Recenzja IronKey Vault Privacy 80, czyli zewnętrznego dysku SSD z szyfrowaniem sprzętowym

Niewiele jest na rynku takich urządzeń, które umożliwiają nam szyfrowanie danych na nośniku bez udziału systemu operacyjnego i zasobów komputera. IronKey Vault Privacy 80 jest zatem niemałym ewenementem i choć owszem, Samsung T7 nadal istnieje, nie posiada on certyfikatu FIPS 197, który może być kluczowy z punktu widzenia prowadzenia biznesu i ochrony wrażliwych danych. A zatem czy warto sięgnąć po IronKey? Sprawdzamy!

IronKey to tak naprawdę Kingston, ponieważ gigant zakupił spółkę już w 2016 roku. Wracając jednak do samego urządzenia, omówmy pokrótce z czym w ogóle mamy do czynienia. IronKey Vault Privacy 80 to przenośny dysk SSD z interfejsem USB-C (3.2 Gen. 1), którego szyfrowanie odbywa się już na poziomie sprzętowym. A zatem zanim w ogóle podłączymy go do naszego systemu operacyjnego, musimy wpisać wcześniej ustawione hasło na samym dysku. Hasło wpisujemy przy pomocy dołączonego ekranu dotykowego, którego najlepiej jest używać rysikiem, ale o tym nieco później. Innymi słowy, dostęp do dysku jest chroniony sprzętowo i żadna osoba postronna, która hasła nie zna, nie otrzyma dostępu do jego zawartości. To największa zaleta tego sprzętu.

Od razu widać do kogo skierowany jest zatem ten produkt. Do tych, którzy chcą bezpiecznie przenosić wrażliwe dane. Do tych, którzy nie ufają chmurom, a tym bardziej zwykłym pendrive’om. Do tych, którzy obawiają się ataku typu low level, gdzie szyfrowanie odbywające się przy pomocy systemu operacyjnego i procesora może być kompletnie przez cyberprzestępce pominięte. Zastanowić się nad tym sprzętem powinni się przede wszystkim osoby zarządzające wrażliwymi danymi w przedsiębiorstwie. Przyjrzyjmy się zatem specyfikacji.

IronKey Vault Privacy 80 – specyfikacja:

• Pojemność: 480GB – 2 TB (testowany model to 480 GB)
• Interfejs: USB-C (USB 3.1 Gen.1)
• Odczyt/zapis: 250/250 MB/s
• Szyfrowanie: Tak, sprzętowe
• Algorytm: 256-bit XTS-AES, EAL5+ (CC EAL5+)
• Zgodność procesora: TAA
• Certyfikat: FIPS 197
• Rodzaj zabezpieczenia: Ekran dotykowy
• Zabezpieczenie: Hasło alfanumeryczne, randomizowana klawiatura
• Wymiary: 18,5 x 84,2 x 122,5 mm
• Waga: 284,9 g
• Gwarancja: 36 miesięcy
• Cena: ok. 1329 zł (w wersji 480 GB)

IronKey Vault Privacy 80 - opakowanie i pierwsze wrażenia

Dysk do redakcji trafił zapakowany w zwykłe, kartonowe pudełko. Całkiem ładne i porządnie wykonane. W środku znajdziemy materiałowe etui na dysk w czarno-niebieskim kolorze. W środku tego etui natomiast zauważymy sam dysk. Producent do urządzenia dorzuca dodatkowo dwa przewody o długości ok. 20 cm. - 1x USB-C do USB-C i 1x USB-C do USB-A. Podłączyć sprzęt można zatem właściwie do każdego komputera czy laptopa w firmie.

1.  
2.  
3.  

