Kanguru Defender es un dispositivo de hardware de encriptación de alta seguridad que podría satisfacer o superar sus pretensiones de seguridad. En comparación con IronKey, que hemos examinado anteriormente, Kanguru Defender es fácil de usar y bastante accesible, en lo que toca el precio- $ 49 USD.

Kanguru tiene dos fases enfoques para la seguridad de los datos confidenciales:

1. A nivel de hardware, Kanguru empieza con el grado militar de Hardware con llave basada en el cifrado AES. Es decir, que ningún software o de derechos de administrador no son necesarios.
2. Hay opción de gestionar Kanguru Defender, de forma remota, desde una ubicación central. De forma remota, Kanguru Defender no viene con mantenimiento KRMC (Kanguru Remote Management Control) activado de manera predeterminada. (Para más información acerca de KRMC, visite: http://shop.kanguru.com/index.php/flash-management/krmc)

Características:

• Partición de datos protegida con la contraseña para sus archivos de seguridad
• No requiere derechos de administrador
• Instalación sin controlador (Plug & Play)
• Modelo de aluminio de alta seguridad
• Conmutador de bloqueo de la escritura

Autenticación segura de 2-factores para su Windows PC

A este etapa, es muy importante de recordar que Kanguru KDF debe ser configurado correctamente antes de ser usado con Rohos Logon Key. El proceso tomará no más de algunos minutos. Se le pedirá poner una contraseña y finalizar los pasos necesarios en la Configuración de Wizard. En Internet no hay mucha información sobre Kanguru Defender, aunque, según mi opinión, es un dispositivo fácil de gestionar y utilizar que no requiere ningun Guía del usuario. Toda la información necesaria puede encontrarla en Quick Start Guide que se proporciona junto con el dispositivo. Un papel importante en la configuración correcta de la unidad flash tiene el conmutador manual de bloqueo de escritura de la parte lateral del cuerpo del dispositivo. Si está configurado en posición de bloqueo (conectado del conector USB) debe ser configurado en la posición “abierta” para configurar Kanguru Defender Manager.

Windows login incomparable y seguro con Rohos Logon Key + Kanguru

Si Usted es un usuario perezoso y no quiere recordar el código PIN, pero el PIN es una necesidad, y si quiere realizar una autenticación fuerte de dos factores, en este caso puede utilizar Kanguru Defender como una llave USB segura para el inicio del sistema.

Conecte el dispositivo - la ventana de “Mi PC” va a mostrar dos unidades virtuales: CD-ROM (F:) y el disco virtual (H:). Una de las unidades, a saber, el Disco extraíble (H:), es la Partición Secreta, y  CD-ROM (F:) es la partición abierta (sólo para lectura). Para abrir la parte segura de la unidad Usted debe lanzar el archivo KDM.exe.

Haga doble clic sobre KDM.exe y la ventana de Inicio de sesión Kanguru aparecerá.  Introduzca su contraseña de Kanguru y la parte segura del flash ya está abierta.

Sólo después de que el dispositivo esté conectado y montado, la parte Secreta aparece en el sistema como una unidad extraíble (Archivos seguros de (H:)) y la configuración ya es posible.

• Descargue e instale Rohos Logon Key.

• Abra la ventana principal del programa.
• Haga clic en el botón “Configuración de la llave USB”. El programa va a identificar automáticamente el dispositivo.
• Itroduzca su contraseña de Windows. Si no tiene, hay que crear una de antemano. Haga clic en “Configurar la llave USB”, después OK.
• Ahora, en la ventana Opciones de Rohos haga clic en el vínculo “Especifique el programa de ejecución automática”, elija KDM.exe y haga clic en Abrir.  Después, Usted puede elegir la acción al extraer la llave USB (por ejemplo: Bloquear el equipo, Apagar, etc.) Haga clic en OK. Hay que volver a iniciar el equipo.

¿Cómo funciona?

Al iniciar el sistema, conecte el Kanguru Defender. Y se le pedirá que introduzca su contraseña (vea la captura de pantalla).

Introduzca la contraseña y haga clic en el botón de Entrar. Empezará el proceso de conexión de la parte secreta y el Inicio de sesión en Windows se hace rápidamente y sin problemas.

Resumen y estudio del dispositivo:

Me gustó mucho la simplicidad, también la seguridad que proporciona Kanguru Defender. El dispositivo es fácil de configurar, y el cifrado seguro de hardware AES lo convierte en una llave segura USB y dispositivo de almacenamiento de datos fiable.

