6 min Devices

Review: Kingston IronKey D500S – veilige USB-stick met sterk pantser

Review: Kingston IronKey D500S – veilige USB-stick met sterk pantser

Met de Ironkey D500S voorziet Kingston belangrijke data van de sterkste bescherming. De overzichtelijke software en uitgebreide features maken het eenvoudig om gegevens op deze USB-drive veilig te houden.

Veel bedrijven slaan belangrijke gegevens op in de cloud, ondanks dat dit lang niet altijd de veiligste optie is. Überhaupt is data delen via het internet riskant, aangezien aanvallers in een netwerk via sniffers credentials kunnen buitmaken. Om data handzaam te houden, komen USB-sticks van pas. Die zijn dan wel weer érg handzaam, waardoor diefstal een risico is. Data op dit medium veilig houden vereist hardwarematige security. Die is bij de Kingston D500S aanwezig, en wel op basis van XTS-AES 256-bit encryptie.

Zeer sterke encryptie

De combinatie IronKey met deze vorm van encryptie hebben we al eerder gezien. De IronKey Keypad 200 die we begin vorig jaar onder de loep namen, maakt er ook gebruik van. AES 256 geldt als een veilig en lastig te kraken versleuteling. Net als bij de Keypad 200 is de D500S voorzien van de FIPS 140-3-standaard gesteld door het Amerikaanse NIST (National Institute of Standards and Technology). Wederom betreft het de op één na hoogste standaard die de D500S gebruikt, zij het (nog) zonder het officiële predikaat.

Concreet houdt Level 3 in dat de USB-drive resistent is tegen externe manipulatie. Dat betekent dat het knoeiers ook echt weert en niet alleen bewijs achterlaat – zo heeft het door dat het met een ongewoon voltage of temperatuur te maken had. Als het dat niet heeft, moet een apparaat voorzien van Level 3-encryptie environmental failure testing (EFT) hebben ondergaan. Kortom: het zijn uitzonderlijk stringente eisen waar de D500S aan voldoet. Level 4 zou betekenen dat alle data ook direct verwijderd wordt als de tamper detection afgaat, maar dat is wat te veel gevraagd voor een USB-stick.

Het grote verschil ten opzichte van de Keypad 200 is in de naam en in één oogopslag te zien. Daar waar de Keypad 200 is voorzien van een toetsslot, vraagt de D500S via software om een wachtwoord.

Tip: Review: Kingston IronKey Keypad 200 USB-stick – veel veiliger wordt het niet

De fysieke behuizing is van zink gemaakt en is waterproof, stof-proof en resistent tegen vibratie en verdrukking. Interne componenten zijn gevuld met epoxy om schokken te absorberen.

Gebruiksgemak

De D500S is te koppelen via USB-poorten met ondersteuning voor USB 3.2 Gen 1 of USB 2.0. Zodra de gebruiker dat heeft gedaan, herkent de Windows-Verkenner het als een DVD-RW-drive met de naam IronKey Unlocker. Let wel: alleen Windows- en macOS-apparaten ondersteunen deze initialisatie. Dit is nodig om van de drive gebruik te maken. Met andere woorden: wie de D500S op Linux wil gebruiken, moet eerst een wachtwoord instellen op Windows of macOS. Vervolgens werkt de drive nagenoeg hetzelfde op elk platform.

De vooraf geïnstalleerde IronKey-app biedt de optie om een wachtwoord of passphrase in te vullen. Laatsgenoemde is een alternatief voor een wachtwoord met maximaal 128 karakters. Daarnaast is er de optie om een extra admin-wachtwoord of -passphrase te gebruiken via deze app zodra er een user credential gekozen is. Er is daardoor een hiërarchie in te bouwen waarbij enkel administrateurs de instellingen en gegevens mogen aanpassen, terwijl een gebruiker bijvoorbeeld read-only toegang heeft.

Schermafbeelding van een software-interface "apparaatinitialisatie - d500s" van ironkey, met velden voor het maken en bevestigen van een veilig wachtwoord met specifieke vereisten.

Een voordeel van de D500S is de controle over de keys. Deze is zeer uitvoerig: met een speciaal Crypto-Erase Password kunnen gebruikers zelfs kiezen voor de ‘nucleaire’ optie waarbij niet alleen alle data verwijderd wordt, maar alle sporen van eerder gebruik zelfs onzichtbaar zouden zijn. De USB-stick genereert daarbij gelijk ook geheel nieuwe private keys. Tien foute pogingen voor het user-wachtwoord laat de USB-stick blokkeren, terwijl tien verkeerde admin-inlogpogingen tot een ‘crypto erase‘ leidt. Met andere woorden: dan is alle data voorgoed verdwenen.

XTS-AES 256-bit encryptie houdt eveneens in dat er al verschillende keys aanwezig zijn. Deze hardwaregebaseerde oplossing creëert verschillende versleutelingen voor de initialization vector (IV) en de block-encryptie. Bruteforcen kan al niet omdat je maar tien pogingen krijgt, maar een anderszins onmogelijk te traceren wachtwoord zou al miljoenen jaren rekenkracht vereisen om correct te raden.

Extra dekking

Aangezien er niet zoals bij de Keypad 200 een fysiek slot aanwezig is, moet Kingston bij de D500S op een andere manier keyloggers of screenloggers vermijden. Die kwaadwillenden kijken namelijk mee met elke druk op het toetsenbord. Met behulp van de keylogger-bescherming kun je kiezen voor een virtueel toetsenbord. Als infiltranten met je muisbewegingen mee kunnen kijken, is dit niet genoeg. Er is daarom een ‘randomizer‘-optie, waardoor alle toetsen zich op totaal andere plekken bevinden dan op een normaal QWERTY-keyboard. Op die manier kun je als aanvaller niet aan de muisbewegingen zien wat het wachtwoord is.

Een inlogscherm dat wordt weergegeven op een digitaal apparaat met een virtueel toetsenbord geopend, inclusief opties voor opnieuw nemen en wisselen, en een veld 'gebruikerswachtwoord' dat wacht op invoer.

Beschikbaarheid

De D500S kent verschillende varianten: Managed en Standard. Eerstgenoemde is bedoeld voor enterprise of overheden om fleet management uit te voeren. Om die reden zijn ze (doorgaans) duurder dan de standaard variant.

CapaciteitLaagste prijs (standaard)Laagste prijs (managed)Read-/write-snelheid (3.2 Gen 1)
8GB114,55 euro69,00 euro260 MB/s – 190 MB/s
16GB130,69 euro194,92 euro260 MB/s – 190 MB/s
32GB168,01 euro237,85 euro260 MB/s – 190 MB/s
64GB192,77 euro303,50 euro260 MB/s – 190 MB/s
128GB228,25 euro399,45 euro260 MB/s – 190 MB/s
256GB389,00 euro546,40 euro240 MB/s – 170 MB/s
512GB450,00 euro652,46 euro310 MB/s – 250 MB/s

De combinatie van een sterke hardware-gebaseerde beveiliging en fysieke protectie maakt deze prijzen niet meer dan logisch. Andere partijen rekenen vergelijkbare prijzen en bieden ofwel dezelfde soort encryptie, of lopen nog achter. De keuze tussen de Keypad 200 en de D500S hangt naast de prijs vooral van de voorkeur af: het verschil in gebruiksgemak tussen een fysieke knop en het intoetsen van een wachtwoord via software is uiteindelijk subjectief. Afgezien daarvan is de D500S voorzien van een sterker schild dan de Keypad 200, hoewel ook laatstgenoemde een epoxy rondom de componenten heeft ter bescherming. De IronKey D500S biedt in ieder geval een goede balans tussen gemak en veiligheid, waardoor het voor allerlei organisaties geschikt is om gevoelige data op een veilige manier te delen.

Lees ook: Samsung T7 Shield review: externe SSD voor back-ups onderweg