NỘI DUNG
Như đã hứa trong nội dung Trusted Platform Module – Nguyên lý hoạt động của Bitlocker, công cụ mã hóa dữ liệu ngon, bổ (và rẻ?), kỳ này tôi sẽ dẹp đám lý thuyết rối rắm và đi vào phần demo minh họa sinh động và đặc sắc. Dù nhân vật chính của câu chuyện hôm nay là BitLocker nhưng tôi thấy cũng cần bàn thêm một tí về Encrypted File System – EFS để làm rõ vấn đề. Ngoài ra, một đối tượng khác có mối quan hệ nhập nhằng với BitLocker là Device Encryption cũng sẽ được tôi giới thiệu.
Rồi, tôi vào việc ngay và luôn với thằng EFS.
#1. Encrypted File System – EFS là cái vẹo gì?
#1.1 EFS mần được việc gì?
Nói ngắn gọn, EFS là file encryption service, có thể xem là họ hàng với BitLocker. Thằng này cung cấp khả năng mã hóa file/folder nên:
- Rất ngon cho tình huống nhiều user dùng chung một máy và cần che chắn bảo vệ file/folder nhạy cảm;
- Không ngon nếu bạn chơi một mình một máy (sau khi bạn login vào hệ thống thành công, nó sẽ tự giải mã nên dùng EFS không có ý nghĩa lắm).
#1.2 Nguyên lý hoạt động của EFS
Trên Windows, EFS dùng Symmetric Encryption algorithm (cụ thể là File Encryption Key – FEK) trong quá trình mã hóa. Nguyên lý cơ bản được tóm lược như sau:
Nguồn: https://en.wikipedia.org/
Khi bạn mã hóa file/folder bằng FEK, FEK cũng sẽ được mã hóa bằng Public Key của user trước khi lưu vào header của file đã mã hóa. Nhờ cơ chế dựa trên Symmetric Encryption, tốc độ mã hóa của EFS sẽ nhanh hơn đáng kể so với dạng Asymmetric Encryption.
Lưu ý:
- Vấn đề Symmetric Encryption và Asymmetric Encryption tôi có bàn trong nội dung Giải ngố Cryptography – Phần 3: Đảm bảo Confidentiality với Encryption và Diffie-Hellman Key Exchange Protocol. Bạn có thể xem thêm nếu chưa rõ;
- User khác, nếu có được FEK của bạn, sẽ có thể giải mã đọc thông tin từ file/folder mà bạn đã mã hóa với EFS.
#1.3 EFS vs BitLocker
Nói cho nhanh gọn thì:
- EFS phù hợp để đánh lẻ với cấp file/folder, BitLocker phù hợp để đánh cả cụm là toàn bộ ổ đĩa (hoặc cả thiết bị, cái này tôi sẽ nói rõ hơn ở mục sau);
- Triển khai EFS nhanh hơn nhiều so với BitLocker vì nguyên lý làm việc của EFS dựa vào Symmetric Encryption như nói trên (còn một điều hiển nhiên nữa là phạm vi mã hóa của EFS là file/folder, nhỏ hơn đáng kể so với BitLocker);
- EFS không bảo mật tốt bằng BitLocker và tiềm ẩn các nguy cơ như tình huống rò rỉ thông tin từ các file tạm của hệ thống không được mã hóa (tất nhiên rồi, nếu bạn đã xem cơ chế hoạt động của thằng BitLocker trong kỳ trước thì điều này quá rõ).
#1.4 Vậy giờ sử dụng EFS như thế nào?
Việc sử dụng EFS khá đơn giản. Bạn chuột phải và mở Properties của file/folder (thực tế thì dùng folder là hợp lý hơn, trừ trường hợp bạn chỉ có đúng 1 file cần mã hóa) rồi chọn Advanced trước khi tick chọn Encrypt contents to secure data và OK.
Sau đó, bạn tick tùy chọn cho subfolders nếu cần.
Sau khi OK bạn sẽ thấy thông báo sao lưu encryption key từ system tray như sau:
Tiếp tục, bạn triển việc sao lưu ngay và luôn (để lâu quên là cũng có thể mệt đầu đấy)
Tiếp tục, bạn lựa chọn định dạng file để export (cái này có thời gian thì bạn cứ test thử các tùy chọn cho rõ).
Rồi đến đoạn quan trọng là chọn Password bảo vệ Private Key và Encryption algorithm (tôi minh họa với AES).
