Tiểu luận Tìm hiểu chức năng BitLocker trên HĐH Windows

HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TOÀN THÔNG TIN TIỂU LUẬN Đề tài: Tìm hiểu chức năng BitLocker trên HĐH Windows Cán bộ hướng dẫn: Đỗ Quang Trung Sinh viên thực hiện: Lê Văn Triệu – AT10C Đặng Đức Anh – AT10C Nguyễn Hải Nam – AT10C Nguyễn Minh Chiến – AT10A Khóa: AT10 Hà Nội 11/2016 HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TOÀN THÔNG TIN TIỂU LUẬN Đề tài: Tìm hiểu chức năng BitLocker trên HĐH Windows Nhận xét của cán bộ hướng dẫn:......................................................................................... ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. Điểm chuyên cần:.................................................................................................................. Điểm báo cáo:....................................................................................................................... Xác nhận của cán bộ hướng dẫn Mục Lục Lời Mở Đầu Sự phát triển và bùng nổ công nghệ thông tin hiện nay thực sự đã tạo nên một cuộc cách mạng trong việc học tập, nghiên cứu và làm việc và giải trí của hàng triệu người. Trước đây khi chưa có máy tính, máy in thì việc làm việc với bàn giấy đơn thuần, điện thoại đường dây cố định, máy điện tín là phổ biến hơn hết. Nhưng với sự phát triển thần kỳ của ngành công nghệ thông tin và máy tính điện tử đã giúp cho hiệu quả công việc, trải nghiệm ngừơi dùng và công nghiệp giải trí số phát triển hơn bao giờ hết. Lợi ích của ngành đem lại là không thể chối cãi, chúng ta có thể lướt web xem tin tức nghe nhạc xem phim, đồng thời cũng có thể gửi mail hay soạn thảo văn bản Máy tính văn phòng, laptop cá nhân xuất hiện ở khắp mọi nơi. Phục vụ từ mục đích của tổ chức, cá nhân, làm việc cho đến giải trí. Tuy nhiên, ngành công nghệ thông tin cũng không chỉ toàn những điều tốt đẹp. Thông tin, dữ liệu nhạy cảm hay thậm chí cơ mật của cơ quan tổ chức quan trọng có thể bị xâm nhập, đánh cắp bởi các tin tặc với mục đích xấu. Viêc bảo vệ tính cơ mật của thông tin là hết sức quan trọng và để cho dữ liệu thông tin trở lên an toàn hơn người ta thường sử dụng các kỹ thuật mã hóa. Và bài báo cáo này sẽ trình bày về Bitlocker drive encryption, một công cụ mã hóa thiết bị lưu trữ dữ liệu mạnh mẽ do Microsoft phát triển. Chương 1. Tổng Quan Về Mã Hóa Dữ Liệu 1.1. Khái niệm Mã hóa Mã hóa là một phương pháp bảo vệ thông tin, bằng cách chuyển đổi thông tin từ dạng rõ sang dạng mã. Nó có thể giúp bảo vệ thông tin khỏi những kẻ đánh cắp thông tin, dù có được thông tin cũng không thể hiểu được nội dung của nó. 1.2. Thuật toán Mã hóa Thuật toán mã hóa là một thuật toán nhằm mã hóa thông tin, biến đổi thông tin từ dạng rõ sang dạng mờ, để ngăn cản việc đọc trộm nội dung của thông tin Thông thường các thuật toán sử dụng một hoặc nhiều khóa để mã hóa và giải mã (Ngoại trừ những thuật toán cổ điển). Có thể coi khóa này như một mật khẩu để có thể đọc được nội dung mã hóa. Người gửi sẽ dùng khóa mã hóa để mã hóa thông tin sang dạng mờ, và người nhận sẽ sử dụng khóa giải mã để giải mã thông tin sang dạng rõ. Chỉ những người nào có