Tiểu luận: Tìm hiểu chức năng BitLocker trên HĐH Windows trình bày tổng quan về mã hóa dữ liệu, giới thiệu BitLocker, hướng dẫn sử dụng BitLocker. Hi vọng tài liệu sẽ giúp ích cho các bạn trong quá trình học tập cũng như nghiên cứu của mình. Để nắm vững nội dung chi tiết mời các bạn cùng tham khảo tài liệu.
HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN TIỂU LUẬN Đề tài: Tìm hiểu chức năng BitLocker trên HĐH Windows Nhận xét của can bơ h ́ ̣ ướng dẫn: Điểm chuyên cân: ̀ Điểm báo cáo: Xac nhân cua can bô h ́ ̣ ̉ ́ ̣ ướng dân ̃ Mục Lục [2] Lời Mở Đầu Sự phát triển và bùng nổ cơng nghệ thơng tin hiện nay thực sự đã tạo nên một cuộc cách mạng trong việc học tập, nghiên cứu và làm việc và giải trí của hàng triệu người. Trước đây khi chưa có máy tính, máy in thì việc làm việc với bàn giấy đơn thuần, điện thoại đường dây cố định, máy điện tín là phổ biến hơn hết. Nhưng với sự phát triển thần kỳ của ngành cơng nghệ thơng tin và máy tính điện tử đã giúp cho hiệu quả cơng việc, trải nghiệm ngừơi dùng và cơng nghiệp giải trí số phát triển hơn bao giờ hết Lợi ích của ngành đem lại là khơng thể chối cãi, chúng ta có thể lướt web xem tin tức nghe nhạc xem phim, đồng thời cũng có thể gửi mail hay soạn thảo văn bản… Máy tính văn phòng, laptop cá nhân xuất hiện ở khắp mọi nơi. Phục vụ từ mục đích của tổ chức, cá nhân, làm việc cho đến giải trí. Tuy nhiên, ngành cơng nghệ thơng tin cũng khơng chỉ tồn những điều tốt đẹp. Thơng tin, dữ liệu nhạy cảm hay thậm chí cơ mật của cơ quan tổ chức quan trọng có thể bị xâm nhập, đánh cắp bởi các tin tặc với mục đích xấu. Viêc bảo vệ tính cơ mật của thơng tin là hết sức quan trọng và để cho dữ liệu thơng tin trở lên an tồn hơn người ta thường sử dụng các kỹ thuật mã hóa. Và bài báo cáo này sẽ trình bày về Bitlocker drive encryption, một cơng cụ mã hóa thiết bị lưu trữ dữ liệu mạnh mẽ do Microsoft phát triển [3] Chương 1. Tổng Quan Về Mã Hóa Dữ Liệu 1.1. Khái niệm Mã hóa Mã hóa là một phương pháp bảo vệ thơng tin, bằng cách chuyển đổi thơng tin từ dạng rõ sang dạng mã. Nó có thể giúp bảo vệ thơng tin khỏi những kẻ đánh cắp thơng tin, dù có được thơng tin cũng khơng thể hiểu được nội dung của nó 1.2. Thuật tốn Mã hóa Thuật tốn mã hóa là một thuật tốn nhằm mã hóa thơng tin, biến đổi thơng tin từ dạng rõ sang dạng mờ, để ngăn cản việc đọc trộm nội dung của thơng tin Thơng thường các thuật tốn sử dụng một hoặc nhiều khóa để mã hóa và giải mã (Ngoại trừ những thuật tốn cổ điển). Có thể coi khóa này như một mật khẩu để có thể đọc được nội dung mã hóa. Người gửi sẽ dùng khóa mã hóa để mã hóa thơng tin sang dạng mờ, và người nhận sẽ sử dụng khóa giải mã để giải mã thơng tin sang dạng rõ. Chỉ những người nào có khóa giải mã mới có thể đọc được nội dung Nhưng đơi khi "kẻ thứ ba" (Hacker) khơng có khóa giải mã vẫn có thể đọc được thơng tin, bằng cách phá vỡ thuật tốn. Và có một ngun tắc là bất kì thuật tốn mã hóa nào cũng đều có thể