HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TOÀN THÔNG TIN
TIỂU LUẬN
Đề tài: Tìm hiểu chức năng
BitLocker trên HĐH Windows
Nhận xét của can bô h
́ ̣ ướng dẫn:.........................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
Điểm chuyên cân:..................................................................................................................
̀
Điểm báo cáo:.......................................................................................................................
Xac nhân cua can bô h
́
̣
̉
́
̣ ướng dân
̃
Mục Lục
[2]
Lời Mở Đầu
Sự phát triển và bùng nổ công nghệ thông tin hiện nay thực sự đã tạo nên một
cuộc cách mạng trong việc học tập, nghiên cứu và làm việc và giải trí của hàng triệu
người. Trước đây khi chưa có máy tính, máy in thì việc làm việc với bàn giấy đơn
thuần, điện thoại đường dây cố định, máy điện tín là phổ biến hơn hết. Nhưng với sự
phát triển thần kỳ của ngành công nghệ thông tin và máy tính điện tử đã giúp cho
hiệu quả công việc, trải nghiệm ngừơi dùng và công nghiệp giải trí số phát triển hơn
bao giờ hết.
Lợi ích của ngành đem lại là không thể chối cãi, chúng ta có thể lướt web xem
tin tức nghe nhạc xem phim, đồng thời cũng có thể gửi mail hay soạn thảo văn bản…
Máy tính văn phòng, laptop cá nhân xuất hiện ở khắp mọi nơi. Phục vụ từ mục đích
của tổ chức, cá nhân, làm việc cho đến giải trí.
Tuy nhiên, ngành công nghệ thông tin cũng không chỉ toàn những điều tốt đẹp.
Thông tin, dữ liệu nhạy cảm hay thậm chí cơ mật của cơ quan tổ chức quan trọng có
thể bị xâm nhập, đánh cắp bởi các tin tặc với mục đích xấu. Viêc bảo vệ tính cơ mật
của thông tin là hết sức quan trọng và để cho dữ liệu thông tin trở lên an toàn hơn
người ta thường sử dụng các kỹ thuật mã hóa. Và bài báo cáo này sẽ trình bày về
Bitlocker drive encryption, một công cụ mã hóa thiết bị lưu trữ dữ liệu mạnh mẽ do
Microsoft phát triển.
[3]
Chương 1. Tổng Quan Về Mã Hóa Dữ Liệu
1.1. Khái niệm Mã hóa
Mã hóa là một phương pháp bảo vệ thông tin, bằng cách chuyển đổi thông tin từ
dạng rõ sang dạng mã. Nó có thể giúp bảo vệ thông tin khỏi những kẻ đánh cắp
thông tin, dù có được thông tin cũng không thể hiểu được nội dung của nó.
1.2. Thuật toán Mã hóa
Thuật toán mã hóa là một thuật toán nhằm mã hóa thông tin, biến đổi thông tin
từ dạng rõ sang dạng mờ, để ngăn cản việc đọc trộm nội dung của thông tin
Thông thường các thuật toán sử dụng một hoặc nhiều khóa để mã hóa và giải
mã (Ngoại trừ những thuật toán cổ điển). Có thể coi khóa này như một mật khẩu để
có thể đọc được nội dung mã hóa. Người gửi sẽ dùng khóa mã hóa để mã hóa thông
tin sang dạng mờ, và người nhận sẽ sử dụng khóa giải mã để giải mã thông tin sang
dạng rõ. Chỉ những người nào có khóa giải mã mới có thể đọc được nội dung.
Nhưng đôi khi "kẻ thứ ba" (Hacker) không có khóa giải mã vẫn có thể đọc được
thông tin, bằng cách phá vỡ thuật toán. Và có một nguyên tắc là bất kì thuật toán mã
hóa nào cũng đều có thể bị phá vỡ. Do đó không có bất kì thuật toán mã hóa nào được
coi là an toàn mãi mãi. Độ an toàn của thuật toán được dựa vào nguyên tắc:
Nếu chi phí để giải mã một khối lượng thông tin lớn hơn giá trị của khối lượng thông
tin đó thì thuật toán đó được tạm coi là an toàn.
Nếu thời gian để phá vỡ một thuật toán là quá lớn thì thuật toán được tạm coi là an
toàn.