khóa giải mã mới có thể đọc được nội dung. Nhưng đôi khi "kẻ thứ ba" (Hacker) không có khóa giải mã vẫn có thể đọc được thông tin, bằng cách phá vỡ thuật toán. Và có một nguyên tắc là bất kì thuật toán mã hóa nào cũng đều có thể bị phá vỡ. Do đó không có bất kì thuật toán mã hóa nào được coi là an toàn mãi mãi. Độ an toàn của thuật toán được dựa vào nguyên tắc: Nếu chi phí để giải mã một khối lượng thông tin lớn hơn giá trị của khối lượng thông tin đó thì thuật toán đó được tạm coi là an toàn. Nếu thời gian để phá vỡ một thuật toán là quá lớn thì thuật toán được tạm coi là an toàn. 1.3. Phân loại các phương pháp Mã hóa Có rất nhiều loại phương pháp mã hóa khác nhau đã ra đời. Mỗi loại có những ưu và nhược điểm riêng. Có thể phân chia các phương pháp mã hóa thành 4 loại chính: Mã hóa cổ điển Mã hóa một chiều Mã hóa đối xứng Mã hóa bất đối xứng Mã hóa cổ điển Đây là phương pháp mã hóa đầu tiên và cố xưa nhất, hiện nay rất ít được dùng đến so với các phương pháp khác. Ý tưởng của phương pháp này rất đơn giản, bên A mã hóa thông tin bằng thuật toán mã hóa cổ điển, và bên B giải mã thông tin, dựa vào thuật toán của bên A, mà không dùng đến bất kì khóa nào. Do đó, độ an toàn của thuật toán sẽ chỉ dựa vào độ bí mật của thuật toán, vì chỉ cần ta biết được thuật toán mã hóa, ta sẽ có thể giải mã được thông tin. Mã hóa một chiều Đôi khi ta chỉ cần mã hóa thông tin chứ không cần giải mã thông tin, khi đó ta sẽ dùng đến phương pháp mã hóa một chiều (Chỉ có thể mã hóa chứ không thể giải mã). Thông thường phương pháp mã hóa một chiều sử dụng một hàm băm (hash function) để biến một chuỗi thông tin thành một chuỗi hash có độ dài nhất định. Ta không có bất kì cách nào để khôi phục (hay giải mã) chuỗi hash về lại chuỗi thông tin ban đầu. Đặc điểm của hash function là khi thực hiên băm hai chuỗi dữ liệu như nhau, dù trong hoàn cảnh nào thì nó cũng cùng cho ra một chuỗi hash duy nhất có độ dài nhất định và thường nhỏ hơn rất nhiều so với chuỗi gốc, và hai chuỗi thông tin bất kì dù khác nhau rất ít cũng sẽ cho ra chuỗi hash khác nhau rất nhiều. Do đó hash function thường được sử dụng để kiểm tra tính toàn vẹn của dữ liệu.  Ngoài ra có một ứng dụng mà có thể thường gặp, đó là để lưu giữ mật khẩu. Vì mật khẩu là một thứ cực kì quan trọng, do đó không nên lưu mật khẩu của người dùng dưới dạng rõ, vì như vậy nếu bị kẻ thứ ba tấn công, lấy được CSDL thì có thể biết được mật khẩu của người dùng. Do đó, mật khẩu của người dùng nên được lưu dưới dạng chuỗi hash, và đối với máy chủ thì chuỗi hash đó chỉnh là “mật khẩu” đăng nhập. Dù kẻ đó có lấy được CSDL thì cũng không tài nào có thể giải mã được chuỗi hash để tìm ra mật khẩu của người dùng. Thuật toán mã hóa một chiều (hàm băm) thường gặp nhất là MD5 và SHA. Mã hóa đối xứng Mã hóa đối xứng (Hay còn gọi là mã hóa khóa bí mật) là phương pháp mã hóa mà khóa mã hóa và khóa giải mã là như nhau (Sử dụng cùng một khóa bí mật để mã hóa và giải mã). Đây là phương pháp thông dụng nhất hiện nay dùng để mã hóa dữ liệu truyền nhận giữa hai bên. Vì chỉ cần có khóa bí mật là có thể giải mã được, nên bên gửi và bên nhận cần làm một cách