  Poprzedni   Następny

Dysk waży 284,9 g i przez większość czasu w dłoniach trzymamy po prostu metal. A właściwie niewielkiej grubości aluminiową, anodowaną na kolor niebieski blachę, która przykrywa plastikowy kadłubek, gdzie zainstalowane zostały wszystkie komponenty. Sam wyświetlacz nie został przykryty żadną ochronną, przede wszystkim szklaną powłoką, a jedynie plastikowym elementem i już przy pierwszym kontakcie z ostrzejszym, metalowym elementem może się porysować. Wokół samego wyświetlacza rozciąga się plastikowa ramka, choć po dokładnych oględzinach jest to po prostu część plastikowego kadłubka, o którym wspomnieliśmy nieco wcześniej.

Jakość wykonania stoi na wysokim poziomie. Przypomnijmy również, że jest to dysk SSD, który nie boryka się w takim stopniu z problemami przeciążeń podczas upadku, jak dysk twardy. To jednak tylko jedna spośród wielu zalet SSD, o których porozmawiamy sobie nieco później.

IronKey Vault Privacy 80 - Ekran i funkcje

Dysk podłączamy przy pomocy portu USB-C i tylko w taki sposób zaczyna działać. Nie znajdziemy zatem w środku żadnego akumulatora, za pomocą którego moglibyśmy zmieniać dane administratora lub użytkownika bez potrzeby podłączania urządzenia do źródła. Tak czy inaczej, podłączenie SSD automatycznie powoduje uruchomienie wyświetlacza. Pierwsza informacja, jaka rzuciła się nam w oczy to „Tap with precision” i to, że do użytkowania ekranu dotykowego Kingston zaleca używać rysika. Wcale się nie dziwimy, że producent rekomenduje w tym wypadku rysik, ponieważ dołączony ekran niezbyt precyzyjnie reaguje na dotyk, a więc również i my zalecamy takowy stosować. Już nie tylko ze względu na ekran, a ze względu na to, że jest po prostu dużo bardziej komfortowy.

1.  
2.  
3.  

  Poprzedni   Następny

Z pierwszego dostępnego menu, już po wpisaniu hasła, możemy wejść do systemu administratora (kliknięcie w ikonę zębatki). Z poziomu tego okna dostępnych jest wiele opcji konfiguracyjnych, za które producentowi należą się ogromne brawa. Możemy:

• zmienić aktualne hasło,
• przypisać nowego użytkownika (poza administratorem),
• uruchomić tryb „tylko do odczytu”,
• zmieniać naturę samego hasła (cyfry, litery lub alfanumeryczny),
• zmieniać długość hasła domyślnego (od 6 do 64 znaków),
• zmieniać liczbę prób wpisania hasła zanim dane na dysku ulegną zniszczeniu w celach ochrony przed atakami typu brute force (od 10 do 30),
• zdecydować, czy chcemy używać randomizowanego układu klawiatury (polecamy tego nie wyłączać ze względu na widoczne na ekranie odciski palców),
• zmieniać czas, po którym dysk automatycznie wejdzie w tryb chroniony,
• zmieniać natężenie podświetlenia wyświetlacza
• zmienić język (niestety brak języka polskiego, ale to większego znaczenia nie ma)

W ostatniej części menu administratora znajdziemy dodatkowo system kalibracji dotyku, wł/wył dźwięków dotyku oraz funkcję bezpiecznego czyszczenia dysku, która bardzo by się przydała, jeśli dysk miałby wbudowany jakiś akumulator. Tak czy owak, funkcja istnieje i korzystać można z niej bez udziału OS. Opcji jest jak widać całkiem sporo i cieszy fakt, że mamy tak naprawdę kontrolę nad wszystkim. Taki zestaw funkcji bezpieczeństwa zapewni szerokie możliwości konfiguracji. Dodatkowo, podczas wpisywania hasła możemy skorzystać z trybu niewidocznego (tryb domyślny) lub widocznego, co powinno pomóc, jeśli po raz któryś z rzędu pomyliliśmy się podczas wpisywania hasła.