Una cosa muy útil, que realmente hace que la utilización de los dispositivos sea conveniente, es el icono Kanguru KDF, que aparece justo después de autorizar con éxito KDM. Usted puede encontrar el icono en la bandeja del sistema junto al reloj. Haga clic derecho del ratón sobre él y puede abrir la partición segura haciendo clic en Explorar el Disco Seguro, cambiar las Configuraciones de Seguridad, elijir el idioma (inglés o aleman) y el último, pero no menos importante es Desmontar Kanguru Defender:

El fabricante advierte “No desconecte Kanguru Defender sin desmontar correctamente el dispositivo. Si lo hace, puede causar daños a deteriorar los archivos.” En este caso, ellos proponen que utilicemos la opción “Quitar Hardware de forma segura” de la bandeja del sistema, en caso contrario existe riesgo de deteriorar los datos. Debo decir que yo había desmontado el dispositivo incorrectamente docenas de veces y éste no ha influido en mis archivos en absoluto. Chicos, sólo recuerden que lo dije sólo para su información, y no para que siguen lo dicho.

Debe mencionarse una cosa más. Mientras realizaba las pruebas durante un período de varias semanas he tenido un problema con el uso de Kanguru + Rohos Logon. Si Usted configura en la ventana de opciones de Rohos Logon “Bloquear equipo” como acción al retirar la llave USB, y va a extraer el dispositivo sin desmontarlo primero, entonces el escritorio de su PC se va a bloquear. Y después de volver a conectar Kanguru e introducir la contraseña, el programa da un mensaje de error:

Y como he mencionado antes, esto no tuvo ninguna influencia en mis datos en Kanguru KDF.

Por lástima, no tuvimos la posibilidad de probar la capacidad de administrar de forma remota Kanguru Defender desde una ubicación central. Por lo tanto ningún comentario con respecto a esta función.

Rohos Logon Key para Mac es una solución de autenticación de dos factores que permite el inicio de sesión seguro en Mac, acceso a keychain, también el desbloqueo del escritorio con la llave USB.

Gracias a los comentarios útiles de los usuarios Rohos Logon Key para Mac se han realizado algunas mejoras. Hoy publicamos la versión 2.3.

Descargue e instale Rohos Logon Key para Mac v.2.3

Qué es nuevo:

• Mejorada la traducción al español
• Ahora Rohos Logon no desbloquea automáticamente el Sistema Keychain. Rohos simplemente rellena el nombre de usuario y contraseña, luego el usuario debe hacer clic en OK para confirmar la operación privelegiada.
• El Icono de Rohos Logon de la barra de estado está escondido de forma predeterminada.
• En el soporte de Yubikey se corregió el error que llevaba, en algunos casos, a la caída del sistema.

El equipo de Rohos recibió muchísimas solicitudes de parte de los usuarios de añadir el soporte de Windows Seven x64 a Rohos Face Logon - solución que le ayuda iniciar la sesión en Windows de manera ligera y segura, usando la cámara web como un dispositivo de reconocimiento de la cara.

Descargar v.2.7

Rohos Face Logon v.2.7 tiene algunas actualizaciones:

• Añadido el soporte de Windows Seven x64
• Al interfaz del usuario se añadió el idioma chino simplificado

Yubikey es un token con contraseña de un solo uso que funciona a través de la interfaz a base del teclado USB. La nueva generación de Yubikeys combina también dos dispositivos en uno Yubikey: OTP + RFID o OTP + 1 generador de contraseña estática. OTP + OATH OTP (Firmware 2.1). Yubikey hizo también muchos cambios en la copia de seguridad.

Qué hay de nuevo en Yubikey 2.0:

• Seguridad mejorada. Aquí Usted puede ver lo que hemos descubierto y solucionado.
• Yubikey permite tener 2 configuraciones. Muchos de los usuarios de YubiKey querían tener la posibilidad de utilizar YubiKey como gererador de contraseña estática + OTP token. Aquí está.
• El uso de la Utilidad de Configuración es fácil y cómodo.
• Dispositivo Doble: Yubikey + RFID (Mifare Clásico 1k) o OATH 6 o 8 código de identidad digital.
• Nuevo servidor de validación Yubico:
  + permite subir llaves AES personalizadas
  + permite revocar Yubikeys
  + Validación de protocolo 2.0
• Wiki con los programas que funcionan con Yubikey- la lista de vendedores, integradores y software que trabajan con Yubikey.

Utilidad de Configuración

permite reprogramar la Configuración de Yubikey #1 o  Configuración #2.