Lưu ý: AES là gì tôi có giới thiệu trong nội dung Giải ngố Cryptography – Phần 6: Symmetric Encryption và bí mật về sức mạnh của Advanced Encryption Standard (AES). SHA là gì thì tôi có đề cập trong nội dung Giải ngố Cryptography – Phần 2: Đảm bảo Integrity với Hashing Algorithm.
Tiếp tục, bạn chọn vị trí lưu file (nên đẩy ra chỗ nào an toàn chứ lưu kế bên file/folder được mã hóa thì như sh*t).
Đến đây là xong, bạn sẽ thấy thông báo nhiệm vụ hoàn thành:
Lúc này, bạn sẽ thấy xuất hiện cái ổ khóa kiểu như sau:
Vì bạn đang là user chính chủ nên sẽ mở được file này vô tư. Nếu ông user vớ vẩn nào khác (ví dụ guest) đăng nhập vào sẽ không thể đọc được nội dung đã mã hóa (nếu như không “lượm” được key mã hóa/ phục hồi của bạn). Để bỏ mã hóa, bạn chỉ việc chui vô chỗ Advance nói ở ban đầu để bỏ chọn Encrypt contents to secure data là xong.
#2. Giải pháp mã hóa với BitLocker
#2.1 Device Encryption vs Standard BitLocker Encryption
Trước khi xắn tay vô demo sử dụng BitLocker, tôi nghĩ cần làm rõ 2 khái niệm có liên quan là Device Encryption và Standard BitLocker Encryption (cái này hay được gọi ngắn gọn là BitLocker Encryption) trước.
Device Encryption được thiết kế để xử lý tự động và bạn sẽ cần sign in vào Microsoft account/ join domain (và một số yêu cầu phần cứng khác, bạn có thể kiểm tra theo cách tôi đề cập ngay bên dưới). Theo đó, Recovery Key cũng được thiết kế upload vô Onedrive account tương ứng hoặc quản lý theo domain.
Nhìn chung thằng Device Encryption này dùng để triển khai tự động và đồng bộ với quy mô nhiều user thì ngon nhưng nó sẽ không có độ linh hoạt như Standard BitLocker Encryption.
Lưu ý: Dù sẽ demo với Standard BitLocker Encryption nhưng tôi cũng giới thiệu sơ về Device Encryption, nếu bạn quan tâm thằng này thì có thể bơi vào Device encryption in Windows (microsoft.com) để đọc kỹ hơn.
Để kiểm tra có thể dùng Device Encryption được không, bạn có thể search nhanh System Information từ Search box trên taskbar của Windows 10 rồi chạy Run as administrator để kiểm tra Device Encryption Support ở dưới cùng. Nếu thấy Meets prerequisites thì bạn có thể sử dụng thằng này. Trường hợp nếu thấy báo fail vì lí do nào đó thì bạn có thể search theo thông báo lỗi để xử lý tiếp hoặc đổi phương án bay qua múc với Standard BitLocker Encryption cho nhanh gọn.
#2.2 Trước khi mã hóa ổ đĩa với BitLocker thì cần làm gì?
Trước khi cắm đầu vô các thao tác mã hóa với Standard BitLocker Encryption (sau đây tôi gọi là BitLocker cho nhanh), bạn cần kiểm tra lại mấy thứ sau (tôi có đề cập kỳ trước rồi, giờ nhắc lại kèm theo một số ý bổ sung cho rõ vì quá trình này có nhiều rủi ro):
- Bitlocker sẽ có trên Windows 10 Pro và Enterprise. Nếu bạn chạy Windows 10 Home thì xin chia buồn, bạn tắt nghỉ ở đây được rồi;
- Máy có Trusted Platform Module – TPM và đã kích hoạt (như kỳ trước tôi nói, bạn cũng có thể dùng dạng software TPM, tuy nhiên mức độ bảo mật sẽ kém hơn);
- Ổ cứng định dạng NTFS file system;
- Bảo đảm nguồn điện cho máy, nếu xài Desktop hoặc Laptop pin lởm thì nên thủ UPS đủ trâu (vì quá trình này có thể lâu đấy);
- Đã sao lưu toàn bộ dữ liệu cần thiết (tôi nhắc lại, quá trình này tiềm ẩn nhiều rủi ro nên cần chuẩn bị cho các tình huống thúi heo);
- Chuẩn bị phương án lưu Recovery Key (ví dụ USB).
