB-накопителя и разобрать протокол безопасности, чтобы найти дыры в безопасности или ошибки, которые, могут быть использованы для получения доступа к диску X: \ или изменить внутреннюю конфигурацию устройства.
  • Существует возможность восстановить резервный пароль с помощью грубой силы. Здесь нет ограничения попыток, и, кажется, аппаратная часть не контролирует это.

После этого сравнения мы видим, почему BioSlimDisk не требует драйверов, и совместим с любой Операционной Системой — он не использует никакого компонента программного обеспечения. Второй важный момент, то, что внутренняя конфигурация BioSlimDisk(а) не может быть изменена никаким другим способом, кроме как с помощью интерфейса Authentication Module.

Насколько устойчивой может быть аппаратная аутентификация?

Из нашего опыта работы с биометрическими устройствами мы знаем, что невозможно использовать отпечатки пальцев или другой биометрический материал для генерации ключа шифрования AES и затем использовать его в процессе шифрования. Получается, что ключи шифрования хранятся где-то на чипе BioSlimDisk(а). Таким образом, аппаратная аутентификация BioSlimDisk(а) просто сравнивает биометрический материал для принятия решения до начала процесса расшифровки с помощью хранимого AES ключа. Это не является идеальным протоколом безопасности.

В зависимости от аппаратной реализации получить доступ к AES ключам для умного инженера аппаратного оборудования будет достаточно легко. Тогда чип флэш-диска может быть подключен к обычной плате USB флэш-накопителя, и расшифрован с помощью программного обеспечения. Но в новом поколении BioslimDisk использует чип с защитой от вмешательства, таким образом делает процесс взлома чипа сложнее.

Здесь вы можете прочитать интересный рассказ о системе безопасности аппаратного уровня 1-го поколения BioSlimDisk и о других устройствах.

Управление Bioslimdisk(ом)

BioSlimDisk предназначен для Администратора и обычного пользователя. Здесь я должен снова упомянуть о том, что модуль аутентификации устройства проверяет конфигурацию и заставляет  выполнить необходимые этапы настройки до того, как вы начнёте использовать устройство.

Для того чтобы запустить BioSlimDisk в режиме Администратор следует использовать переключатель, расположенный сбоку на корпусе накопителя, как показано на этой фотографии (на фотографии переключатель в режиме пользователя):

У BioSlimDisk(а) на корпусе есть переключатель, который контролирует режим – обычный или административный (повторная регистрация). В режиме Администратора устройство также требует использовать биометрическую аутентификацию, а затем позволяет повторно зарегистрировать  пользователя или администратора.

Обычное использование

При обычном использовании, когда вы подключаете устройство в USB порт, светодиодные лампочки показывают статус устройства.
Мигающий синий индикатор — устройство ожидает аутентификации пальцев:

Блеснувший зеленый индикатор — палец успешно прошел проверку подлинности, следует аутентифицировать второй палец:

После успешной аутентификации обоих пальцев светодиодные лампочки погаснут, и буква USB флэш-накопителя появится в Windows или Mac OS X.

У вас есть только 3 попытки для того, чтобы аутентификация каждого вашего пальца была признана успешной. Если вы сделаете 7 неудачных попыток, переподключая BioSlimDisk, то устройство может быть заблокировано навсегда (в этом случае все индикаторы мигают).

На фотографиях вы уже заметили, как я размещаю свой палец

  • Так как для меня привычнее подключать BioSlimDisk прямо в USB порт своего MacBook, то мне очень удобно размещать пальцы, таким образом как вы видите на фотографии — поперёк сенсора устройства.
  • Производитель советуют использовать USB удлинитель, который они предоставляют вместе с BioSlimDisk(ом), и размещать пальцы вдоль сенсора устройства.
  • Проводя тесты, я обнаружил, что вы можете размещать пальцы в обоих направлениях, и даже смешивать эти два способа (вдоль или поперек).
  • Очень важно помнить, какие пальцы, и каким образом они были зарегистррованы во время настройки. Сканер отпечатков пальцев использует простую логику и не вращает в памяти изображение отпечатков перед процессом проверки 🙂

Для того, чтобы закрыть доступ к памяти BioSlimDisk(а) необходимо отключить устройство. Обратите внимание: даже при перезагрузке / сон вашего ПК или Mac устройство может остаться в режиме авторизации / открытым.

Данные о скорости передачи данных в Windows Seven — 2-15 Мбит / сек.

Резюме

Мы считаем BioSlimDisk очень безопасным и удобным USB флэш-накопителем. Принцип Двойной-аутентификации помогает пользователям поддерживать высокий уровень безопасности, тем самым не оставляя шансов для плохих парней. Режим Администратора делает это устройство подходящим даже для небольших корпоративных клиентов, которым необходимы безопасные портативные устройства с функцией централизированого управления для хранения данных.

Обычным пользователям понравится уровень безопасности портативного устройства, предлагаемого BioSlimDisk(ом), которое не требует административных привилегий для использования на общественных компьютерах. Функция Администратор/ Пользователь может быть неоднократно использована. Так что все члены семьи смогут пользоваться этим устройством.

Аутентификация только на аппаратном уровне делает безопасность устройства почти невозможной для взлома для обычных программных хакеров. Однако в зависимости от модуля аппаратной аутентификации может существовать уязвимости чипа.

Фотографии