[4]
1.3. Phân loại các phương pháp Mã hóa
Có rất nhiều loại phương pháp mã hóa khác nhau đã ra đời. Mỗi loại có những
ưu và nhược điểm riêng. Có thể phân chia các phương pháp mã hóa thành 4 loại
chính:
Mã hóa cổ điển
Mã hóa một chiều
Mã hóa đối xứng
Mã hóa bất đối xứng
1.3.1. Mã hóa cổ điển
Đây là phương pháp mã hóa đầu tiên và cố xưa nhất, hiện nay rất ít được dùng
đến so với các phương pháp khác. Ý tưởng của phương pháp này rất đơn giản, bên A
mã hóa thông tin bằng thuật toán mã hóa cổ điển, và bên B giải mã thông tin, dựa vào
thuật toán của bên A, mà không dùng đến bất kì khóa nào. Do đó, độ an toàn của
thuật toán sẽ chỉ dựa vào độ bí mật của thuật toán, vì chỉ cần ta biết được thuật toán
mã hóa, ta sẽ có thể giải mã được thông tin.
1.3.2. Mã hóa một chiều
Đôi khi ta chỉ cần mã hóa thông tin chứ không cần giải mã thông tin, khi đó ta sẽ
dùng đến phương pháp mã hóa một chiều (Chỉ có thể mã hóa chứ không thể giải mã).
Thông thường phương pháp mã hóa một chiều sử dụng một hàm băm (hash function)
để biến một chuỗi thông tin thành một chuỗi hash có độ dài nhất định. Ta không có
bất kì cách nào để khôi phục (hay giải mã) chuỗi hash về lại chuỗi thông tin ban đầu.
Đặc điểm của hash function là khi thực hiên băm hai chuỗi dữ liệu như nhau, dù
trong hoàn cảnh nào thì nó cũng cùng cho ra một chuỗi hash duy nhất có độ dài nhất
định và thường nhỏ hơn rất nhiều so với chuỗi gốc, và hai chuỗi thông tin bất kì dù
khác nhau rất ít cũng sẽ cho ra chuỗi hash khác nhau rất nhiều. Do đó hash function
thường được sử dụng để kiểm tra tính toàn vẹn của dữ liệu.
[5]
Ngoài ra có một ứng dụng mà có thể thường gặp, đó là để lưu giữ mật khẩu. Vì
mật khẩu là một thứ cực kì quan trọng, do đó không nên lưu mật khẩu của người
dùng dưới dạng rõ, vì như vậy nếu bị kẻ thứ ba tấn công, lấy được CSDL thì có thể
biết được mật khẩu của người dùng. Do đó, mật khẩu của người dùng nên được lưu
dưới dạng chuỗi hash, và đối với máy chủ thì chuỗi hash đó chỉnh là “mật khẩu” đăng
nhập. Dù kẻ đó có lấy được CSDL thì cũng không tài nào có thể giải mã được chuỗi
hash để tìm ra mật khẩu của người dùng.
Thuật toán mã hóa một chiều (hàm băm) thường gặp nhất là MD5 và SHA.
1.3.3. Mã hóa đối xứng
Mã hóa đối xứng (Hay còn gọi là mã hóa khóa bí mật) là phương pháp mã hóa mà
khóa mã hóa và khóa giải mã là như nhau (Sử dụng cùng một khóa bí mật để mã hóa
và giải mã). Đây là phương pháp thông dụng nhất hiện nay dùng để mã hóa dữ liệu
truyền nhận giữa hai bên. Vì chỉ cần có khóa bí mật là có thể giải mã được, nên bên
gửi và bên nhận cần làm một cách nào đó để cùng thống nhất về khóa bí mật.
Để thực hiện mã hóa thông tin giữa hai bên thì:
Đầu tiên bên gửi và bên nhận bằng cách nào đó sẽ phải thóa thuận khóa bí mật được
dùng để mã hóa và giải mã. Vì chỉ cần biết được khóa bí mật này thì bên thứ ba có thể giải
mã được thông tin, nên thông tin này cần được bí mật truyền đi.
Sau đó bên gửi sẽ dùng một thuật toán mã hóa với khóa bí mật tương ứng để mã hóa
dữ liệu sắp được truyền đi. Khi bên nhận nhận được sẽ dùng chính khóa bí mật đó để giải
mã dữ liệu.
Vấn đề lớn nhất của phương pháp mã hóa đối xứng là làm sao để “thỏa thuận”
khóa bí mật giữa bên gửi và bên nhận, vì nếu truyền khóa bí mật từ bên gửi sang bên
nhận mà không dùng một phương pháp bảo vệ nào thì bên thứ ba cũng có thể dễ dàng
lấy được khóa bí mật này.
