blog data security upgrade fips 140 level

ทำไมต้องอัปเกรดมาใช้มาตรฐานการปกป้องข้อมูลเคลื่อนที่ระดับการใช้งานทางทหารอย่าง FIPS 140-3 Level 3

ก.ย. 2024
หน้าแรกของบล็อก

เมื่อเป็นเรื่องของการปกป้องและการเข้ารหัสข้อมูลแล้ว สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (National Institute of Standards and Measures, NIST) คือผู้ที่ขับเคลื่อนมาตรฐานที่ได้รับการยอมรับทั่วโลก NIST คือหน่วยงานของสหรัฐอเมริกาที่กำหนดมาตรฐาน Advanced Encryption Standard (AES) ซึ่งการเข้ารหัสแบบ AES 256-bit ในโหมด XTS ถือเป็นการเข้ารหัสเชิงพาณิชย์ที่ดีที่สุดในปัจจุบันสำหรับการปกป้องข้อมูล NIST เผยแพร่มาตรฐานสำหรับรัฐบาลและหน่วยงานทางทหารของสหรัฐอเมริกาที่เรียกว่า FIPS (Federal Information Processing Standard) เพื่อกำหนดและอนุมัติมาตรฐานการเข้ารหัสข้อมูล และมีการใช้มาตรฐานกลุ่ม FIPS 140 เพื่อกำหนดการรักษาความปลอดภัยในการเข้ารหัสเชิงซอฟต์แวร์และฮาร์ดแวร์

เหตุใดเราจึงควรเลือกใช้โซลูชันที่ผ่านตรวจสอบมาตรฐาน FIPS NIST อธิบายว่า NIST มองว่าการเข้ารหัสที่ไม่ผ่านการตรวจสอบไม่ได้ให้การปกป้องข้อมูลแต่อย่างใด หรือข้อมูลนั้นจะถือเป็นข้อความธรรมดาที่ไม่ได้รับการปกป้องแต่อย่างใด”

FIPS 140-2 ได้รับการอนุมัติในเดือนพฤษภาคม 2001 และมีผลบังคับมาแล้วกว่า 20 ปี ซึ่งในระหว่างนั้น คอมพิวเตอร์ได้พัฒนาและมีประสิทธิภาพมากขึ้นเป็นทวีคูณ แม้ว่า FIPS 140-2 จะยังคงถือว่าเป็นมาตรการรักษาความปลอดภัยที่มีความรัดกุมในระดับที่มีการใช้งานในทางทหาร แต่ต่อมา NIST ได้เผยแพร่มาตรฐาน FIPS 140-3 และอนุมัติมาตรฐานนี้ในเดือนกันยายน 2019 และเพื่อให้เป็นไปตามกฎระเบียบ NIST ได้จัดตั้งห้องปฏิบัติการที่ได้รับการรับรองเพื่อใช้ทำการตรวจสอบและทดสอบซอฟต์แวร์และไดรฟ์อย่างเข้มงวดให้กับอุตสาหกรรม โดยผลการทดสอบจะได้รับการตรวจทานจากนักวิทยาศาสตร์ของ NIST ก่อนจะมอบใบรับรองมาตรฐาน FIPS 140 อย่างเป็นทางการ

ไดรฟ์จัดเก็บข้อมูลที่ได้มาตรฐาน FIPS 140-3 วางจำหน่ายในท้องตลาดตั้งแต่ปี 2023 ดังนั้น หน่วยงานรัฐและองค์กรเอกชนควรจะเริ่มเปลี่ยนมาใช้ไดรฟ์ FIPS 140-3 เหตุผลเป็นเพราะไดรฟ์เหล่านี้ได้รับการเพิ่มประสิทธิภาพการปกป้อง โดยมาตรฐาน Level 3 เป็นมาตรฐานแนะนำที่มาพร้อมกับความสามารถในการป้องกันการแกะทำลาย ซึ่งจะตรวจจับการพยายามบุกรุกทางกายภาพที่มีการใช้อีพ็อกซีกับวงจร

FIPS 140-3 มีประสิทธิภาพเหนือกว่า FIPS 140-2

แผนผังสีน้ำเงินที่มีโลโก้ FIPS 140-3 Level 3 Pending วางซ้อนอยู่

FIPS 140-2 เป็นมาตรฐานที่กำหนดขึ้นในช่วงคริสต์ศตวรรษที่ 20 และผ่านการอนุมัติในปี 2001 ดังนั้นเมื่อเวลาผ่านมานานขนาดนี้ จึงมีความจำเป็นต้องกำหนดมาตรฐานใหม่สำหรับคริสต์ศตวรรษที่ 21 ขึ้นมา FIPS 140-3 จึงถือเป็นการอัปเดตมาตรฐานที่สืบทอดมาจากยุค 2020 โดยการอัปเดตครั้งใหม่ในอีกหนึ่งทศวรรษถัดจากนี้จะมาพร้อมกับคุณสมบัติการป้องกันที่แข็งแกร่งขึ้นเพื่อรับมือกับเทคโนโลยีควอนตัมคอมพิวเตอร์