Segunda Configuración

YubiKey 2.0 funciona en manera de prensa y retención. En primer lugar las prensas están basadas en tiempo. En la v.1, Usted la mantiene presionada hasta que empieza a imprimir los carácteres, con la v.2.0 Usted hace prensas cortas para la primera configuración y prensas longas (2.5 - 5 segundos desde el punto de vista técnico) para generar la segunda configuración OTP. Tome nota de que, la configuración #2 de Yubikey tiene una característica que permite actualizar la contraseña estática, si mantiene presionada la tecla durante 8-15 segundos.

De forma predeterminada, Rohos Logon Key funciona, como de costumbre, con la v.2, pero un cliente recibió YubiKeys sin procesar (la versión 2.1.1 no fue configurada). Así que, nos pidió darle un Guía paso a paso sobre cómo configurar YubiKey con Rohos Logon, si Yubikey no está configurado con OTP.

Aquí puede descargar el Guía - Preparación de la configuración dinámica para Rohos Logon con llave estática AES

Más fotos

Hace poco se han entregado tres dispositivos con cifrado hardware - IronKey Personal S200 1Gb, Kanguru Defender 2Gb y DataTraveler Vault Kingston 2Gb. Ahora queríamos presentarle el estudio de IronKey que llegó a nuestro laboratorio, para la alegría de todos. Es una posibilidad, muy esperada de experimentar con esta unidad muy elogiada y configurarla para el inicio de sesión habitual y seguro a Windows con Rohos Logon Key, es disponible ahora.  Vamos a conocer más sobre la misma unidad flash.

Características principales:

• Unidad Flash con Cifrado de Hardware
• Secuencia de autodestrucción
• Proteción Automática Anti-Malware
• Acceso Portátil a Datos Multiplatform
• Administración de Dispositivos Simples
• Recuperación Segura de Datos

Más información sobre estas y otras características de IronKey hay en la parte segunda del estudio.

¡Ah! Este tipo de lista de las características de IronKey puede hacerle preguntarse si es sólo una unidad flash y no es una de las aquellas cositas Agent 007. ¡Ah, gente! Es un dispositivo muy bueno, aunque tiene sus problemas técnicos sobre los cuales nosotros vamos a hablar en la parte siguiente - 2-nda parte.

Ahora volvamos a la tarea principal -

Autenticación fuerte de dos factores para Windows y Mac con Rohos Logon Key + IronKey

Tomen nota, por favor, que antes de configurar IronKey para el inicio de sesión a Windows y/o Mac Usted debe inicializarlo. La inicialización de la unidad toma menos de un minuto, momento en el cual se le pedirá crear una cuenta en línea con IronKey, que activa ciertas características que incluye la unidad, tales como dispositivos y actualizaciones de software, también el acceso al servicio de exploración cifrada de la web IronKey . Al activar la cuenta en línea, se abre un navegador web seguro ya instalado en la unidad, y le lleva a la página my.ironkey.com. Usted puede encontrar más información en el Guía Personal de IronKey para el Usuario (formato .pdf) lectura - “Inicializar y Activar IronKey en Windows/Mac/Linux”.

En nuestro caso, la primera inicialización fue realizada en el sistema Mac y después Ironkey se utilizó en Windows.

Configurar muy fácil IronKey para el inicio de sesión seguro en Windows

Los usuarios nos preguntaron en repitadas ocasiones, si es posible utilizar IronKey como llave de inicio de sesión para Windows/Mac. La respuesta para esta pregunta es SÍ. Por favor, tenga en cuenta que los Desarrolladores de Rohos han emitido la versión actualizada de Rohos Logon Key arreglando los problemas de compatibilidad con IronKey y unidades activadas Bluetooth.

¡NB! Se requiere la activación preliminar de IronKey.  Al conectar el dispositivo -la ventana de “Mi PC” va a mostrar dos unidades virtuales CD-ROM (F:) y el disco virtual (H:). Una de las unidades, a saber, el Disco extraíble (H:), es la Partición Segura, y  CD-ROM (F:) es la abierta (sólo lectura). Para abrir la parte segura de la unidad Usted debe lanzar el archivo IronKey.exe.

Una vez que IronKey.exe está iniciado, introudzca su contraseña para desbloquear la parte protegida y la activación se iniciará.

Sólo después de que el dispositivo esté conectado y activado, la parte protegida aparece en el sistema como una unidad extraíble (Archivos seguros de IronKey (H:)) y la configuración es posible.

• Descargue e instale Rohos Logon Key.
• Abra la ventana principal del programa.
• Haga clic en “Configurar la llave USB”. El programa va a identificar automáticamente el dispositivo.
• Introduzca su contraseña de Windows. Si Usted no la tiene, hay que crear una de antemano. Haga clic en “Configuración de la llave USB”, después OK.
• Ahora, en la ventana Opciones de Rohos haga clic en el vínculo “Elegir inicio del programa”, elija IronKey.exe y haga clic en Abrir.  Después, Usted puede elegir la acción al extraer la llave USB (por ejemplo: Bloquear el equipo, Apagar, etc.) Haga clic en OK. Hay que volver a iniciar el equipo.