Jeśli mielibyśmy pisać o wszystkich dostępnych tutaj opcjach konfiguracji, zabrakłoby nam po prostu czasu – jest ich tak dużo. Wyłączenie dźwięku na przykład powoduje, że nikt wokół nie usłyszy ile razy naciskamy ekran – nikt nie dowie się, ilu znakowe jest nasze hasło. Jeśli włączymy tryb „tylko do odczytu”, na dysku nie zostaną zapisane żadne dane po podłączeniu do OS. Jeśli dysk zostanie skradziony i jeśli nie jest znane włamywaczowi hasło, ten musi ograniczyć się do ustawionej przez nas liczby prób wpisywania hasła – pomyłka po ostatnim powoduje, że dane na dysku ulegną zniszczeniu. Hasło nie jest tylko ciągiem cyfr, ponieważ może składać się cyfr, liter, ciągu cyfr i liter lub nawet wyrazów, i liczb odseparowanych od siebie… spacją. Kombinacji stworzenia hasła jest tak wiele, że nawet przy relatywnie niedługim haśle, metoda brute force jest tutaj kompletnie nieskuteczna (nie wspominając już o 64-znakowych behemotach, których nie jest w stanie rozszyfrować nawet superkomputer w odpowiednim czasie). Metoda BadUSB również odpada, ponieważ dysk wyposażono w środki przed tym chroniące.

Wszystko tak naprawdę sprowadza się do właściwie nieograniczonej tutaj kontroli nad bezpieczeństwem. Chętnie widzielibyśmy jednak odseparowanie przestrzeni użytkowej dla użytkownika oraz administratora. Aktualnie jest tak, że użytkownik, który nie ma takich praw jak administrator, może widzieć pliki, które administrator ten wgrał na dysk. Oczywiście całość rozbija się przede wszystkim o to, by użytkownik nie miał dostępu do samego systemu dysku, a nie jego zawartości, ale warto było jednak o tym chociaż wspomnieć.

IronKey Vault Privacy 80 - Wnętrze, czyli oto, co siedzi w środku

Nie omieszkaliśmy sprawdzić, co siedzi w środku. Naprawdę niełatwo się dostać do wnętrza i choć dzieli nas od tego jedynie jedna śrubka umieszczona pod plombą gwarancyjną, piekło zaczyna się później, kiedy kombinujemy w jaki sposób całość została zmontowana. Obudowa jest bardzo solidnie wykonana i chroni wszystkie zainstalowane tam komponenty. Wspomnimy tutaj, że demontaż wiążę się z utratą gwarancji i należy uważać, by – pomimo tego, że w ogóle nie powinniśmy tego robić – podczas rozbiórki się nie pokaleczyć. Po zdemontowaniu przedniej osłony naszym oczom ukazuje się plastikowy kadłubek, do którego przykręcono cztery kolejne śrubki trzymające tylną, aluminiową osłonę.

1.  
2.  
3.  
4.  
5.  

  Poprzedni   Następny

Po jej zdemontowaniu ujrzymy właściwe komponenty, a dokładnie dysk SSD Kingston A400 (SA400S37/480G) w wersji 480 GB (w naszym przypadku). Jest to dysk bazujący na chipach TLC FH25608UCN1 i nie znajdziemy na jego pokładzie żadnego DRAM. Warto jednak tutaj wspomnieć, że producent nie dzieli się informacją odnośnie tego, jaki model SSD zainstalowano w środku. Dlatego też wspomniane wcześniej informacje należy traktować jako ciekawostkę. Warto też dodać, że producent udziela na cały sprzęt aż trzyletniej gwarancji.

