HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TOÀN THÔNG TIN

TIỂU LUẬN

Đề tài: Tìm hiểu chức năng 
BitLocker trên HĐH  Windows
Nhận xét của can bô h
́ ̣ ướng dẫn:.........................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................

Điểm chuyên cân:..................................................................................................................
̀
Điểm báo cáo:.......................................................................................................................

Xac nhân cua can bô h
́
̣
̉
́
̣ ướng dân
̃


Mục Lục

[2]


Lời Mở Đầu
Sự  phát triển và bùng nổ  công nghệ  thông tin hiện nay thực sự đã tạo nên một  
cuộc cách mạng trong việc học tập, nghiên cứu và làm việc và giải trí của hàng triệu 
người. Trước đây khi chưa có máy tính, máy in thì việc làm việc với bàn giấy đơn 
thuần, điện thoại đường dây cố định, máy điện tín là phổ biến hơn hết. Nhưng với sự 
phát triển thần kỳ  của ngành công nghệ  thông tin và máy tính điện tử  đã giúp cho  
hiệu quả công việc, trải nghiệm ngừơi dùng và công nghiệp giải trí số phát triển hơn  
bao giờ hết.
Lợi ích của ngành đem lại là không thể chối cãi, chúng ta có thể lướt web xem  
tin tức nghe nhạc xem phim, đồng thời cũng có thể gửi mail hay soạn thảo văn bản…  
Máy tính văn phòng, laptop cá nhân xuất hiện  ở khắp mọi nơi. Phục vụ từ mục đích  
của tổ chức, cá nhân, làm việc cho đến giải trí. 
Tuy nhiên, ngành công nghệ  thông tin cũng không chỉ  toàn những điều tốt đẹp. 
Thông tin, dữ liệu nhạy cảm hay thậm chí cơ mật của cơ quan tổ chức quan trọng có 
thể bị xâm nhập, đánh cắp bởi các tin tặc với mục đích xấu. Viêc bảo vệ tính cơ mật 
của thông tin là hết sức quan trọng và để  cho dữ  liệu thông tin trở  lên an toàn hơn  
người ta thường sử  dụng các kỹ  thuật mã hóa. Và bài báo cáo này sẽ  trình bày về 
Bitlocker drive encryption, một công cụ mã hóa thiết bị  lưu trữ dữ liệu mạnh mẽ do  
Microsoft phát triển.

[3]


Chương 1. Tổng Quan Về Mã Hóa Dữ Liệu

1.1. Khái niệm Mã hóa

Mã hóa là một phương pháp bảo vệ thông tin, bằng cách chuyển đổi thông tin từ 
dạng rõ sang dạng mã. Nó có thể  giúp bảo vệ  thông tin khỏi những kẻ  đánh cắp 
thông tin, dù có được thông tin cũng không thể hiểu được nội dung của nó.

1.2. Thuật toán Mã hóa
Thuật toán mã hóa là một thuật toán nhằm mã hóa thông tin, biến đổi thông tin  
từ dạng rõ sang dạng mờ, để ngăn cản việc đọc trộm nội dung của thông tin 
Thông thường các thuật toán sử  dụng một hoặc nhiều khóa để  mã hóa và giải 
mã (Ngoại trừ những thuật toán cổ điển). Có thể coi khóa này như một mật khẩu để 
có thể đọc được nội dung mã hóa. Người gửi sẽ dùng khóa mã hóa để  mã hóa thông  
tin sang dạng mờ, và người nhận sẽ sử dụng khóa giải mã để giải mã thông tin sang  
dạng rõ. Chỉ những người nào có khóa giải mã mới có thể đọc được nội dung.
Nhưng đôi khi "kẻ thứ ba" (Hacker) không có khóa giải mã vẫn có thể đọc được  
thông tin, bằng cách phá vỡ thuật toán. Và có một nguyên tắc là bất kì thuật toán mã 
hóa nào cũng đều có thể bị phá vỡ. Do đó không có bất kì thuật toán mã hóa nào được  
coi là an toàn mãi mãi. Độ an toàn của thuật toán được dựa vào nguyên tắc:
Nếu chi phí để giải mã một khối lượng thông tin lớn hơn giá trị của khối lượng thông  
tin đó thì thuật toán đó được tạm coi là an toàn. 
Nếu thời gian để phá vỡ  một thuật toán là quá lớn thì thuật toán được tạm coi là an 
toàn.