Các thuật toán mã hóa đối xứng thường gặp: DES, AES…
[6]
1.3.4. Mã hóa bất đối xứng
Mã hóa bất đối xứng (Hay còn gọi là mã hóa khóa công khai) là phương pháp mã
hóa mà khóa mã hóa (public key – khóa công khai) và khóa giải mã (private key – khóa
bí mật) khác nhau. Nghĩa là khóa sử dụng để mã hóa dữ liệu sẽ khác với khóa dùng
để giải mã dữ liệu. Tất cả mọi người đều có thể biết được khóa công khai (kể cả
hacker), và có thể dùng khóa công khai này để mã hóa thông tin. Nhưng chỉ có người
nhận mới nắm giữ khóa bí mật, nên chỉ có người nhận mới có thể giải mã được
thông tin.
Để thực hiện mã hóa bất đối xứng:
Bên nhận sẽ tạo ra một gặp khóa (khóa công khai và khóa bí mật). Bên nhận sẽ dữ
lại khóa bí mật và truyền cho bên gửi khóa công khai. Vì khóa này là công khai nên có thể
truyền tự do mà không cần bảo mật.
Bên gửi trước khi gửi dữ liệu sẽ mã hóa dữ liệu bằng thuật toán mã hóa bất đối xứng
với khóa là khóa công khai từ bên nhận.
Bên nhận sẽ giải mã dữ liệu nhận được bằng thuật toán được sử dụng ở bên gửi,
với khóa giải mã là khóa bí mật.
Điểm yếu lớn nhất của mã hóa bất đối xứng là tốc độ mã hóa và giải mã rất
chậm so với mã hóa đối xứng, nếu dùng mã hóa bất đối xứng để mã hóa dữ liệu
truyền – nhận giữa hai bên thì sẽ tốn rất nhiều chi phí.
Do đó, ứng dụng chỉnh của mã hóa bất đối xứng là dùng để bảo mật khóa bí
mật cho mã hóa đối xứng: Ta sẽ dùng phương pháp mã hóa bất đối xứng để truyền
khóa bí mật của bên gửi cho bên nhận. Và hai bên sẽ dùng khóa bí mật này để trao
đổi thông tin bằng phương pháp mã hóa đối xứng.
Thuật toán mã hóa bất đối xứng thường thấy: RSA.
[7]
Chương 2: Giới Thiệu BitLocker
2.1. Lịch sử ra đời
BitLocker là một phần nằm trong dự án NextGeneration Secure Computing Base
của Microsoft trong năm 2004. BitLocker được thiết kế để bảo vệ thông tin trên các
thiết bị, đặc biệt là trong trường hợp thiết bị bị mất hoặc bị đánh cắp. Một tính năng
khác của BitLocker là để xác nhận tính toàn vẹn của khởi động và hệ thống tập tin
của Microsoft Windows.Khi sử dụng kết hợp với một tương thích Trusted Platform
Module (TPM), BitLocker có thể xác nhận tính toàn vẹn của khởi động và hệ thống
file trước khi giải mã dữ liệu đã được bảo vệ, một xác nhận không thành công sẽ
cấm truy cập vào hệ thống đã được bảo vệ. BitLocker được phát triển trong một thời
gian ngắn trước khi Windows Vista được phát hành.
2.2. Các phiên bản Windows được tích hợp BitLocker
Ultimate và Enterprise của Windows Vista và Windows 7
Phiên bản Pro và Enterprise của Windows 8 và 8.1
Pro, Enterprise, và phiên bản Education của Windows 10
Windows Server 2008 và sau đó
Ban đầu, giao diện đồ họa BitLocker trong Windows Vista chỉ có thể mã hóa các phân
vùng hệ điều hành; có thể mã hóa phân vùng khác thông qua các dòng lệnh. Bắt đầu với
Windows Vista Service Pack 1 và Windows Server 2008, các phân vùng khác với phân vùng
chứa hệ điều hành có thể được mã hóa bằng cách sử dụng công cụ đồ họa.
Phiên bản mới nhất của BitLocker trên Windows 7 và Windows Server 2008 R2 bổ
sung thêm khả năng mã hóa ổ đĩa rời. Trên Windows XP hoặc Windows Vista, truy cập chỉ
đọc vào các ổ đĩa này có thể đạt được thông qua một chương trình gọi là BitLocker To Go
Reader, nếu hệ thống tệp tin được sử dụng là FAT16, FAT32 hay exFAT.
BitLocker cũng tương thích với các trường hợp di động của phiên bản Windows 8
Enterprise thông qua cài đặt Windows To Go.
Microsoft eDrive là một kỹ thuật cho các thiết bị lưu trữ cho phép các thiết bị lưu trữ
phù hợp để sử dụng mã hóa tích hợp của nó.