bị phá vỡ. Do đó khơng có bất kì thuật tốn mã hóa nào được coi là an tồn mãi mãi. Độ an tồn của thuật tốn được dựa vào ngun tắc: Nếu chi phí để giải mã một khối lượng thơng tin lớn hơn giá trị của khối lượng thơng tin đó thì thuật tốn đó được tạm coi là an tồn. Nếu thời gian để phá vỡ một thuật tốn là q lớn thì thuật tốn được tạm coi là an tồn [4] 1.3. Phân loại các phương pháp Mã hóa Có rất nhiều loại phương pháp mã hóa khác nhau đã ra đời. Mỗi loại có những ưu và nhược điểm riêng. Có thể phân chia các phương pháp mã hóa thành 4 loại chính: Mã hóa cổ điển Mã hóa một chiều Mã hóa đối xứng Mã hóa bất đối xứng 1.3.1 Mã hóa cổ điển Đây là phương pháp mã hóa đầu tiên và cố xưa nhất, hiện nay rất ít được dùng đến so với các phương pháp khác. Ý tưởng của phương pháp này rất đơn giản, bên A mã hóa thơng tin bằng thuật tốn mã hóa cổ điển, và bên B giải mã thơng tin, dựa vào thuật tốn của bên A, mà khơng dùng đến bất kì khóa nào. Do đó, độ an tồn của thuật tốn sẽ chỉ dựa vào độ bí mật của thuật tốn, vì chỉ cần ta biết được thuật tốn mã hóa, ta sẽ có thể giải mã được thơng tin 1.3.2 Mã hóa một chiều Đơi khi ta chỉ cần mã hóa thơng tin chứ khơng cần giải mã thơng tin, khi đó ta sẽ dùng đến phương pháp mã hóa một chiều (Chỉ có thể mã hóa chứ khơng thể giải mã). Thơng thường phương pháp mã hóa một chiều sử dụng một hàm băm (hash function) để biến một chuỗi thơng tin thành một chuỗi hash có độ dài nhất định. Ta khơng có bất kì cách nào để khơi phục (hay giải mã) chuỗi hash về lại chuỗi thơng tin ban đầu Đặc điểm của hash function là khi thực hiên băm hai chuỗi dữ liệu như nhau, dù trong hồn cảnh nào thì nó cũng cùng cho ra một chuỗi hash duy nhất có độ dài nhất định và thường nhỏ hơn rất nhiều so với chuỗi gốc, và hai chuỗi thơng tin bất kì dù khác nhau rất ít cũng sẽ cho ra chuỗi hash khác nhau rất nhiều. Do đó hash function thường được sử dụng để kiểm tra tính tồn vẹn của dữ liệu. [5] Ngồi ra có một ứng dụng mà có thể thường gặp, đó là để lưu giữ mật khẩu. Vì mật khẩu là một thứ cực kì quan trọng, do đó khơng nên lưu mật khẩu của người dùng dưới dạng rõ, vì như vậy nếu bị kẻ thứ ba tấn cơng, lấy được CSDL thì có thể biết được mật khẩu của người dùng. Do đó, mật khẩu của người dùng nên được lưu dưới dạng chuỗi hash, và đối với máy chủ thì chuỗi hash đó chỉnh là “mật khẩu” đăng nhập. Dù kẻ đó có lấy được CSDL thì cũng khơng tài nào có thể giải mã được chuỗi hash để tìm ra mật khẩu của người dùng Thuật tốn mã hóa một chiều (hàm băm) thường gặp nhất là MD5 và SHA 1.3.3 Mã hóa đối xứng Mã hóa đối xứng (Hay còn gọi là mã hóa khóa bí mật) là phương pháp mã hóa mà khóa mã hóa và khóa giải mã là như nhau (Sử dụng cùng một khóa bí mật để mã hóa và giải mã). Đây là phương pháp thơng dụng nhất hiện nay dùng để mã hóa dữ liệu truyền nhận giữa hai bên. Vì chỉ cần có khóa bí mật là có thể giải mã được, nên bên gửi và bên nhận cần làm một cách nào đó để cùng thống nhất về khóa