¿Cómo funciona?:

Al iniciar el sistema, conecte el IronKey. Aparecerá el panel de inicio (captura de pantalla).

Introduzca la contraseña de IronKey y haga clic en Desbloquear el botón.  El inicio de sesión en Windows se hace rápidamente y sin problemas.

Protección fundamental de tu Mac con Rohos Logon Key + IronKey

Convierta IronKey en llave de seguridad Mac

¡NB! Cuando se trata de la configuracción de IronKey con Rohos Logon Key para Mac no es necesario activar el dispositivo porque Rohos Logon utiliza solamente el número de serie de IronKey.

• Descargue e instale Rohos Logon Key para Mac.
• Haga clic en el icono de Rohos, en la barra de estado, luego “Añadir llave USB…”. EL sistema identifica automáticamente el IronKey conectado (con su número de serie).
• Haga clic en el número de serie del dispositivo, luego presione “Elegir USB”. Apapecerá la ventana de autorización. Introduzca la contraseña. Presione OK. La llave USB fue configurada.
• Ahora, Usted puede configurar la Acción al extraer la llave USB. Haga clic en el icono de Rohos, en la barra de estado, luego elija “Abrir Rohos Logon…”.
• En la ventana principal del programa haga clic en el cuadro desplegable y elija una de las acciones al extraer la llave USB (por ejemplo: Bloquear el escritorio, Cerrar sesión, Suspensión, etc.)

Para añadir un nivel de seguridad más al incio de sesión de Mac Usted puede configurar un código PIN. Con la configuración del código PIN, Usted protege la llave USB de alguna persona que pueda utilizarla para acceder sin permiso a su Mac.  Después de que Usted conecte la llave USB - Rohos Logon pedirá al usuario que introduzca el PIN para iniciar la sesión o para desbloquear el Mac.

• El código PIN funciona para unidades USB flash, teléfonos móviles con Bluetooth activado y Touchatag.
• Beneficios de seguridad: Después de 3 intentos erróneos de introducir el PIN (puede ser uno corto, por ej. 1234) la llave USB será bloqueada. No será posible utilizarla como llave de acceso hasta el siguiente “Cambio del PIN”.

Configurar el código PIN para la unida flash IronKey

• En la ventana principal del programa haga clic en “Cambiar el PIN”.
• Introduzca el PIN anterior (si hubo uno antes, si no deje el campo en blanco), luego introduzca el PIN nuevo. Presione Cambiar PIN. Ahora el código PIN está configurado.

Resumen:

IronKey junto con Rohos Logon Key hacen un escudo de seguridad impenetrable para el PC. Además de que su inicio de sesión en Windows es rápido y sin problemas, ahora la contraseña de su equipo es sin duda secreta e inaccsesible para una persona ajena.

La protección común y el nombre de su animal doméstico, como contraseña, no son suficientes más. Las tarjetas sin contacto son cada vez más aceptadas como la credencial de elección para el control del acceso físico. Ambos son robustos y flexibles, ofreciendo a los profesionales de seguridad la capacidad de reducir los costos de mantenimiento, también aumentar la seguridad. Las tarjetas no se pueden copiar, alterar, duplicar, clonar, también ellas resisten los ataques de los piratas informáticos. En consecuencia, su información se guarda de manera segura dentro de la tarjeta inteligente. Incluso si la tarjeta se pierde, ésta no va a mostrar la información almacenada.

La solución Rohos Logon Key se ocupa del acceso seguro a Windows, almacenando los datos de inicio de sesión dentro de las tarjetas inteligentes. Es importante observar, que la información de inicio de sesión no se utiliza en forma estándar y se extrae de la tarjeta, sólo entonces se envía directamente al proceso de inicio de sesión. El perfil Logon se cifra en las tarjetas. Ya no es necesario escribir la información confidencial durante el proceso de inicio de sesión, donde es vulnerable. Rohos Logon Key acelera el proceso inicio de sesión y lo mantiene seguro.

En relación con estó Rohos Logon Key v.2.8 ha tenido varias actualizaciones.

Qué hay de nuevo:

• Ahora Rohos Logon Key mantiene:
  • MiFare 1K tarjeta inteligente sin conexión
  • token nuevo ePass 2000 (fabricante Feitian Technologies)
• Se añadieron nuevos idiomas: finlandés (gran agradecimiento a Mikko) y rumano. Los archivos de la lengua italiana fueron actualizados (gran agradecitmiento a Simone).
• El error de localización, en la lengua china, está fijado.