การเข้ารหัสแบบ XTS-AES 256-bit ที่ใช้ในไดรฟ์จัดเก็บข้อมูลแบบเข้ารหัสเชิงฮาร์ดแวร์มีหลักการทำงานดังนี้ ผู้ใช้สร้างรหัสผ่านให้กับไดรฟ์อันใหม่หรือไดรฟ์ที่เพิ่งฟอร์แม็ต จากนั้นไมโครโปรเซสเซอร์ที่มีความปลอดภัยภายในไดรฟ์จะสร้างคีย์สำหรับเข้ารหัสเชิงฮาร์ดแวร์แบบ AES โดยใช้ระบบออกตัวเลขสุ่มตามมาตรฐานของ NIST และอัลกอริทึมที่ได้รับการอนุมัติมาแล้ว แต่หากระบบออกตัวเลขสุ่มไม่ได้ทำการสุ่มตัวเลขอย่างแท้จริงในทางคณิตศาสตร์ ก็จะกลายเป็นช่องโหว่ให้ซูเปอร์คอมพิวเตอร์นำไปใช้ประโยชน์และสร้างคีย์สำหรับเข้ารหัสนี้ขึ้นมาเองได้

มาตรฐาน FIPS 140-3 กำหนดให้ผู้ผลิตไมโครโปรเซสเซอร์ที่มีความปลอดภัยต้องเพิ่มประสิทธิภาพให้กับระบบออกตัวเลขสุ่มเพื่อยกระดับความสามารถในการเอนโทรปี (หรือการสุ่มตัวเลข) กล่าวได้ว่าการเพิ่มประสิทธิภาพการเข้ารหัสดังกล่าวเพียงอย่างเดียวก็สร้างผลลัพธ์ที่ยิ่งใหญ่ในทางคณิตศาสตร์ที่ช่วยให้การเข้ารหัสแบบ XTS-AES ยังคงรับมือกับการเจาะระบบคอมพิวเตอร์ได้เป็นเวลาหลายปี รวมทั้งมอบการปกป้องได้อย่างเพียงต่อการโจมตีโดยใช้เทคโนโลยีควอนตัมคอมพิวเตอร์ในระยะเวลาอันใกล้นี้

นอกจากนี้ยังมีการเพิ่มคุณสมบัติต่อไปนี้เข้ามาด้วย

  • ความยาวรหัส PIN หรือรหัสผ่านขั้นต่ำ: รหัสผ่านยาวขึ้นจากเดิม 7 อักขระมาเป็น 8 อักขระ เพื่อให้รหัสผ่านมีความรัดกุมมากขึ้นและป้องกันการโจมตีรหัสผ่านแบบอัตโนมัติได้มากขึ้น นอกจากนี้ ไดรฟ์ควรมีคุณสมบัติป้องกันการโจมตีรหัสผ่านแบบ Brute Force เพื่อให้ไดรฟ์ทำการลบข้อมูลแบบเข้ารหัสลับและหยุดการโจมตีดังกล่าวได้ตั้งแต่เนิ่น ๆ
  • ไม่มีรหัส PIN หรือรหัสผ่านที่ตั้งค่าจากโรงงาน: ผู้ใช้จะต้องตั้งรหัส PIN หรือรหัสผ่านด้วยตัวเองตอนที่ใช้ไดรฟ์ครั้งแรก
  • การทดสอบด้วยตนเองเป็นระยะ: ไดรฟ์แต่ละตัวต้องทำการทดสอบด้วยตนเองเพื่อจะได้มั่นใจว่าคุณสมบัติรักษาความปลอดภัยทั้งหมดยังทำงานได้ตามปกติ หากตรวจพบปัญหา ไดรฟ์จะต้องชัทดาวน์ทันที คุณสมบัตินี้จะตรวจจับความผิดปกติและการโจมตีที่อาจเกิดขึ้นกับวงจร ซึ่งแสดงให้เห็นเป็นการทำงานผิดปกติ
  • การชัทดาวน์อัตโนมัติเมื่อมีอุณหูมิความร้อนสูงและแรงดันไฟฟ้าสูง: หากไดรฟ์ทำงานเกินกว่าค่าที่กำหนดไว้ ไดรฟ์จะต้องชัทดาวน์ตัวเอง เพราะบางครั้งแฮกเกอร์จะใช้การโจมตีแบบ Side-channel Attack โดยอาศัยการเก็บและใช้ข้อมูลจากตัวระบบเพื่อที่จะใช้โจมตีภายหลัง ส่งผลให้ไดรฟ์มีอุณหภูมิและแรงดันไฟฟ้าสูงมาก ซึ่งการตอบสนองของคุณสมบัตินี้จะช่วยสกัดกั้นการโจมตีบางแบบได้