[4]


1.3. Phân loại các phương pháp Mã hóa
Có rất nhiều loại phương pháp mã hóa khác nhau đã ra đời. Mỗi loại có những 
ưu và nhược điểm riêng. Có thể  phân chia các phương pháp mã hóa thành 4 loại 
chính:
Mã hóa cổ điển
Mã hóa một chiều

Mã hóa đối xứng
Mã hóa bất đối xứng

1.3.1. Mã hóa cổ điển
Đây là phương pháp mã hóa đầu tiên và cố  xưa nhất, hiện nay rất ít được dùng 
đến so với các phương pháp khác. Ý tưởng của phương pháp này rất đơn giản, bên A  
mã hóa thông tin bằng thuật toán mã hóa cổ điển, và bên B giải mã thông tin, dựa vào  
thuật toán của bên A, mà không dùng đến bất kì khóa nào. Do đó, độ  an toàn của  
thuật toán sẽ chỉ dựa vào độ bí mật của thuật toán, vì chỉ cần ta biết được thuật toán  
mã hóa, ta sẽ có thể giải mã được thông tin.

1.3.2. Mã hóa một chiều
Đôi khi ta chỉ cần mã hóa thông tin chứ không cần giải mã thông tin, khi đó ta sẽ 
dùng đến phương pháp mã hóa một chiều (Chỉ có thể mã hóa chứ không thể giải mã). 
Thông thường phương pháp mã hóa một chiều sử dụng một hàm băm (hash function) 
để  biến một chuỗi thông tin thành một chuỗi hash có độ  dài nhất định. Ta không có 
bất kì cách nào để khôi phục (hay giải mã) chuỗi hash về lại chuỗi thông tin ban đầu.

Đặc điểm của hash function là khi thực hiên băm hai chuỗi dữ liệu như nhau, dù 
trong hoàn cảnh nào thì nó cũng cùng cho ra một chuỗi hash duy nhất có độ  dài nhất 
định và thường nhỏ hơn rất nhiều so với chuỗi gốc, và hai chuỗi thông tin bất kì dù  
khác nhau rất ít cũng sẽ  cho ra chuỗi hash khác nhau rất nhiều. Do đó hash function  
thường được sử dụng để kiểm tra tính toàn vẹn của dữ liệu. 

[5]


Ngoài ra có một ứng dụng mà có thể thường gặp, đó là để lưu giữ mật khẩu. Vì  
mật khẩu là một thứ  cực kì quan trọng, do đó không nên lưu mật khẩu của người  
dùng dưới dạng rõ, vì như vậy nếu bị kẻ thứ ba tấn công, lấy được CSDL thì có thể 

biết được mật khẩu của người dùng. Do đó, mật khẩu của người dùng nên được lưu 
dưới dạng chuỗi hash, và đối với máy chủ thì chuỗi hash đó chỉnh là “mật khẩu” đăng  
nhập. Dù kẻ đó có lấy được CSDL thì cũng không tài nào có thể giải mã được chuỗi  
hash để tìm ra mật khẩu của người dùng.
Thuật toán mã hóa một chiều (hàm băm) thường gặp nhất là MD5 và SHA.