Capturas de pantalla:

Dispositivos compatibles

Elegir la opción de la lengua

Uno de los usarios de Rohos Logon Key para Mac, Alex, se ofreció para hacer un video sobre el programa. Parece que resultó ser un éxito para el usuario joven de Mac. De su video conocerá que “Rohos Logon Key convierte cualquier llave USB en una llave para desbloquear su equipo. ” Así que, cuando Usted no quiere escribir la contraseña, tampoco como Alex lo quiere, enchufe la llave USB.

Beneficios de Rohos Logon Key para Mac:

1. Para desbloquear su equipo enchufe solamente el USB
2. Quieres tomar una pausa o ir a almorzar, entonces tire solamente la llave USB y el programa hará todo lo que quieras (es necesaria la configuración preliminar):
   1. Apagar
   2. Sospender, etc.

Alex demuestra como Rohos Logon Key bloquea y funciona en Mac:

• Mostrando la ventana de Rohos Preferences
• Configurando las acciónes al retirar la llave USB
• Posibilidad de desactivar Rohos Logon Key en el caso si su llave USB fue robada.
• ¡Posibilidad de añadir una llave USB nueva para acceder a su ordenador, es muy rápida!

Todo empiezó con lo que, la compañía alemana SySS publicó un documento con el título “La compañía Syss logró piratear la unidad USB con cifrado hardware Kingston certificado según FIPS 104-2″. En este documento se describe con detalles el protocolo de autenticación entre la unidad y el programa (el usuario), lo que ellos conocieron basándose al tráfico USB interceptado + vulnerabilidad que fue descubierta. Además están puestas las capturas de pantalla, que se integra en el proceso de Autenticación del programa para la unidad USB, y como resultado - introducimos cualquier contraseña y el acceso está abierto.

Qué sucede - los datos se cifran fuertemente en hardware, pero hay utilidad externa que realiza la Autenticación (control\cambio de la contraseña y de las configuraciones) utilizando un protocolo determinado (API+algoritmo de la utilidad). Este protocolo no fue protegido y en él encontraron vulnerabilidad.

Lo mismo se encontró y descubrió para las unidades USB con cifrado hardware (hardware based encryption) de SanDisk.

Una conversación mucho más interesante se desarrollo en el blog de Bruce Schneier - criptóloga y especialista famoso en la seguridad informática.

Los más interesantes resúmenes de los comentarios están en este blog:

• El estándar FIPS 140-2 no tiene nada que ver con esto. El estándar no cubre/controla los lugares donde se encontró la vulnerabilidad.
• Los productores se amparan con este estándar FIPS 140-2, para inspirar a los usuarios que el nivel de seguridad de los datos es bastante alto. Por lo tanto, desacreditan este estándar. Aunque, él en realidad sólo controla/testea el módulo criptográfico, pero no el producto entero.
• El hecho de que, vulnerabilidad similar hay en unidades USB de varios dispositivos, muestra que, esta tecnología (junto con la vulnerabilidad) sea que pasea de mano a mano entre las grandes empresas, o sea que la produce una tercera persona (outsourcing), y muchas compañías usan sus servicios.
• El protocolo de autenticación más correcto en esta situación es -
  - La contraseña debe cifrar la llave
  - La llave debe cifrar los datos en la unidad.
• Ahora ya está claro por qué Sandisk se negó ofrecer la documentación de la comunidad de Linux en protocolo de USB host-to-drive para su unidad. En caso de publicación sería evidente que el acceso se abre por un mando constante.
  Conclusión - cualquier unidad de disco para la cual no hay documentación (protocolo de USB) para la creación del controlador Linux es vulnerable pontecialmente. IronKey es en particular.
• Para comparar: este error es como vender cerraduras y cajas con llaves iguales de ellos.

Le acordamos, que en el pasado, este esquema de autenticación se utilizaba por muchas unidades USB flash biométricas, es decir, el proceso de autenticación sucedía a nivel de programa, después de que la señal se transmitía en un componente de hardware para la apertura del acceso al dispositivo USB.
Los investigadores descubrieron esta señal en dirección al controlador del dispositivo USB, y por lo tanto toda la protección  resultó una vulnerabilidad continúa.

Después de la traducción más detallada del artículo original al ruso nosotros planificamos estudiar con más detalle esta vulnerabilidad.

En nuestro último resumen de la unidad biométrica BioSlimDisk con cifrado de hardware, hemos mostrado en las imágenes cual es la diferencia entre la autenticación de hardware y la del software para tales dispositivos.

