Review: Kingston IronKey VP50, stick USB cu criptare AES-256 pentru aplicații speciale

Am testat un stick de memorie Kingston IronKey Vault Privacy 50, VP50 pe scurt, care este un stick USB 3.2 Gen 1 gândit pentru a stoca și transporta datele în mod securizat, criptate cu unul dintre cei mai buni algoritmi din prezent.

Practic, atunci când copiezi date pe acest stick ele sunt și automate criptate AES 256-biți de controllerul său intern. Datele nu pot fi accesate decât după introducerea unei parole (care poate fi foarte complexă), moment când apare drive-ul în Windows sau MacOS și se comportă ca orice alt stick de memorie normal.

Cui se adresează un astfel de dispozitiv? Păi foarte multor business-uri, de fapt. Utilizarea dispozitivelor ce criptează datele este o politică standard (sau ar trebui să fie) pentru angajații din anumite companii, indiferent că lucrează la stat sau la firme private ce lucrează cu statul. Mă refer la domenii cruciale precum cel militar sau domenii sensibile precum cel energetic sau economic, unde te ferești de spionaj propriu-zis.

La fel de bine însă astfel de stickuri ar fi utile oricărei companii private când nu vrei să riști ca planurile de afaceri sau design-ul unor noi produse sau alte informații comerciale să fie pierdute și să ajungă publice. La unele niveluri, astfel de pierderi de date înseamnă și pierderi de milioane de euro pentru compania, poate și mai mult dacă este listată la bursă.

Trebuie doar să citiți zilnic știrile ca sa aflați de tot felul de situații hilare. Acum câteva luni, un angajat al primăriei unui oraș din străinătate a pierdut un stick de date ce conținea datele personale ale tuturor locuitorilor acelui oraș. Întotdeauna se găsește cineva care să ia informații pe un stick ca să mai lucreze acasă sau ca să le ducă în alt sediu sau alte asemenea scenarii banale.

Aici vin stickuri precum acest Kingston IronKey VP50. V-am spus cum funcționează: datele sunt criptate cu un algoritm puternic (practic, imposibil de decriptat în termeni rezonabili) în timp ce sunt copiate pe stick. Accesarea lor se face după introducerea unei parole, moment când apare în File Explorer unitatea de disc și fișierele ei sunt automat decriptate și poți face ce vrei cu ele.

Protecția vine însă din criptare, nu din parolă. Dacă accesezi cumva direct biții din memoria de stocare sau dacă scoți memoria din stick și o plantezi în alt stick, biții de date tot criptați sunt și datele imposibil de accesat și recuperat.

Câteva specificații și funcții speciale ar fi:

Criptarea este AES-256 în varianta standardizată prin FIPS 197, care este un standard american de criptare. Aceeași criptare a fost adoptată și de administrația americană. Stick-ul are și protecție împotriva unor vulnerabilități ale USB-ului, iar Kingston spune că este și asamblat în SUA, în caz că cineva se teme de asamblările făcute în China.

Parola poate fi de două tipuri: parolă clasică, de 6-16 caractere și simboluri, sau passphrase de 10-64 de caractere. Adică o serie de cuvinte care sunt mai ușor de reținut de utilizator față de o parolă clasică și, fiind lungi, imposibil de ghicit.

Este un comic celebru al XKCD în acest sens care arată că entropia este mult mai mare dacă alegi 4 cuvinte ce sunt ușor de reținut.

Entropia este un concept din transmisiunile de date, să zicem că se referă la nivelul de informație sau incertitudine dintr-o transmisiune de date, se învață pe la Electronică prin anul doi. Nu contează așa tare ca detaliu în acest moment.

Stick-ul are protecție la atacuri brute force. După 10 parole introduse greșit, stick-ul este formatat automat.

Există posibilitatea de a avea două parole, Admin și User. Dacă utilizatorul uită parola, un admin (să zicem helpdesk-ul sau un ofițer de securitatea datelor) are o altă parolă cu care îl poate accesa și schimba parola utilizatorului. Asta te ferește de pierderi de date pentru că angajatul folosește rar stick-ul și a uitat ce parolă a pus. Dacă activezi modul acesta cu două parole Admin și User, 10 parole introduse de utilizator nu mai formatează stick-ul, ci doar îl blochează și poate fi deblocat doar de Admin.

Poți debloca stick-ul în mod Read-Only, în caz că te temi că sistemul pe care faci asta l-ar putea infecta cumva cu vreun virus. În read-only poți doar să citești fișierele de pe stick, nu să le modifici sau să scrii unele noi.

Ca utilizare, când înfigi stick-ul într-un PC vei vedea doar o partiție de 100 MB pe are se află utilitarul de control. Acesta se instalează rapid și în acesta introduci parola ce deblochează restul spațiului de 256 GB din stick-ul de memorie și fișierele acestuia.

Mi-a plăcut că utilitarul de introdus parola are și opțiune de tastatură virtuală, pe ecran, ca să o apeși cu mouse-ul sau degetul. Această tastatură poate fi randomizată, caracterele vor fi afișate în altă ordine, tocmai pentru a preveni acțiunea vreunui spyware care reține chestii de genul “a apăsat la coordonata cutare de pe ecran, iar acolo se afișează caracterul R pe tastatură”. Ca să prevină și screen-loggere, această tastatură devine albă când chiar o apeși, are și această opțiune.

Programul în sine este destul de simplu, de altfel, nu are multe opțiuni decât schimbarea parolei și activarea modului read-only la deschidere. Ce nu mi-a plăcut este că, odată setată o parolă, nu am găsit o posibilitate de a trece la passphrase. Probabil doar cu resetarea totală a dispozitivului și reinițializarea lui s-ar putea face asta.

VP50 este vândut ca un dispozitiv USB 3.2 Gen 1, adică ar trebui să suporte un schimb de date de 5 Gbps. Dacă scădem antete și biți de verificare, rezultă cam 500 MB/s viteză maximă teoretică. Nu mă așteptam să prind atât și în realitate pentru că apare etapa suplimentară de criptare și decriptare a datelor. Chiar și așa, am fost mulțumit de transferul obținut în testele mele clasice: 330 MB/s citire și 270 MB/s scriere.

Am testat și cu pachetele mele uzuale de date:

• film 9 GB – 250 MB/s scriere în stick, 333 MB/s citire de pe stick
• 631 fotografii, total 3,4 GB – 178 MB/s scriere în stick, 261 MB/s citire de pe stick
• 13.725 fișiere foarte mărunte în 6.771 foldere, total 5,2 GB – 23 MB/s scriere în stick, 51 MB/s citire de pe stick.

Mie mi se par rezultate foarte bune. Probleme apar doar la fișiere foarte mici, de câțiva kilobytes, dar orice SSD are astfel de probleme când “inunzi” controllerul cu foarte multe fișiere, darămite un stick USB.

Și cam acesta este stick-ul. Face ce trebuie, are și viteză bună de transfer, pare și solid construit. Utilitarul de control putea fi un pic mai “business” ca interfață, dar merge și așa. Un alt lucru de luat în considerare este că by default vine formatat ca FAT32, adică nu puteți scrie fișiere mai mari de 4 GB pe el. Poate fi însă reformatat ca NTFS sau exFAT și asta elimină această problemă.

Am văzut pe net că această variantă IronKey se găsește în stocare de la 8 la 256 GB. Costă mult, varianta de 32 GB costă 480 lei la ITgalaxy, iar cea de 256 GB costă 1.100 lei la ITgalaxy și PC Garage, dar se adresează companiilor unde pierderea de date costă muuult mai mult. 5 ani garanție.