bí mật Để thực hiện mã hóa thơng tin giữa hai bên thì: Đầu tiên bên gửi và bên nhận bằng cách nào đó sẽ phải thóa thuận khóa bí mật được dùng để mã hóa và giải mã. Vì chỉ cần biết được khóa bí mật này thì bên thứ ba có thể giải mã được thơng tin, nên thơng tin này cần được bí mật truyền đi Sau đó bên gửi sẽ dùng một thuật tốn mã hóa với khóa bí mật tương ứng để mã hóa dữ liệu sắp được truyền đi. Khi bên nhận nhận được sẽ dùng chính khóa bí mật đó để giải mã dữ liệu Vấn đề lớn nhất của phương pháp mã hóa đối xứng là làm sao để “thỏa thuận” khóa bí mật giữa bên gửi và bên nhận, vì nếu truyền khóa bí mật từ bên gửi sang bên nhận mà khơng dùng một phương pháp bảo vệ nào thì bên thứ ba cũng có thể dễ dàng lấy được khóa bí mật này Các thuật tốn mã hóa đối xứng thường gặp: DES, AES… [6] 1.3.4 Mã hóa bất đối xứng Mã hóa bất đối xứng (Hay còn gọi là mã hóa khóa cơng khai) là phương pháp mã hóa mà khóa mã hóa (public key – khóa cơng khai) và khóa giải mã (private key – khóa bí mật) khác nhau. Nghĩa là khóa sử dụng để mã hóa dữ liệu sẽ khác với khóa dùng để giải mã dữ liệu. Tất cả mọi người đều có thể biết được khóa cơng khai (kể cả hacker), và có thể dùng khóa cơng khai này để mã hóa thơng tin. Nhưng chỉ có người nhận mới nắm giữ khóa bí mật, nên chỉ có người nhận mới có thể giải mã được thơng tin Để thực hiện mã hóa bất đối xứng: Bên nhận sẽ tạo ra một gặp khóa (khóa cơng khai và khóa bí mật). Bên nhận sẽ dữ lại khóa bí mật và truyền cho bên gửi khóa cơng khai. Vì khóa này là cơng khai nên có thể truyền tự do mà khơng cần bảo mật Bên gửi trước khi gửi dữ liệu sẽ mã hóa dữ liệu bằng thuật tốn mã hóa bất đối xứng với khóa là khóa cơng khai từ bên nhận Bên nhận sẽ giải mã dữ liệu nhận được bằng thuật tốn được sử dụng bên gửi, với khóa giải mã là khóa bí mật Điểm yếu lớn nhất của mã hóa bất đối xứng là tốc độ mã hóa và giải mã rất chậm so với mã hóa đối xứng, nếu dùng mã hóa bất đối xứng để mã hóa dữ liệu truyền – nhận giữa hai bên thì sẽ tốn rất nhiều chi phí Do đó, ứng dụng chỉnh của mã hóa bất đối xứng là dùng để bảo mật khóa bí mật cho mã hóa đối xứng: Ta sẽ dùng phương pháp mã hóa bất đối xứng để truyền khóa bí mật của bên gửi cho bên nhận. Và hai bên sẽ dùng khóa bí mật này để trao đổi thơng tin bằng phương pháp mã hóa đối xứng Thuật tốn mã hóa bất đối xứng thường thấy: RSA [7] Chương 2: Giới Thiệu BitLocker 2.1. Lịch sử ra đời BitLocker là một phần nằm trong dự án NextGeneration Secure Computing Base của Microsoft trong năm 2004. BitLocker được thiết kế để bảo vệ thơng tin trên các thiết bị, đặc biệt là trong trường hợp thiết bị bị mất hoặc bị đánh cắp. Một tính năng khác của BitLocker là để xác nhận tính tồn vẹn của khởi động và hệ thống tập tin của Microsoft Windows.Khi sử dụng kết hợp với một tương thích Trusted Platform Module (TPM), BitLocker có thể xác nhận tính tồn vẹn của khởi động và hệ thống file trước khi giải mã dữ liệu đã được bảo vệ, một