En adición queremos llevar los criterios más importantes, según nuestra opinión, los criterios de seguridad de los dispositivos USB:

1. La protección de la configuración interna.
   Muchas unidades USB, tokens y otros dispositivos de autenticación implican cambios de sus propiedades, tales como - los parámetros de autenticación, las contraseñas de acceso y otros. Esta configuración debe ser protegida de la manera apropiada.
2. La utilidad exterior de administración es vulnerable potencialmente.
   Si hay Aplicaciones que del exterior pueden operar con el dispositivo, también operar con el acceso a los datos del dispositivo, entonces son posibles ataques a sus protocolos. Lo mismo se refiere al control remoto\remover dispositivo. Estos protocolos no deben estar expuestos a todos los ataques de tipo REPLY.
3. Los dispositivos activos pueden ser potencialmente peligrosos.
   Ultimamente han aparecidos tokens, que representan un teclado USB (que genera la contraseña OTP en forma textual). Al conectarlos estos token mantienen la función de auto-navegación, que es capaz de abrir una cierto sitio web en el ordenador. Y puesto, es evidente que hay sitios maliciosos, esto puede causar la infeción del PC.

A pesar de la posible existencia de múltiples vulnerabilidades en los dispositivos USB, la vida, sin embrago, no puede detenerse. Por eso queremos aducir un principio muy interesante, que nació en los foros y blogs al hablar de diferentes programas y dispositivos para la protección de datos y de la autenticación. Este principio dice “El cifrado no es suficiente” (en oroginal ‘Encryption is not enough’) esto significa -

• Además de que los datos son cifrados, o son cerrados de cualquier otra manera - hay muchos lugares donde es posible interceptar estos mismos datos - copias de seguridad no protegidas, ficheros temporales, equipos infectados con software espía, colegas o miembros de familia nocivos, etc.
• El protocol de protección y su aplicación deben ser abiertos (si es posible open source)
• En los algoritmos de cifrado, hechos por Usted mismo, no hay confianza. Es posible confiar solamente en los algoritmos que son reconocidos por los criptólogas y pasaron la prueba del tiempo.
• Debe existir una sociedad abierta de este producto, para que los usuarios puedan encontrar a tiempo las vulenrabilidades de las versiones nuevas de software o de la aplicación del protocolo, e informar a todos. Ya que, el progreso no es estático, así como los hombres que lo producen, entonces cada versión nueva debe considerarse desde el punto de vista de seguridad una vez más.

Si un producto determinado responde a estas cualidades, entonces es una señal de confianza para este producto.

En resumen, BioSlimDisk es una unidad USB flash con cifrado de hardware (AES de 256 bits de longitud de clave) y autenticación biométrica de hardware.

En el sitio web del Fabricante (RITech Inc.), puede aprender las características incluídas abajo con nuestros comentarios:

• Protectión usando Sensor Biométrico de Área
  Sus dedos son el único medio de autenticación para acceder a los datos de la unidad USB flash. No hay ninguna copia de seguridad de la contraseña para acceder al dispositivo en caso de emergencia.
• 2 huellas digitales del administrador y 4 del usuario
  Al configurarse ésta es una condición obligatoria: El administrador debe registrar 2 dedos. El usuario debe inscribir 4 dedos. Sin esta inscripción el dispositivo no está funcionando. Y aún más - los dedos de estos 2 o 4 no debe ser los mismos dedos.
• Doble-autenticación con huellas digitales
  Para acceder a los datos de la unidad USB el usuario debe inscribir 2 dedos. Éstos deben ser 2 dedos distintos de los 4 dedos que se inscribieron por el usuario durante la configuración.
• Utiliza la metodología de autenticación doble
  Además, el nivel de hardware del módulo de autenticación biométrica está diseñado para la autenticación del usuario o administrador a base de 2 dedos (de los 2 o 4 dedos inscritos durante la configuración). Se requiere que el usuario toque el sensor biométrico con 2 dedos, uno tras uno. Si el usuario no puede autenticar uno de los dedos 3 veces seguidas, el dispositivo se apaga mismo, por eso Usted debe volver a conectar el porte USB.
• Función de autodestrucción, Protección de intervención y cifrado de Hardware AES 128 a base de Chip
  El dispositivo se auto-destruye a sí mismo después de 7 verificaciones sin éxito y se apaga automáticamente (es decir, 7 * 3 pruebas frcasadas de autenticar los dedos). También, el chip tiene protección contra la intervención, es decir, cuando detecta un mal funcionamiento del protocolo de hardware o de intromisión se autodestruye inmediatamente. Así pues, para demontar el dispositivo necesita tener una docena de unidades de memoria flash para los experimentos.
• De verdad no necesita controladores (funciona en todas las plataformas por ejemplo, Linux, Mac OS X, All Microsoft Windows, Solaris, etc.)
  Ésa es la característica casi increíble del dispositivo. Cuando conecta BioSlimDisk al puerto USB, el dispositivo obtiene energía eléctrica y conecta el módulo de autenticación biométrica a nivel de hardware. Después de la autenticación exitosa de las huellas dactilares BioSlimDisk conecta la unidad USB flash con encriptación AES.
• Cifrado de datos hardware
  Todos los datos son cifrados/descifrados en tiempo real cuando trabaja con el token. La llave AES se genera después de que el Administrador configuró la unidad USB.

Las siguientes ilustraciones muestran: cómo funciona BioSlimDisk y cómo se diferencia de otras unidades de Seguridad USB flash con autenticación de huellas digitales:

La autenticación del dispositivo BioSlimDisk contiene 2 etapas:

En el dibujo:

1. Al conectar el dispositivo al porte USB el módulo de la autenticación biométrica está activado solamente a nivel de hardware. El dispositivo realiza la autenticación de las huellas digitales antes de pasar a la 2-da etapa.
2. El módulo de autenticación biométrica activa la unidad flash USB. La unidad aparece en el sistema como una unidad extraíble habitual.

Una cosa importante es que la autenticación procede dentro del dispositivo.

Vamos a estudiar el proceso de autenticación en otras unidades flash USB equipadas con sistema biométrico de control de acceso, aquellas que hemos probado antes: Apacer, Transcend JetFlash, TakeMS Scanline, Silicon Power:

En el dibujo hay 3 etapas:

1. Al conectar la unidad al porte USB, ella aparece en el sistema como el disco D:\ - CD-ROM con software para inscripción y autenticación. También Usted recibe el acceso al disco Y:\, ésta es la parte abierta del disco (el usuario define la parte abierta durante la configuración).
   Para obtener acceso a la parte secreta del disco X: \ el usuario lanza el programa de autenticación del disco D: \
2. El software de autenticación utiliza el escáner de huellas digitales situado en el dispositivo. El software (o la parte hardware) identifica las huellas digitales. También hay una contraseña de reserva en el caso que Usted no quiere utilizar la autenticación biométrica.
3. El software de autenticación o hardware (depiende del modelo) toma la decisión de conectar la parte secreta del disco X:\.

Según lo vemos, durante el proceso de autenticación pueden existar algunas vulnerabilidades dependiendo de la realización:

• Autenticación biométrica a nivel de software. Aquí es posible seguir los intentos de utilizar la unidad USB y revisar el protocolo de seguridad para encontrar vulnerabilidades de seguridad y errores, que pueden usarse para acceder al disco X:\ o para cambiar la configuraión interna del dispositivo.
• Es posible recuperar la contraseña de la copia de seguridad usando un ataque por fuerza bruta. Aquí no hay límite de intentos, y parece que el hardware no controla esto.

Después de esta comparación, vemos porque BioSlimDiskno requiere controladores, y es compatible con cualquier Sistema Operacional - él no usa ningun componente de software. El segundo momento muy importante es lo que la configuración interna de BioSlimDisk no puede ser cambiada de ninguna otra manera, sólo con la ayuda del interfaz  Authentication Module.

¿Cómo segura puede ser la Autenticación de Hardware?

Desde nuestra experiencia de trabajo con dispositivos biométricos, sabemos que no es posible utilizar las huellas digitales u otro material biométrico para generar la llave de cifrado AES y después usarlo en el proceso de cifrado. Parece que las llaves de cifrado se almacenan en alguna parte del chip BioSlimDisk. De esta manera, la autenticación hardware de BioSlimDisk compara simplemente el material biométrico para tomar decisión hasta el principio del proceso de descifrado con la ayuda de la llave almacenada AES. Esto no es un protocolo de seguridad perfecto.

Dependiendo de la implementación de hardware para acceder a la clave de hardware AES para un inginiero inteligente será bastante fácil. Entonces la unidad flash chip puede ser conectada a la placa simple de la unidad USB flash y descifrada con la ayuda de software. Pero en la generación nueva BioslimDisk utiliza un chip con protección de interferencia, con lo que la piratería informátia del chip es más difícil.

Aquí puede leer un relato interesante sobre el sistema de seguridad de nivel hardware de la 1-era generación BioSlimDisk y sobre otros dispositivos.