1.3.3. Mã hóa đối xứng
Mã hóa đối xứng (Hay còn gọi là mã hóa khóa bí mật) là phương pháp mã hóa mà 
khóa mã hóa và khóa giải mã là như nhau (Sử dụng cùng một khóa bí mật để mã hóa  
và giải mã). Đây là phương pháp thông dụng nhất hiện nay dùng để  mã hóa dữ  liệu 
truyền nhận giữa hai bên. Vì chỉ cần có khóa bí mật là có thể giải mã được, nên bên 
gửi và bên nhận cần làm một cách nào đó để cùng thống nhất về khóa bí mật.
Để thực hiện mã hóa thông tin giữa hai bên thì:
Đầu tiên bên gửi và bên nhận bằng cách nào đó sẽ phải thóa thuận khóa bí mật được  
dùng để mã hóa và giải mã. Vì chỉ cần biết được khóa bí mật này thì bên thứ ba có thể giải  
mã được thông tin, nên thông tin này cần được bí mật truyền đi.
Sau đó bên gửi sẽ dùng một thuật toán mã hóa với khóa bí mật tương ứng để mã hóa 
dữ liệu sắp được truyền đi. Khi bên nhận nhận được sẽ dùng chính khóa bí mật đó để giải 
mã dữ liệu.
Vấn đề lớn nhất của phương pháp mã hóa đối xứng là làm sao để “thỏa thuận”  
khóa bí mật giữa bên gửi và bên nhận, vì nếu truyền khóa bí mật từ bên gửi sang bên  
nhận mà không dùng một phương pháp bảo vệ nào thì bên thứ ba cũng có thể dễ dàng 
lấy được khóa bí mật này.
Các thuật toán mã hóa đối xứng thường gặp: DES, AES…

[6]


1.3.4. Mã hóa bất đối xứng
Mã hóa bất đối xứng (Hay còn gọi là mã hóa khóa công khai) là phương pháp mã 

hóa mà khóa mã hóa (public key – khóa công khai) và khóa giải mã (private key – khóa  
bí mật) khác nhau. Nghĩa là khóa sử  dụng để mã hóa dữ  liệu sẽ  khác với khóa dùng  
để  giải mã dữ  liệu. Tất cả  mọi người đều có thể  biết được khóa công khai (kể  cả 
hacker), và có thể dùng khóa công khai này để mã hóa thông tin. Nhưng chỉ có người  
nhận mới nắm giữ  khóa bí mật, nên chỉ  có người nhận mới có thể  giải mã được  
thông tin.
Để thực hiện mã hóa bất đối xứng:
Bên nhận sẽ  tạo ra một gặp khóa (khóa công khai và khóa bí mật). Bên nhận sẽ  dữ 
lại khóa bí mật và truyền cho bên gửi khóa công khai. Vì khóa này là công khai nên có thể 
truyền tự do mà không cần bảo mật.
Bên gửi trước khi gửi dữ liệu sẽ mã hóa dữ liệu bằng thuật toán mã hóa bất đối xứng 
với khóa là khóa công khai từ bên nhận.
Bên nhận sẽ  giải mã dữ  liệu nhận được bằng thuật toán được sử  dụng  ở  bên gửi,  
với khóa giải mã là khóa bí mật.
Điểm yếu lớn nhất của mã hóa bất đối xứng là tốc độ  mã hóa và giải mã rất  
chậm so với mã hóa đối xứng, nếu dùng mã hóa bất đối xứng để  mã hóa dữ  liệu  
truyền – nhận giữa hai bên thì sẽ tốn rất nhiều chi phí.
Do đó,  ứng dụng chỉnh của mã hóa bất đối xứng là dùng để  bảo mật khóa bí 
mật cho mã hóa đối xứng: Ta sẽ dùng phương pháp mã hóa bất đối xứng để  truyền  
khóa bí mật của bên gửi cho bên nhận. Và hai bên sẽ  dùng khóa bí mật này để  trao 
đổi thông tin bằng phương pháp mã hóa đối xứng.
Thuật toán mã hóa bất đối xứng thường thấy: RSA.