IronKey Vault Privacy 80 - Wydajność ogólna

Rozpocząć tutaj należy od tego, że nie jest to najszybszy na rynku zewnętrzny dysk SSD. Nie tylko ze względu na to, że użyto tutaj Kingstona A400 czy tego, że zastosowano interfejs USB 3.1 Gen.1, ale też dlatego, że wąskim gardłem jest tutaj chip szyfrujący Arm Cortex-M4, który nie ma takiej mocy jak zainstalowany w naszej maszynie procesor. Tak czy inaczej, liczyć można maksymalnie na przesył danych rzędu 250 MB/s zapisu i odczytu, co powinno w zupełności wystarczyć w środowisku biznesowym, w urządzeniu, które ma być stosowane jako wirtualny skarbiec, chroniony zaawansowanym szyfrowaniem z poziomu sprzętu, a nie oprogramowania. Bezpieczeństwo jest tu zatem priorytetem, na co zwraca się w tym wypadku największą uwagę.

Sprawdziliśmy też jak zachowa się SSD podczas nieco bardziej wytężonej pracy. Zapełnienie pSLC powoduje, że już po 10 minutach zapisywania na dysk danych, prędkość zapisu maleje z ok. 250 MB/s do 70 MB/s, by po godzinie zapisywać dane z prędkością ok. 32 MB/s. Istotną rolę odgrywa tutaj throttling termiczny limitujący potencjał drzemiący w SSD. Na szczęście jest to scenariusz tak zwany „worst case”, bo w rzeczywistych warunkach sprzęt pracuje z maksymalną wydajnością. Sprzęt nieco gorzej spisze się zatem podczas zgrywania ogromnej ilości danych, a w szczególności ważących po kilka/kilkanaście gigabajtów klipów wideo.

IronKey Vault Privacy 80 spisze się natomiast w takim scenariuszu, który z perspektywy przedsiębiorcy jest najważniejszy – zapisywanie i odczytywanie wielu pojedynczych, małych plików, czyli wszelkiego rodzaju chronionych dokumentów, patentów, działań i obliczeń, prezentacji oraz katalogów, które nie mogą ujrzeć światła dziennego. W tym wypadku prędkości rzędu 250 MB/s w zupełności wystarczą do sprawnego, szybkiego i przede wszystkim bezpiecznego szyfrowania tychże plików. Wspomniana wcześniej technologia SSD w tym pomaga, bo pod względem prędkości odczytu i zapisu danych, jest znacznie wydajniejsza od standardowych – szyfrowanych lub nie – przenośnych dysków twardych HDD.

IronKey Vault Privacy 80 - Opinia

IronKey Vault Privacy 80 to nie jest dysk idealny. Nie można go jednak oceniać wyłącznie przez pryzmat ceny i wydajności, ponieważ to nie jest jego głównym założeniem. Głównym założeniem jest bezpieczeństwo, jakie zapewnia nam odcięcie się od szyfrowania przy pomocy oprogramowania. Wspomniany wcześniej procesor ARM Cortex-M4, który zajmuje się szyfrowaniem i stoi pomiędzy systemem operacyjnym, a samym magazynem danych może być nieoceniony w wielu przedsiębiorstwach, dla których ochrona danych wrażliwych, jakiekolwiek by one nie były, jest kluczowym elementem funkcjonowania całej przyjętej strategii biznesowej. Już z tego powodu, że mamy do czynienia z faktycznie bezpiecznym urządzeniem, na dodatek certyfikowanym FIPS 197, używającym zaawansowanego algorytmu XTS-AES 256 powinno zachęcić wszystkich, dla których taki produkt jest czymś istotnym w firmie.

Warto jednak zaznaczyć, że dysk nie należy do najszybszych i nie można go porównać do zwykłych przenośnych SSD, które nie są szyfrowane sprzętowo lub w ogóle. Tak czy owak, najwyższą prędkością na jaką można tutaj liczyć to 250 MB/s, a to właśnie ze względu na to, że w środku znajduje się wspomniany wcześniej chip szyfrujący, mostek SATA-USB oraz sam interfejs USB 3.1 Gen. 1 (5 Gbps).