[8]
2.3. Hoạt động của BitLocker
BitLocker là một hệ thống mã hóa khối lượng ổ đĩa cứng. Nó có thể mã hóa một
phần hoặc toàn bộ ổ đĩa cứng. Khi được kích hoạt, TPM và BitLocker có thể đảm
bảo sự toàn vẹn cho chương trình khởi động đáng tin cậy (ví dụ như BIOS, Boot
Sector,…) để ngặn chặn hầu hết các cuộc tấn công ẩn.
Để BitLocker hoạt động, cần phải có ít nhất hai định dạng NTFS: Một định
dạng cho hệ điều hành (thường là ổ C) và một định dạng có kích thước tối thiểu
100Mb để khởi động các hệ điều hành. BitLocker yêu cầu phân vùng hệ thống không
được mã hóa, trên Windows Vista thì phân vùng này phải được gán một ký tự ổ đĩa,
còn trên Windows 7 thì điều này là không cần thiết. Một công cụ có tên là BitLocker
Drive Preparation Tool có sẵn từ Microsoft cho phép thu nhỏ một phân vùng hiện có
trên Windows Vista để nhường chỗ cho một phân vùng khởi động mới và chuyển giao
tập tin Bootstrap cần thiết cho nó. Windows 7 tạo phân vùng khởi động thứ cấp theo
mặc định, ngay cả khi BitLocker không được sử dụng ban đầu.
Khi một phân vùng khởi động thay thế đã được tạo ra, module TPM cần phải
được khởi tạo ngay, sau đó các cơ chế bảo vệ khóa mã hóa đĩa cần thiết như TPM,
mã PIN hoặc USB được cấu hình. Sau đó phân vùng được mã hóa như một công việc
nền, một vài dữ liệu có thể mất một lượng đáng kể thời gian với một đĩa lớn và mỗi
khu vực logic được đọc, được mã hóa và viết lại trở lại vào đĩa. Các khóa chỉ được
bảo vệ sau khi toàn bộ khối lượng dữ liệu đã được mã hóa, khi khối lượng dữ liệu
đó được coi là an toàn. BitLocker sử dụng một trình điều khiển thiết bị cấp thấp để
mã hóa và giải mã tất cả các hoạt động tập tin, làm cho tương tác với khối lượng
được mã hóa trở nên trong suốt đối với các ứng dụng chạy trên nền tảng này.
Encrypting File System (EFS) có thể được sử dụng kết hợp với BitLocker để
bảo vệ Nhân hệ điều hành khi đang chạy. Bảo vệ các tập tin từ trong các tiến trình
và người sử dụng hệ điều hành chỉ có thể được thực hiện bằng phần mềm mã hóa
hoạt động trong Windows, chẳng hạn như EFS, BitLocker và EFS.
BitLocker và những hệ thống mã hóa đĩa khác có thể bị tấn công bởi một
Bootmanager giả mạo. Khi các bộ nạp khởi động độc hại lấy được những dữ liệu bí
mật, nó có thể giả mã Volume Master Key (VMK) sau đó sẽ cho phép truy cập để
giải mã hoặc sửa đổi bất kỳ thông tin trên ổ đĩa cứng đã được mã hóa. Bằng cách cấu
hình một TPM để bảo vệ chương trình khởi động tin cậy, bao gồm BIOS và Boot
Sector. BitLocker có thể giảm thiểu nguy cơ này.
[9]
Chương 3. Hướng Dẫn Sử Dụng BitLocker
Có nhiều kiểu mã hóa khác nhau, mã hóa hệ thống File Encrypting File
System (EFS) hoặc sử dụng BitLocker để mã hóa dữ liệu (BitLocker Drive
Encryption)....Trong bài này sẽ hướng dẫn cách mã hóa dữ liệu trên Windows 10 bằng
cách sử dụng BitLocker.
3.1. Kích hoạt mã hóa thiết bị với BiLocker
Bật BitLocker mã hóa ổ USB flash (ổ cứng trong máy cũng tương tự)
Bước 1: Vào Control Panel > System and Security > BitLocker Drive Encryption >
mở ra bảng chứa các ổ cứng và ổ USB trên máy > chọn ổ USB muốn mã hóa > Turn
On BitLocker
Cách khác: vào My computer > chuột phải vào ổ USB muốn mã hóa > chọn Turn
On BitLocker
[10]
Bước 2: Tích vào ô Use a password to unlock the driver rồi nhập mật khẩu vào
2 ô Enter your password và Reenter your password. Sau đó nhấn nút Next.