[7]


Chương 2: Giới Thiệu BitLocker 
2.1. Lịch sử ra đời
BitLocker là một phần nằm trong dự án Next­Generation Secure Computing Base 
của Microsoft trong năm 2004. BitLocker được thiết kế  để bảo vệ  thông tin trên các  

thiết bị, đặc biệt là trong trường hợp thiết bị bị mất hoặc bị đánh cắp. Một tính năng  
khác của BitLocker là để  xác nhận tính toàn vẹn của khởi động và hệ  thống tập tin  
của Microsoft Windows.Khi sử  dụng kết hợp với một tương thích Trusted Platform 
Module (TPM), BitLocker có thể xác nhận tính toàn vẹn của khởi động và hệ  thống  
file trước khi giải mã dữ  liệu đã được bảo vệ, một xác nhận không thành công sẽ 
cấm truy cập vào hệ thống đã được bảo vệ. BitLocker được phát triển trong một thời  
gian ngắn trước khi Windows Vista được phát hành.

2.2. Các phiên bản Windows được tích hợp BitLocker
Ultimate và Enterprise của Windows Vista và Windows 7
Phiên bản Pro và Enterprise của Windows 8 và 8.1
      
Pro, Enterprise, và phiên bản Education của Windows 10
 
   
 Windows Server 2008    và sau đó 
Ban đầu, giao diện đồ họa BitLocker trong Windows Vista chỉ có thể mã hóa các phân  
vùng hệ  điều hành; có thể  mã hóa phân vùng khác thông qua các dòng lệnh. Bắt đầu với 
Windows Vista Service Pack 1 và Windows Server 2008, các phân vùng khác với phân vùng 
chứa hệ điều hành có thể được mã hóa bằng cách sử dụng công cụ đồ họa. 
Phiên bản mới nhất của BitLocker trên Windows 7 và Windows Server 2008 R2 bổ 
sung thêm khả  năng mã hóa  ổ  đĩa rời. Trên Windows XP hoặc Windows Vista, truy cập chỉ 
đọc vào các ổ  đĩa này có thể  đạt được thông qua một chương trình gọi là BitLocker To Go 
Reader, nếu hệ thống tệp tin được sử dụng là FAT16, FAT32 hay exFAT. 
BitLocker cũng tương thích với các trường hợp di động của phiên bản Windows 8  
Enterprise thông qua cài đặt Windows To Go. 
Microsoft eDrive là một kỹ thuật cho các thiết bị lưu trữ cho phép các thiết bị lưu trữ 
phù hợp để sử dụng mã hóa tích hợp của nó.

[8]



2.3. Hoạt động của BitLocker
BitLocker là một hệ thống mã hóa khối lượng ổ đĩa cứng. Nó có thể mã hóa một  
phần hoặc toàn bộ   ổ  đĩa cứng. Khi được kích hoạt, TPM và BitLocker có thể  đảm  
bảo sự  toàn vẹn cho chương trình khởi động đáng tin cậy (ví dụ  như  BIOS, Boot  
Sector,…) để ngặn chặn hầu hết các cuộc tấn công ẩn.
Để  BitLocker hoạt động, cần phải có ít nhất hai định dạng NTFS: Một định  
dạng cho hệ  điều hành (thường là  ổ  C) và một định dạng có kích thước tối thiểu 
100Mb để khởi động các hệ điều hành. BitLocker yêu cầu phân vùng hệ thống không 
được mã hóa, trên Windows Vista thì phân vùng này phải được gán một ký tự  ổ  đĩa,  
còn trên Windows 7 thì điều này là không cần thiết. Một công cụ  có tên là BitLocker  
Drive Preparation Tool có sẵn từ  Microsoft cho phép thu nhỏ  một phân vùng hiện có 
trên Windows Vista để nhường chỗ cho một phân vùng khởi động mới và chuyển giao  
tập tin Bootstrap cần thiết cho nó. Windows 7 tạo phân vùng khởi động thứ  cấp theo 
mặc định, ngay cả khi BitLocker không được sử dụng ban đầu.
Khi một phân vùng khởi động thay thế  đã được tạo ra, module TPM cần phải  
được khởi tạo ngay, sau đó các cơ chế  bảo vệ khóa mã hóa đĩa cần thiết như  TPM, 
mã PIN hoặc USB được cấu hình. Sau đó phân vùng được mã hóa như một công việc 
nền, một vài dữ liệu có thể mất một lượng đáng kể thời gian với một đĩa lớn và mỗi  
khu vực logic được đọc, được mã hóa và viết lại trở  lại vào đĩa.  Các khóa chỉ  được 
bảo vệ sau khi toàn bộ  khối lượng dữ  liệu đã được mã hóa, khi khối lượng dữ  liệu  
đó được coi là an toàn. BitLocker sử  dụng một trình điều khiển thiết bị  cấp thấp để 
mã hóa và giải mã tất cả  các hoạt động tập tin, làm cho tương tác với khối lượng 
được mã hóa trở nên trong suốt đối với các ứng dụng chạy trên nền tảng này.
Encrypting File System (EFS) có thể  được sử  dụng kết hợp với BitLocker để 
bảo vệ Nhân hệ  điều hành khi đang chạy. Bảo vệ các tập tin từ  trong các tiến trình 
và người sử  dụng hệ điều hành chỉ  có thể  được thực hiện bằng phần mềm mã hóa 
hoạt động trong Windows, chẳng hạn như EFS, BitLocker và EFS.
BitLocker   và   những   hệ   thống   mã   hóa   đĩa   khác   có   thể   bị   tấn   công   bởi   một 