Administración de BioSlimDisk

BioSlimDisk es destinado para el Administrador y usuario regular. Tengo que volver a mencionar que el módulo de autenticación del dispositivo chequea la configuración y hace realizar los etapas necesarios de la configuración antes de que Usted empiece el uso del dispositivo.

Para poner en marcha BioSlimDisk en modo de Administrador hay que utilizar el conmutador, situado en la parte lateral del cuerpo de la unidad, según en la imagen (en la foto el conmutador está en modo de usuario):

BioSlimDisk tiene un conmutador en su cuerpo, él que controla el modo - usuario regular o Administrador (inscripción repetida). En modo de Administrador el dispositivo requiere el uso de la autenticación biométrica, y después permite volver a inscribir al usuario y administrador.

Uso habitual

En uso habitual, cuando Usted enchufa el dispositivo en el puerto USB, las luces LED muestran el estado del dispositivo.

Inidicador azul intermitente - el dispositivo espera la autenticación de los dedos:

Indicador verde aparecido por un instante - el dedo se ha autenticado con éxito, continue la autenticación con el segundo dedo:

Después de autenticar con éxito ambos dedos, las luces LED se van a apagar, y la letra de la unidad USB flash aparecerá en Windows o Mac OS X.

Usted tiene sólo 3 intentos para que la autenticación de cada dedo sea aceptada. Si Usted hace 7 intentos fallidos, volviendo a conectar el dispositivo BioSlimDisk, entonces el dispositivo puede ser bloqueado para siempre (en este caso todos los indicadores son intermitentes).

En las fotos Usted puede ver cómo coloco mi dedo -

• En cuanto estoy acostumbrado de conectar BioSlimDisk directamente al puerto USB de mi MacBook, entonces para mi es muy cómodo de colocar los dedos, así como se ve en las imágenes - a través del dispositivo sensor.
• Los fabricantes aconsejan utilizar el cable de extensión USB, qué ofrecen junto con BioSlimDisk, y colocar los dedos a lo largo del dispositivo sensor.
• A través de las pruebas, descubrí que Usted puede colocar sus dedos en ambas direcciones, y hasta mezclar estos dos métodos (a lo largo o a través).
• Es muy importante recordar qué dedos y cómo fueron inscritos durante la configuración. El escaner de huellas digitales utiliza la lógica simple y no gira en la memoria la imagen de la huella antes de la verificación

Para cerrar el acceso a la memoria de BioSlimDisk hay que desconectar el dispositivo. Por favor, note: incluso al volver a iniciar el equipo/suspención su PC o MAc el dispositivo puede quedarse autenticado/abierto.

Windows Seven presentó datos sobre la velocidad de transferencia de la información - 2-15 mb/seg.

Resumen:

Hemos encontrado BioSlimDisk como una unidad USB flash muy segura y cómoda. El principio de doble autenticación ayuda a los usuarios mantener un nivel alto de seguridad, por lo tanto sin dejar posibilidades a los malos chicos. El modo de Administrador hace que este dispositivo sea adecuado incluso para pequeñas corporaciones que necesitan dispositivos seguros portátiles con función de administración central para el almacenaje de datos.

A los usuarios habituales les va a gustar el nivel de seguridad del dispositivo portátil, ofrecido por BioSlimDisk, qué no requiere derechos de administrador para uso en equipos públicos. La función de administrador o usuario puede utilizarse repetidamente. Así que todos los miembros de la familia pueden utilizar este dispositivo.

La única autenticación de hardware hace la seguridad del dispositivo casi imposible de romper en software regular para los piratas informaticos. Sin embargo, dependiendo del módulo de autenticación de hardware puede haber alguna vulnerabilidad de chip.

Fotos

En el video se presenta como Usted puede trabajar con la partición secreta en un equipo sin derechos de administrador usando la solución gratis de cifrado portátil, Rohos Mini Drive, que por seguro protege sus datos portátiles en una unidad USB. La utilidad portátil Rohos Disk Browser le ofrece la oportunidad de trabajar con sus datos privados en USB en modo habitual en un PC (sea cibercafé u otro equipo donde no tiene derechos de administrador).

En el video verá:

• Abriendo la parte Cifrada de la unidad USB con la contraseña.
• Abriendo ficheros (con descifrado “en tiempo real”) con la aplicación asociada.
• Guardando ficheros con descifrado en tiempo real desde la aplicación.
• Reproduciendo archivos mp3.
• Ver todas las fotos desde una carpeta a tamaño reducido (usando el comando de Carpeta Virtual).
• Lanzar aplicaciones portátiles.

Con estas funciones Rohos Mini Drive es la herramienta más demandada para la seguridad de los datos portátiles, recomendada por muchos proveedores de blogs y revistas.