Ngoài ra, để xác nhận TPM đã sẵn sàng chưa, bạn có thể gõ nhanh tpm.msc từ hộp thoại Run. Nếu thấy status The TPM is ready for use như sau là ngon ăn.
#2.3 Rồi giờ mã hóa ổ đĩa với BitLocker như thế nào?
Tương tự với Device Encryption, bạn có thể search nhanh Manage BitLocker từ Search box trên taskbar của Windows 10. Từ giao diện của Manage BitLocker, bạn sẽ có tùy chọn Turn on Bitlocker cho các ổ đĩa tương ứng.
Lưu ý:
- Bạn cần đăng nhập với user có quyền Administrator trước nhé;
- Ở đây tôi sẽ demo với ổ D nhưng bạn cũng có thể bật BitLocker cho ổ C (chứa Windows) hoặc E (USB). Nhìn chung nguyên lý thì giống nhau nhưng bạn cần nhớ ổ C chứa Windows nên sau khi mã hóa sẽ có thêm tùy chọn Suspending BitLocker tạm thời để bảo trì hoặc cập nhật hệ thống (hoặc chạy Suspending BitLocker trước khi bạn cập nhật BIOS để ngăn ngừa mất key lưu trong TPM).
Ngoài ra, bạn cũng có thể chơi phương án nhanh gọn là Turn on Bitlocker từ menu chuột phải trên ổ đĩa liên quan.
Sau khi Turn on Bitlocker, bạn sẽ cần chọn giải pháp unlock ổ đĩa. Giải pháp gọn nhẹ là password nhưng bạn cũng có thể dùng Smart card và PIN nếu muốn tăng độ bảo mật như tôi bàn trong kỳ trước.
Tiếp đó, bạn sẽ cần chọn phương án sao lưu Recovery Key. Ở đây có nhiều phương án cho bạn lựa chọn nhưng tôi demo kiểu lưu ra USB luôn cho gọn (nếu bạn cũng dùng cách này thì nhớ kiểm tra xem Recovery Key đã lưu ra USB chưa).
Bắt đầu vô nhiệm vụ chính, bạn sẽ cần chọn phương án mã hóa. Nếu máy/ổ đĩa mới bóc tem thì bạn có chọn phương án nhanh gọn là Encryp used disk…. Nếu máy/ổ đĩa đã bị bạn giày vò rồi thì nên dùng tùy chọn Encryp entire disk….
Tiếp đến là encryption mode. Nhìn chung, nếu bạn không có nhu cầu quay ngược thời gian về chơi với các bản OS cũ hơn thì cứ New encryption mode mà phang.
Đến đây là xong các tùy chọn. Bạn kiểm tra lại mọi thứ một lần cuối (đặc biệt là vấn nguồn điện, sao lưu dữ liệu, lưu trữ password và Recovery Key) trước khi nhấn Start encrypting.
Tùy thuộc vào dung lượng ổ đĩa, thời gian mã hóa sẽ khác nhau. Nhưng nói chung là bạn kiếm gì khác làm đi chứ đừng ngồi đực mặt ra đó mà chờ làm gì (nhìn màn hình Encrypting và “quay tay” trong lúc chờ đợi cũng có thể là một lựa chọn???).
Nếu mọi chuyện êm đẹp hết, bạn sẽ thấy kiểu như sau:
Bên chỗ Manage BitLocker bạn sẽ thấy kiểu như sau:
Lúc này, khởi động và đăng nhập lại bạn sẽ thấy xuất hiện một cái ổ khóa kèm theo cho biết BitLocker đã hoạt động và ổ đĩa đang bị khóa.
Để mở khóa ổ đĩa, bạn chọn Unlock drive và nhập password tương ứng hoặc chọn More options để mở với Recovery Key trong trường hợp não cá vàng quên pass.
Sau đó bạn chọn Enter recovery key.
Và nhập Recovery Key (đọc từ file đã lưu hoặc bản in tùy lựa chọn trước đó của bạn) hoặc chọn Load key from USB drive cho nhanh gọn.
Kết quả unlock sẽ kiểu như sau.
Nếu thích chơi command line thì bạn có thể gõ manage-bde -status
để xem cũng được.
Phù, đến đây là xong phần demo sử dụng BitLocker để mã hóa ổ đĩa rồi đấy. Ở đây còn 2 nội dung có liên quan khác là sử dụng BitLocker cho USB và triển khai BitLocker qua Group Policy Editor. Nếu có thể, tôi sẽ sắp xếp demo thêm sau vậy.