Bootmanager giả mạo. Khi các bộ nạp khởi động độc hại lấy được những dữ liệu bí  
mật, nó có thể  giả  mã Volume Master Key (VMK) sau đó sẽ  cho phép truy cập để 
giải mã hoặc sửa đổi bất kỳ thông tin trên ổ đĩa cứng đã được mã hóa. Bằng cách cấu 
hình một TPM để  bảo vệ  chương trình khởi động tin cậy, bao gồm BIOS và Boot 
Sector. BitLocker có thể giảm thiểu nguy cơ này.

[9]


Chương 3. Hướng Dẫn Sử Dụng BitLocker
Có   nhiều   kiểu   mã   hóa   khác   nhau,   mã   hóa   hệ   thống   File   ­ Encrypting   File 
System (EFS) hoặc   sử   dụng BitLocker để   mã   hóa   dữ   liệu   (BitLocker   Drive  
Encryption)....Trong bài này sẽ hướng dẫn cách mã hóa dữ liệu trên Windows 10 bằng  
cách sử dụng BitLocker.

3.1. Kích hoạt mã hóa thiết bị với BiLocker
Bật BitLocker mã hóa ổ USB flash (ổ cứng trong máy cũng tương tự)
Bước 1: Vào Control Panel > System and Security > BitLocker Drive Encryption > 
mở ra bảng chứa các ổ cứng và ổ  USB trên máy > chọn ổ USB muốn mã hóa > Turn 
On BitLocker

Cách khác: vào My computer > chuột phải vào ổ USB muốn mã hóa > chọn Turn 
On BitLocker

[10]


Bước 2: Tích vào ô Use a password to unlock the driver rồi nhập mật khẩu vào 
2 ô Enter your password và Reenter your password. Sau đó nhấn nút Next.


[11]


[12]


Bước 3: Sao lưu khóa dự  phòng sử  dụng phòng khi quên mật khẩu. Có thể lưu 
vào bất kỳ nơi nào trong các lựa chọn:
Save to your Microsoft account: Lưu vào tài khoản Microsoft
Save to a file: Lưu vào máy tính
Print the recovery key: In ra giấy
Lưu xong thì nhấn nút Next để tiếp tục.

[13]


Bước 4: BitLocker sẽ  tự  động mã hóa khi thêm các tập tin mới vào  ổ  đĩa. Tuy 
nhiên, cần phải lựa chọn cách mã hóa đối với những tập tin đã có trên ổ đĩa.
Ở đây có 2 lựa chọn:
Encrypt used disk space only (faster and best for new PCs and drives): Chỉ mã hóa 
không gian lưu trữ trên ổ đĩa đã được sử dụng (Nhanh hơn).
Encrypt entire drive (slower but best for PCs and drives already in use): Mã hóa 
toàn bộ ổ đĩa (Chậm hơn).
Chọn xong, nhấn nút Next.

[14]


Bước 5: Ở bước này cũng có 2 lựa chọn: 
New encryption mode (best for fixed drives on this device): Nếu mã hóa  ổ  đĩa cố 

định trên máy tính thì chọn lựa chọn này.
Compatible mode (best for drives that can be moved from this device): Nếu mã hóa 
ổ đĩa rời có thể di chuyển sang thiết bị khác thì chọn lựa chọn này.
Chọn xong, nhấn nút Next để tiếp tục.

[15]


Bước 6: Nhấn nút Start encrypting.

Bước 7: BitLocker bắt đầu mã hóa  ổ  đĩa. Vẫn có thể  sử  dụng máy tính khi quá 
trình mã hóa diễn ra, nhưng sẽ làm cho quá trình mã hóa chậm hơn.

[16]


Bước 8: Thông báo mã hóa dữ liệu trên ổ đĩa thành công, nhấn nút Close để đóng 
thông báo này.

Sau khi mã hóa xong, thiết bị  sẽ  được khóa lại trong lần khởi động tiếp theo, 
cần mở khóa để sử dụng.
Biểu tượng thiết bị được khóa với BitLocker (như hình dưới là ổ G)

3.2. Hướng dẫn mở khóa
Bước   1:   Nhấn   chuột   phải   vào   ổ   đĩa   được  khóa   với  BitLocker chọn Unlock 
Driver…

[17]



Bước 2: Nhập mật khẩu rồi nhấn nút Unlock.

Lúc này thiết bị sẽ được mở khóa (như hình dưới là ổ G).

3.3. Hướng dẫn cách thay đổi mật khẩu
Bước 1: Mở khóa thiết bị với mật khẩu cũ.
Bước 2: Nhấn chuột phải vào ổ đĩa chọn Change BitLocker password.

[18]


Bước 3: Nhập mật khẩu cũ vào khung Old password và nhập mật khẩu mới vào 
2 khung New password và Confirm new password rồi nhấn nút Change password.

Bước 4: Sau khi xuất hiện dòng thông báo The password has been successfully 
changed là đã đổi mật khẩu thành công.

[19]


3.4. Hướng dẫn sử dụng khóa dự phòng khi quên mật khẩu
Bước 1: Nhấn chuột phải vào ổ đĩa chọn Unlock Drive…

Bước 2: Tại cửa sổ nhập mật khẩu, bạn nhấn vào dòng More options.

Bước 3: Tiếp tục nhấn vào dòng Enter recovery key.

[20]



Bước 4: Mở  key recovery (khóa dự  phòng) sao lưu lại khi đặt BitLocker, chép 
dãy mã khóa trong phần Recovery Key.

Bước 5: Dán dãy này vào khung mở khóa BitLocker rồi nhấn nút Unlock.

[21]


[22]


3.5. Mở trang quản lý BitLocker
Cách   1:  Nhấn   chuột   phải   lên   ổ   đĩa   được khóa   với   BitLocker (đã   mở   khóa) 
chọn Manage BitLocker.

Cách 2: Mở Control Panel > Chọn System and Security > Manage BitLocker > 
Giao diện quản lý BitLocker. Ở đây có thể Sao lưu khóa dự phòng, đổi mật khẩu, xóa  
mật khẩu, bật tự động mở khóa, tắt BitLocker.

[23]


[24]


3.6. Hướng dẫn bỏ khóa thiết bị (tắt BitLocker)
Bước 1: Vào trang quản lý BitLocker
Bước   2:   Nhấn   vào   dòng Turn   off   BitLocker trong   phần   ổ   đĩa   muốn tắt 
BitLocker. Xuất hiện cửa sổ xác nhận, nhấn nút Turn off BitLocker


Bước 3: Bắt đầu quá trình giải mã. Sau khi giải mã xong thì đồng nghĩa với việc  
khóa thiết bị sẽ được loại bỏ.

[25]