W dzień pisania tej recenzji IronKey Vault Privacy 80 (w wersji 480 GB) można nabyć w cenie ok. 1329 zł. Pojemniejsze warianty są odpowiednio droższe i na przykład za 960 GB zapłacić musimy ok. 1629 zł, a za 1920 GB, 2329 zł. Oczywiście wszystko zależy od tego, jak pojemny tak naprawdę dysk potrzebujemy w firmie, ale wydaje się, że najbardziej opłacalna jest wersja 1920 GB. W małych i średnich przedsiębiorstwach każda wersja spisze się bardzo dobrze, bo zmianie ulega wyłącznie pojemność, a nie aspekt bezpieczeństwa.

A skoro przy spisywaniu i bezpieczeństwie już jesteśmy, IronKey Vault Privacy 80 to prawdziwy kombajn i to niezależnie od przytoczonych wcześniej wersji. Liczba dostępnych funkcji, jakie otrzymujemy jest wręcz ogromna i zarządzać możemy tak naprawdę każdym aspektem związanym z bezpieczeństwem i to już z poziomu wyświetlacza na dysku, który nie dość, że jest chroniony hasłem, to jeszcze nie jest w tym trybie podłączony do systemu operacyjnego – podłączony do komputera, ale nie do OS (tutaj musimy wyraźnie wskazać, że dysk ma się połączyć. Nie da się tego zrobić bez hasła). To stawia produkt w bardzo pozytywnym świetle jeśli chodzi o ogólnie przyjętą ochronę danych. Szczególnie istotną funkcją jest również praca w trybie „tylko do odczytu”, która chroni dysk przed zapisywaniem nań danych już po połączeniu z danym komputerem stacjonarnym czy laptopem. Nie jest zatem możliwe, by złośliwe oprogramowanie przedostało się na dysk bez naszej wiedzy.

Nie da się ukryć, że IronKey Vault Privacy 80 to bardzo niszowy produkt. Produkt, którego zechcą używać ci, dla których bezpieczeństwo odgrywa najważniejszą rolę. Ci, którym nie podoba się system w produktach Apricot Padlock z FIPS 140-2 i tym, którym nie pasuje, że w nieco droższym iStorage z FIPS 140-2 L3 nie znajdziemy omawianych w IK funkcji związanych z wyświetlaczem dotykowym. Z IronKey Vault Privacy 80 skorzystają zatem przedsiębiorcy stawiający na bardzo wysoki poziom bezpieczeństwa, którzy chcą, by dostęp do ich sprzętu był nie tylko odpowiednio strzeżony, ale również żeby samo urządzenie odznaczało się wysokimi możliwościami konfiguracyjnymi. Z tego też względu IronKey Vault Privacy 80 oceniamy na 4 gwiazdki.

IronKey Vault Privacy 80

IronKey Vault Privacy 80 - Opinia

IronKey Vault Privacy 80 - zalety:

• FIPS 197 z EAL5+ i zgodność z TAA
• Mnóstwo funkcji bezpieczeństwa dostępnych z poziomu panelu dotykowego, a nie OS
• Mnóstwo funkcji konfiguracyjnych przy korzystaniu z ekranu dotykowego, a nie OS
• Szyfrowanie sprzętowe XTS-AES 256-bit
• Ochrona przed atakami brute force i BadUSB
• Możliwość stworzenia wielu kont użytkownika, które dostępu do panelu administratora mieć nie mogą
• Randomizacja układu klawiatury uniemożliwia odgadnięcie hasła, nawet kiedy widzimy, gdzie znajduje się palec użytkownika wpisującego hasło

IronKey Vault Privacy 80 - wady:

• Prędkości zapisu i odczytu mogłyby być wyższe
• Zapełnienie bufora pSLC i throttling limitują potencjał prędkości
• Brak certyfikatu IPX
• Brak ochrony wyświetlacza
• Reakcja na dotyk mogłaby być lepsza (zalecamy stosować rysik)
• Brak akumulatora

Gwarancja: 36 miesięcy

Cena: 1329 zł za wersję 480 GB

Sprzęt do testów dostarczył: