Volgens velen is hardware-encryptie is de veiligste manier is om gevoelige of persoonlijke gegevens op te slaan, beter dan softwarematige encryptie. Uiteraard ondersteunt Kingston als een van de wereldleiders op het gebied van geheugenproducten voor de meest uiteenlopende sectoren (pc’s en big data tot IoT en cloud) deze stelling. De IronKey D500S USB-stick biedt robuuste beveiliging met FIPS 140-3 Level 3-certificering1, XTS-AES 256-bit encryptie en uitgebreide bescherming tegen aanvallen en fouten. De stick is gemaakt van een IP67-gecertificeerde zinklegering, beschikbaar in meerdere capaciteiten (8 GB tot 512 GB) en uitvoeringen (standaard en beheerd).
We zijn als GadgetGear.nl natuurlijk niet de partij die even een infrastructuur klaar hebben staan of op kunnen zetten waarmee wij kunnen testen hoe sterk de beveiliging nu werkelijk is versus onze capaciteiten dergelijke beveiliging aan te vallen. Wel kunnen we vertellen wat de stick precies is en hoe wij het gebruik ervoeren, plus wat tests rond transfersnelheden.
Sleutelpunten
- Sterke encryptie (XTS-AES 256-bit & FIPS 140-3 Level 3): Hoogste beveiligingsstandaard, geschikt voor overheid en bedrijven.
- Volledig veilige verwerking: Encryptie en decryptie gebeuren op de stick zelf, zonder sporen op het host-systeem.
- IP67 water/stofdicht, schokbestendig en met epoxy-afdichting tegen fysieke aanvallen.
- Geavanceerde malware- en brute force-bescherming, BadUSB-immuun en automatische wisfunctie na foutieve pogingen.
- Flexibele toegangsmethoden: ondersteuning voor meerdere wachtwoorden, passphrases en herstelopties.
- Compliance & audit: voldoet aan internationale regelgeving (GDPR, HIPAA, NIS2, etc.) en heeft een uniek serienummer voor beheer.
- Snelheid: USB 3.2 Gen 1 (5 Gbps)
- Dimensies: 79,5 × 20 × 10 mm
- Gewicht: 51 g, 49 g zonder ring, 42 g zonder dop
- Garantie: 5 jaar voor de standaardversie en 2 jaar voor de beheerde variant.
Uitpakken
De verpakking is compleet van papier. Informatie over de gebruikte inkt voor de grafische weergaven ontbreekt helaas.
We vinden in de verpakking de USB-stick met een metalen draadring/lanyard.
Ontwerp
De Kingston IronKey D500S is een USB 3.2-stick die volledig draait om gegevensbeveiliging. Het apparaat gebruikt XTS-AES 256-bit hardware-encryptie en is gevalideerd volgens de FIPS 140-3 Level 3-standaard. Dat betekent dat de beveiliging niet alleen op software steunt, maar dat er ook in de hardware maatregelen zijn getroffen tegen aanvallen, bijvoorbeeld door een beveiligde microprocessor; alle versleuteling en ontsleuteling gebeurt direct op de stick zelf, waardoor er geen sporen op het systeem achterblijven.
Er zijn op het moment niet veel opties die FIPS 140-3 Level 3-certificering en daarmee is het een van de meest doorslaggevende sellingpoints van de D500S. De alternatieven die hier wel over beschikken die we konden vinden zijn van een wat ander concept en beschikken ook niet over dezelfde certificeringen. Het is dus een beetje kiezen wat voor je het belangrijkst is in je professionele omgeving qua gebruik en de partners waar je mee werkt.
De behuizing is ontworpen voor een omgeving waar robuustheid en sabotagebestendigheid noodzakelijk zijn. Er is gekozen voor een zinklegering voor de casing welke ook IP67-gecertificeerd is. Hiermee is de stick bestand tegen water, stof, schokken en trillingen volgens normen die Kingston ‘military grade’ noemt. De interne componenten zijn extra beschermd met epoxy, zodat fysieke aanvallen of manipulatie vrijwel onmogelijk moeten zijn. Alles bij elkaar levert het een vrij zware en relatief grote flashdrive op die je waarschijnlijk niet zomaar aan je sleutelbos zal hangen.
De keus voor een losse dop is een twijfelachtige naar onze mening. We denken dat de nodige gebruikers deze al snel kwijt zullen raken. Misschien dat de zwarte kleur in dit opzicht ook minder handig is voor sommigen.
Je ziet op basis van de duidelijk vermelde gegevens op de stick dat er ook aandacht was voor naleving van regelgeving en controleerbaarheid. De D500S is geproduceerd binnen een vertrouwde, TAA-conforme toeleveringsketen (relevant voor de VS, gaat over dat een product in de VS geproduceerd of aanzienlijk bewerkt zijn; alleen TAA-conforme producten mogen via GSA-contracten (Government Services Administration) worden aangeschaft door federale agentschappen, Defensie, organisaties die met specifieke overheidsinstellingen werken, etc.) en beschikt over een uniek serienummer en barcode voor inventarisatie en auditing. Daarmee sluit het apparaat aan bij de eisen van onder meer GDPR, HIPAA, NIS2 en andere internationale beveiligingsstandaarden.
Qua toegangsbeheer ondersteunt de D500S meerdere wachtwoorden: een beheerderswachtwoord, een gebruikerswachtwoord en een eenmalig herstelwachtwoord. Daarbij kan gekozen worden voor een complex wachtwoord of een langere passphrase tot 128 tekens. Dat Kingston hier kiest voor een softwarematige oplossing voor wachtwoordinvoer heeft als voordeel dat je complexere wachtwoorden kan kiezen. Nadeel is dat het niet airgapped is (wat wel het geval is bij opties die toetsen op het apparaat zelf hebben), iets dat men tegen gaat door firmware-signing en de optie aan te bieden voor een randomized toetsenbord en keylogger-bescherking waarbij de toetsen wit worden tijdens het invoeren.
Voor extra bescherming tegen misbruik beschikt de stick over brute-force beveiliging: na een bepaald aantal foutieve pogingen wordt het geheugen volledig gewist. In noodsituaties kan dit ook handmatig met een Crypto-Erase wachtwoord.
Een opvallende functie is de mogelijkheid om verborgen partities aan te maken. Daarmee kan een beheerder aparte, niet-zichtbare opslagruimtes creëren die alleen toegankelijk zijn met de juiste rechten. Voor gebruik in onveilige omgevingen zijn er bovendien write-protect modi beschikbaar, waarmee de stick alleen-lezen wordt en besmetting met malware wordt voorkomen.
Nadat je je configuraties hebt gedaan, kan toegang tot configuraties verkregen worden via de taakbalk. Het design van dit menu is opvallend ‘2000’.
.
Prestaties
We beginnen met de synthetische benchmarks waarvoor we CrystalDisk Mark gebruiken en Atto.
Voor een 3.2 Gen1 (5 Gbps) stick zien we prima prestaties. Voor de goede orde, het zijn natuurlijk heel andere snelheden dan die je van een USB-SSD-kan verwachten.
HDTune
HDTune meet sequentiële leesprestaties over de hele schijf en geeft een gemiddelde snelheid weer. Anders dan Crystal Disk Mark dat synthetische benchmarks uitvoert met korte bursts van gegevens gebruikt HDTune een langzame, constante benadering waarbij de snelheid over de hele opslag wordt gemeten.
Zoals gebruikelijk zien we een verschil met de synthetische tests en zijn de scores lager. Dit moet echter een realistischer beeld geven van de prestaties bij dagelijks gebruik, zoals bestandsbeheer en langdurige lees- en schrijfoperaties. Feitelijk zien we typische snelheden voor flash-drives met deze specs zoals de Ironkey D500S, waar de snelheid wordt beperkt door de interne controller en het geheugentype, niet alleen door de USB-interface. Daarbij is het bij beveiligde USB-sticks zo dat de encryptie extra verwerkingskracht vereist wordt, al durven we niet te zeggen in hoeverre dat hier van invloed was.
.
Conclusie
De Kingston Ironkey D500S presteert conform wat te verwachten is van USB 3.2 Gen 1 flash drives. Hoewel we snellere opties hebben meegemaakt, denken we dat met deze prestaties niemand zal klagen. Focus is uiteraard met dit soort producten, hoe veilig je data is. De bouwkwaliteit is zeer hoogwaardig, de toegepaste beveiligingsconstructen zijn actueel en verreikend en de software is vrij makkelijk te gebruiken.
Hardwareversleutelde beveiligde USB-flashdrives zijn niet voor iedereen bedoeld. De prijsstelling (op het moment van schrijven rond de 200 euro (rond de 40 euro goedkoper in de VS) voor deze 64 GB-variant) maakt dit ook duidelijk. Toch moet gezegd worden dat de IronKey D500S met dergelijke specs zijn prijs waard is, aangezien een datalek door gebrek aan dergelijke beveiliging vele malen kostbaarder zal zijn.
Verder is duidelijk dat specifiek voor de VS de Kinston D500S een interessantere keus is door de lagere prijs en TAA-gecertificeerde supplychain. Voor derest van de wereld is het een wat lastiger verhaal. De D500S is niet de goedkoopste FIPS 140-3 Level 3-gecertificeerde USB-stick met zeer hoogwaardige rugged bouw die te krijgen is. Er zijn echter wel wat unieke eigenschappen die het kan overleggen zoals een 5 jaar garantie (voor de standaard-versie) en het feit dat er voor een virtuele toetsenbordoplossing gekozen is waarmee complexere wachtwoorden mogelijk zijn.
1 Edit 25/9/2025: in eerste instantie stond aangegeven dat de FIPS 140-3 Level 3-certificering in aanvraag was omdat dit zo aangegeven was volgens bepaalde bronnen. In werkelijkheid is de deze sinds 14 juni reeds gevalideerd.