xác nhận khơng thành cơng sẽ cấm truy cập vào hệ thống đã được bảo vệ. BitLocker được phát triển trong một thời gian ngắn trước khi Windows Vista được phát hành 2.2. Các phiên bản Windows được tích hợp BitLocker Ultimate và Enterprise của Windows Vista và Windows 7 Phiên bản Pro và Enterprise của Windows 8 và 8.1 Pro, Enterprise, và phiên bản Education của Windows 10 Windows Server 2008 và sau đó Ban đầu, giao diện đồ họa BitLocker trong Windows Vista chỉ có thể mã hóa các phân vùng hệ điều hành; có thể mã hóa phân vùng khác thơng qua các dòng lệnh. Bắt đầu với Windows Vista Service Pack 1 và Windows Server 2008, các phân vùng khác với phân vùng chứa hệ điều hành có thể được mã hóa bằng cách sử dụng cơng cụ đồ họa. Phiên bản mới nhất của BitLocker trên Windows 7 và Windows Server 2008 R2 bổ sung thêm khả năng mã hóa ổ đĩa rời. Trên Windows XP hoặc Windows Vista, truy cập chỉ đọc vào các ổ đĩa này có thể đạt được thơng qua một chương trình gọi là BitLocker To Go Reader, nếu hệ thống tệp tin được sử dụng là FAT16, FAT32 hay exFAT. BitLocker cũng tương thích với các trường hợp di động của phiên bản Windows 8 Enterprise thơng qua cài đặt Windows To Go. Microsoft eDrive là một kỹ thuật cho các thiết bị lưu trữ cho phép các thiết bị lưu trữ phù hợp để sử dụng mã hóa tích hợp của nó [8] 2.3. Hoạt động của BitLocker BitLocker là một hệ thống mã hóa khối lượng ổ đĩa cứng. Nó có thể mã hóa một phần hoặc tồn bộ ổ đĩa cứng. Khi được kích hoạt, TPM và BitLocker có thể đảm bảo sự tồn vẹn cho chương trình khởi động đáng tin cậy (ví dụ như BIOS, Boot Sector,…) để ngặn chặn hầu hết các cuộc tấn cơng ẩn Để BitLocker hoạt động, cần phải có ít nhất hai định dạng NTFS: Một định dạng cho hệ điều hành (thường là ổ C) và một định dạng có kích thước tối thiểu 100Mb để khởi động các hệ điều hành. BitLocker u cầu phân vùng hệ thống khơng được mã hóa, trên Windows Vista thì phân vùng này phải được gán một ký tự ổ đĩa, còn trên Windows 7 thì điều này là khơng cần thiết. Một cơng cụ có tên là BitLocker Drive Preparation Tool có sẵn từ Microsoft cho phép thu nhỏ một phân vùng hiện có trên Windows Vista để nhường chỗ cho một phân vùng khởi động mới và chuyển giao tập tin Bootstrap cần thiết cho nó. Windows 7 tạo phân vùng khởi động thứ cấp theo mặc định, ngay cả khi BitLocker khơng được sử dụng ban đầu Khi một phân vùng khởi động thay thế đã được tạo ra, module TPM cần phải được khởi tạo ngay, sau đó các cơ chế bảo vệ khóa mã hóa đĩa cần thiết như TPM, mã PIN hoặc USB được cấu hình. Sau đó phân vùng được mã hóa như một cơng việc nền, một vài dữ liệu có thể mất một lượng đáng kể thời gian với một đĩa lớn và mỗi khu vực logic được đọc, được mã hóa và viết lại trở lại vào đĩa Các khóa chỉ được bảo vệ sau khi tồn bộ khối lượng dữ liệu đã được mã hóa, khi khối lượng dữ liệu đó được coi là an tồn. BitLocker sử dụng một trình điều khiển thiết bị cấp thấp để mã hóa và giải mã tất cả các