[11]
[12]
Bước 3: Sao lưu khóa dự phòng sử dụng phòng khi quên mật khẩu. Có thể lưu
vào bất kỳ nơi nào trong các lựa chọn:
Save to your Microsoft account: Lưu vào tài khoản Microsoft
Save to a file: Lưu vào máy tính
Print the recovery key: In ra giấy
Lưu xong thì nhấn nút Next để tiếp tục.
[13]
Bước 4: BitLocker sẽ tự động mã hóa khi thêm các tập tin mới vào ổ đĩa. Tuy
nhiên, cần phải lựa chọn cách mã hóa đối với những tập tin đã có trên ổ đĩa.
Ở đây có 2 lựa chọn:
Encrypt used disk space only (faster and best for new PCs and drives): Chỉ mã hóa
không gian lưu trữ trên ổ đĩa đã được sử dụng (Nhanh hơn).
Encrypt entire drive (slower but best for PCs and drives already in use): Mã hóa
toàn bộ ổ đĩa (Chậm hơn).
Chọn xong, nhấn nút Next.
[14]
Bước 5: Ở bước này cũng có 2 lựa chọn:
New encryption mode (best for fixed drives on this device): Nếu mã hóa ổ đĩa cố
định trên máy tính thì chọn lựa chọn này.
Compatible mode (best for drives that can be moved from this device): Nếu mã hóa
ổ đĩa rời có thể di chuyển sang thiết bị khác thì chọn lựa chọn này.
Chọn xong, nhấn nút Next để tiếp tục.
[15]
Bước 6: Nhấn nút Start encrypting.
Bước 7: BitLocker bắt đầu mã hóa ổ đĩa. Vẫn có thể sử dụng máy tính khi quá
trình mã hóa diễn ra, nhưng sẽ làm cho quá trình mã hóa chậm hơn.
[16]
Bước 8: Thông báo mã hóa dữ liệu trên ổ đĩa thành công, nhấn nút Close để đóng
thông báo này.
Sau khi mã hóa xong, thiết bị sẽ được khóa lại trong lần khởi động tiếp theo,
cần mở khóa để sử dụng.
Biểu tượng thiết bị được khóa với BitLocker (như hình dưới là ổ G)
3.2. Hướng dẫn mở khóa
Bước 1: Nhấn chuột phải vào ổ đĩa được khóa với BitLocker chọn Unlock
Driver…
[17]
Bước 2: Nhập mật khẩu rồi nhấn nút Unlock.
Lúc này thiết bị sẽ được mở khóa (như hình dưới là ổ G).
3.3. Hướng dẫn cách thay đổi mật khẩu
Bước 1: Mở khóa thiết bị với mật khẩu cũ.
Bước 2: Nhấn chuột phải vào ổ đĩa chọn Change BitLocker password.
[18]
Bước 3: Nhập mật khẩu cũ vào khung Old password và nhập mật khẩu mới vào
2 khung New password và Confirm new password rồi nhấn nút Change password.
Bước 4: Sau khi xuất hiện dòng thông báo The password has been successfully
changed là đã đổi mật khẩu thành công.
[19]
3.4. Hướng dẫn sử dụng khóa dự phòng khi quên mật khẩu
Bước 1: Nhấn chuột phải vào ổ đĩa chọn Unlock Drive…
Bước 2: Tại cửa sổ nhập mật khẩu, bạn nhấn vào dòng More options.
Bước 3: Tiếp tục nhấn vào dòng Enter recovery key.
[20]
Bước 4: Mở key recovery (khóa dự phòng) sao lưu lại khi đặt BitLocker, chép
dãy mã khóa trong phần Recovery Key.
Bước 5: Dán dãy này vào khung mở khóa BitLocker rồi nhấn nút Unlock.
[21]
[22]
3.5. Mở trang quản lý BitLocker
Cách 1: Nhấn chuột phải lên ổ đĩa được khóa với BitLocker (đã mở khóa)
chọn Manage BitLocker.
Cách 2: Mở Control Panel > Chọn System and Security > Manage BitLocker >
Giao diện quản lý BitLocker. Ở đây có thể Sao lưu khóa dự phòng, đổi mật khẩu, xóa
mật khẩu, bật tự động mở khóa, tắt BitLocker.
[23]
[24]
3.6. Hướng dẫn bỏ khóa thiết bị (tắt BitLocker)
Bước 1: Vào trang quản lý BitLocker
Bước 2: Nhấn vào dòng Turn off BitLocker trong phần ổ đĩa muốn tắt
BitLocker. Xuất hiện cửa sổ xác nhận, nhấn nút Turn off BitLocker
Bước 3: Bắt đầu quá trình giải mã. Sau khi giải mã xong thì đồng nghĩa với việc
khóa thiết bị sẽ được loại bỏ.
[25]