นี่เป็นเพียงการสรุปข้อมูลเกี่ยวกับมาตรฐาน FIPS 140-3 Level 3 อย่างสังเขปเท่านั้น เนื่องจากมาตรฐานนี้ยังประกอบด้วยคุณสมบัติด้านการปกป้องและการป้องกันอีกมากมาย ซึ่งบางส่วนออกแบบมาเพื่อการเข้ารหัสที่มีความซับซ้อน สำหรับมาตรฐาน FIPS 140 แบบใหม่นั้น ปกติแล้วผู้ผลิตต้องใช้เวลานานถึง 2 ปีกว่าจะออกแบบไมโครโปรเซสเซอร์ที่มีความปลอดภัย เพิ่มประสิทธิภาพให้กับเฟิร์มแวร์ของไดรฟ์และวิธีการประมวลผล Critical Security Parameters (CSP) ทำการทดสอบในห้องปฏิบัติการที่ผ่านการรับรองจาก NIST ซึ่งนอกเหนือจากการทดสอบทั่วไปแล้วยังอาจจะรวมถึงการตรวจทานซอร์สโค้ดด้วย แล้วจึงนำไดรฟ์ออกสู่ตลาดเป็นขั้นตอนสุดท้าย

ไดรฟ์อาจจะได้รับการรับรองว่ามีมาตรฐานระดับ FIPS 140-3 Level 3 (Pending) เพราะหลังจากผ่านการทดสอบในห้องปฏิบัติการแล้ว NIST ยังต้องใช้เวลาสูงสุดถึง 18 เดือนในการออกใบรับรองฉบับสมบูรณ์ ทั้งนี้เป็นเพราะมีการขอรับรองซอฟต์แวร์และฮาร์ดแวร์รอคิวอยู่อีกเป็นจำนวนมาก Kingston จะวางจำหน่ายไดรฟ์ของตนหลังจากผ่านการทดสอบในห้องปฏิบัติการแล้ว คุณสามารถดูการรับรองที่อยู่ระหว่างดำเนินการได้จากเว็บไซต์ NIST

สรุป

การปกป้องข้อมูลระดับการใช้งานทางทหารตามมาตรฐาน FIPS 140 Level 3 ที่ NIST กำหนด

ตลอดสองทศวรรษที่ผ่านมา FIPS 140-2 Level 3 เป็นมาตรฐานเชิงพาณิชย์ที่ดีที่สุดสำหรับไดรฟ์ USB และ SSD จัดเก็บข้อมูลแบบพกพา แต่ในทศวรรษถัดไป FIPS 140-3 Level 3 จะเป็นแนวทางที่ดีที่สุดในการปกป้องข้อมูลเคลื่อนที่ด้วยประสิทธิภาพสูงสุด

Kingston ลงทุนเม็ดเงินกว่าหลายแสนดอลลาร์สหรัฐมาตลอดหลายปีในการวิจัยและพัฒนา ก่อนจะนำไดรฟ์ IronKey FIPS 140-3 Level 3 แบบเข้ารหัสเชิงฮาร์ดแวร์ออกจำหน่ายสู่ตลาด ซึ่งไดรฟ์จัดเก็บข้อมูลเหล่านี้ออกแบบขึ้นมาโดยให้ความสำคัญกับการปกป้องข้อมูลเป็นอันดับแรก

Kingston จัดจำหน่ายผลิตภัณฑ์หลัก ๆ อย่างไดรฟ์ IronKey D500S USB รวมไปถึง Keypad 200 Series ทั้งแบบ USB-A และ USB-C ซึ่งล้วนแต่ผ่านการทดสอบมาตรฐาน FIPS 140-3 Level 3 และอยู่ระหว่างการรับรองขั้นสุดท้ายของ NIST

บริการนี้เป็นประโยชน์หรือไม่

วิดีโอที่เกี่ยวข้อง

Trisha กำลังถือแฟลชไดรฟ์ DT2000 USB 2:53

รายละเอียดแฟลชไดรฟ์ USB แบบเข้ารหัส

แฟลชไดรฟ์ USB เข้ารหัสช่วยดูแลข้อมูลของคุณให้ปลอดภัย แต่อุปกรณ์เหล่านี้ทำงานอย่างไร

Trisha กำลังถือ IKVP80ES ติดกับรูปโล่ หน้าจอพร้อมรหัสและรูปกุญแจ 5:38

วิธีที่ถูกต้องในการจัดเก็บและเข้าถึงไฟล์ของคุณอย่างปลอดภัย

สำหรับนักสร้างสรรค์ผลงานที่ต้องผลิตงานให้กับลูกค้ารายสำคัญ สื่อบันทึกข้อมูลแบบเข้ารหัสจะช่วยดูแลไฟล์ข้อมูลที่สำคัญเพื่อให้คุณสามารถจัดการมาตรการรักษาความปลอดภัยได้อย่างมั่นใจ

Trisha กำลังถือ SSD ยักษ์ขนาด 2.5" ข้างๆ M.2 SSD พร้อมไอคอนล็อกและ Windows 5:02

การเข้ารหัสฮาร์ดแวร์เทียบกับการเข้ารหัสซอฟต์แวร์

การเข้ารหัสซอฟต์แวร์และการเข้าฮาร์ดแวร์แตกต่างกันอย่างไร

บทความที่เกี่ยวข้อง