hoạt động tập tin, làm cho tương tác với khối lượng được mã hóa trở nên trong suốt đối với các ứng dụng chạy trên nền tảng này Encrypting File System (EFS) có thể được sử dụng kết hợp với BitLocker để bảo vệ Nhân hệ điều hành khi đang chạy. Bảo vệ các tập tin từ trong các tiến trình và người sử dụng hệ điều hành chỉ có thể được thực hiện bằng phần mềm mã hóa hoạt động trong Windows, chẳng hạn như EFS, BitLocker và EFS BitLocker hệ thống mã hóa đĩa khác có thể bị công một Bootmanager giả mạo. Khi các bộ nạp khởi động độc hại lấy được những dữ liệu bí mật, nó có thể giả mã Volume Master Key (VMK) sau đó sẽ cho phép truy cập để giải mã hoặc sửa đổi bất kỳ thơng tin trên ổ đĩa cứng đã được mã hóa. Bằng cách cấu hình một TPM để bảo vệ chương trình khởi động tin cậy, bao gồm BIOS và Boot Sector. BitLocker có thể giảm thiểu nguy cơ này [9] Chương 3. Hướng Dẫn Sử Dụng BitLocker Có nhiều kiểu mã hóa khác nhau, mã hóa hệ thống File Encrypting File System (EFS) hoặc sử dụng BitLocker để mã hóa liệu (BitLocker Drive Encryption) Trong bài này sẽ hướng dẫn cách mã hóa dữ liệu trên Windows 10 bằng cách sử dụng BitLocker 3.1. Kích hoạt mã hóa thiết bị với BiLocker Bật BitLocker mã hóa ổ USB flash (ổ cứng trong máy cũng tương tự) Bước 1: Vào Control Panel > System and Security > BitLocker Drive Encryption > mở ra bảng chứa các ổ cứng và ổ USB trên máy > chọn ổ USB muốn mã hóa > Turn On BitLocker Cách khác: vào My computer > chuột phải vào ổ USB muốn mã hóa > chọn Turn On BitLocker [10] Bước 3: Sao lưu khóa dự phòng sử dụng phòng khi qn mật khẩu. Có thể lưu vào bất kỳ nơi nào trong các lựa chọn: Save to your Microsoft account: Lưu vào tài khoản Microsoft Save to a file: Lưu vào máy tính Print the recovery key: In ra giấy Lưu xong thì nhấn nút Next để tiếp tục [13] Bước 4: BitLocker sẽ tự động mã hóa khi thêm các tập tin mới vào ổ đĩa. Tuy nhiên, cần phải lựa chọn cách mã hóa đối với những tập tin đã có trên ổ đĩa Ở đây có 2 lựa chọn: Encrypt used disk space only (faster and best for new PCs and drives): Chỉ mã hóa khơng gian lưu trữ trên ổ đĩa đã được sử dụng (Nhanh hơn) Encrypt entire drive (slower but best for PCs and drives already in use): Mã hóa tồn bộ ổ đĩa (Chậm hơn) Chọn xong, nhấn nút Next [14] Bước 5: Ở bước này cũng có 2 lựa chọn: New encryption mode (best for fixed drives on this device): Nếu mã hóa ổ đĩa cố định trên máy tính thì chọn lựa chọn này Compatible mode (best for drives that can be moved from this device): Nếu mã hóa ổ đĩa rời có thể di chuyển sang thiết bị khác thì chọn lựa chọn này Chọn xong, nhấn nút Next để tiếp tục [15] Bước 6: Nhấn nút Start encrypting Bước 7: BitLocker bắt đầu mã hóa ổ đĩa. Vẫn có thể sử dụng máy tính khi q trình mã hóa diễn ra, nhưng sẽ làm cho q trình mã hóa chậm hơn [16] Bước 8: Thơng báo mã hóa dữ liệu trên ổ đĩa thành cơng, nhấn nút Close để đóng thơng báo này Sau khi mã hóa xong, thiết bị sẽ được khóa lại trong lần khởi động tiếp theo, cần mở khóa để sử dụng Biểu tượng thiết bị được khóa với BitLocker (như hình dưới là ổ G) 3.2. Hướng dẫn mở khóa Bước 1: Nhấn chuột phải vào ổ đĩa được khóa với BitLocker chọn Unlock Driver… [17] Bước 2: Nhập mật khẩu rồi nhấn nút Unlock Lúc này thiết bị sẽ được mở khóa (như hình dưới là ổ G) 3.3. Hướng dẫn cách thay đổi mật khẩu Bước 1: Mở khóa thiết bị với mật khẩu cũ Bước 2: Nhấn chuột phải vào ổ đĩa chọn Change BitLocker password [18] Bước 3: Nhập mật khẩu cũ vào khung Old password và nhập mật khẩu mới vào 2 khung New password và Confirm new password rồi nhấn nút Change password Bước 4: Sau khi xuất hiện dòng thơng báo The password has been successfully changed là đã đổi mật khẩu thành cơng [19] 3.4. Hướng dẫn sử dụng khóa dự phòng khi qn mật khẩu Bước 1: Nhấn chuột phải vào ổ đĩa chọn Unlock Drive… Bước 2: Tại cửa sổ nhập mật khẩu, bạn nhấn vào dòng More options Bước 3: Tiếp tục nhấn vào dòng Enter recovery key [20] Bước 4: Mở key recovery (khóa dự phòng) sao lưu lại khi đặt BitLocker, chép dãy mã khóa trong phần Recovery Key Bước 5: Dán dãy này vào khung mở khóa BitLocker rồi nhấn nút Unlock [21] [22] 3.5. Mở trang quản lý BitLocker Cách 1: Nhấn chuột phải lên ổ đĩa được khóa với BitLocker (đã mở khóa) chọn Manage BitLocker Cách 2: Mở Control Panel > Chọn System and Security > Manage BitLocker > Giao diện quản lý BitLocker. Ở đây có thể Sao lưu khóa dự phòng, đổi mật khẩu, xóa mật khẩu, bật tự động mở khóa, tắt BitLocker [23] [24] 3.6. Hướng dẫn bỏ khóa thiết bị (tắt BitLocker) Bước 1: Vào trang quản lý BitLocker Bước 2: Nhấn vào dòng Turn off BitLocker trong phần ổ đĩa muốn tắt BitLocker. Xuất hiện cửa sổ xác nhận, nhấn nút Turn off BitLocker Bước 3: Bắt đầu q trình giải mã. Sau khi giải mã xong thì đồng nghĩa với việc khóa thiết bị sẽ được loại bỏ [25] [26] Tài Liệu Tham Khảo [1] Hướng dẫn cách khóa ổ đĩa khơng cần phần mềm với Bitlocker, http://thuthuattienich.com/thuthuatmaytinh/khoaodiavoibitlocker/ , 8/12/2015 [2] Hồng Tiến Đạt, Cơ bản về mã hóa, https://www.stdio.vn/articles/read/39/cobanvemahoa , 15/09/2014 [3] https://en.wikipedia.org/wiki/BitLocker , 24/11/2016 [27] ... chứa hệ điều hành có thể được mã hóa bằng cách sử dụng cơng cụ đồ họa. Phiên bản mới nhất của BitLocker trên Windows 7 và Windows Server 2008 R2 bổ sung thêm khả năng mã hóa ổ đĩa rời. Trên Windows XP hoặc Windows Vista, truy cập chỉ đọc vào các ổ... cấm truy cập vào hệ thống đã được bảo vệ. BitLocker được phát triển trong một thời gian ngắn trước khi Windows Vista được phát hành 2.2. Các phiên bản Windows được tích hợp BitLocker Ultimate và Enterprise của Windows Vista và Windows 7... C) và một định dạng có kích thước tối thiểu 100Mb để khởi động các hệ điều hành. BitLocker u cầu phân vùng hệ thống khơng được mã hóa, trên Windows Vista thì phân vùng này phải được gán một ký tự ổ đĩa, còn trên Windows 7 thì điều này là khơng cần thiết. Một cơng cụ