nào đó để cùng thống nhất về khóa bí mật. Để thực hiện mã hóa thông tin giữa hai bên thì: Đầu tiên bên gửi và bên nhận bằng cách nào đó sẽ phải thóa thuận khóa bí mật được dùng để mã hóa và giải mã. Vì chỉ cần biết được khóa bí mật này thì bên thứ ba có thể giải mã được thông tin, nên thông tin này cần được bí mật truyền đi. Sau đó bên gửi sẽ dùng một thuật toán mã hóa với khóa bí mật tương ứng để mã hóa dữ liệu sắp được truyền đi. Khi bên nhận nhận được sẽ dùng chính khóa bí mật đó để giải mã dữ liệu. Vấn đề lớn nhất của phương pháp mã hóa đối xứng là làm sao để “thỏa thuận” khóa bí mật giữa bên gửi và bên nhận, vì nếu truyền khóa bí mật từ bên gửi sang bên nhận mà không dùng một phương pháp bảo vệ nào thì bên thứ ba cũng có thể dễ dàng lấy được khóa bí mật này. Các thuật toán mã hóa đối xứng thường gặp: DES, AES Mã hóa bất đối xứng Mã hóa bất đối xứng (Hay còn gọi là mã hóa khóa công khai) là phương pháp mã hóa mà khóa mã hóa (public key – khóa công khai) và khóa giải mã (private key – khóa bí mật) khác nhau. Nghĩa là khóa sử dụng để mã hóa dữ liệu sẽ khác với khóa dùng để giải mã dữ liệu. Tất cả mọi người đều có thể biết được khóa công khai (kể cả hacker), và có thể dùng khóa công khai này để mã hóa thông tin. Nhưng chỉ có người nhận mới nắm giữ khóa bí mật, nên chỉ có người nhận mới có thể giải mã được thông tin. Để thực hiện mã hóa bất đối xứng: Bên nhận sẽ tạo ra một gặp khóa (khóa công khai và khóa bí mật). Bên nhận sẽ dữ lại khóa bí mật và truyền cho bên gửi khóa công khai. Vì khóa này là công khai nên có thể truyền tự do mà không cần bảo mật. Bên gửi trước khi gửi dữ liệu sẽ mã hóa dữ liệu bằng thuật toán mã hóa bất đối xứng với khóa là khóa công khai từ bên nhận. Bên nhận sẽ giải mã dữ liệu nhận được bằng thuật toán được sử dụng ở bên gửi, với khóa giải mã là khóa bí mật. Điểm yếu lớn nhất của mã hóa bất đối xứng là tốc độ mã hóa và giải mã rất chậm so với mã hóa đối xứng, nếu dùng mã hóa bất đối xứng để mã hóa dữ liệu truyền – nhận giữa hai bên thì sẽ tốn rất nhiều chi phí. Do đó, ứng dụng chỉnh của mã hóa bất đối xứng là dùng để bảo mật khóa bí mật cho mã hóa đối xứng: Ta sẽ dùng phương pháp mã hóa bất đối xứng để truyền khóa bí mật của bên gửi cho bên nhận. Và hai bên sẽ dùng khóa bí mật này để trao đổi thông tin bằng phương pháp mã hóa đối xứng. Thuật toán mã hóa bất đối xứng thường thấy: RSA. Chương 2: Giới Thiệu BitLocker 2.1. Lịch sử ra đời BitLocker là một phần nằm trong dự án Next-Generation Secure Computing Base của Microsoft trong năm 2004. BitLocker được thiết kế để bảo vệ thông tin trên các thiết bị, đặc biệt là trong trường hợp thiết bị bị mất hoặc bị đánh cắp. Một tính năng khác của BitLocker là để xác nhận tính toàn vẹn của khởi động và hệ thống tập tin của Microsoft Windows.Khi sử dụng kết hợp với một tương thích Trusted Platform Module (TPM), BitLocker có thể xác nhận tính toàn vẹn của khởi động và hệ thống file trước khi giải mã dữ liệu đã được bảo vệ, một xác nhận không thành công sẽ cấm truy cập vào hệ thống đã được bảo vệ. BitLocker được phát triển trong một thời gian ngắn trước khi Windows Vista được phát hành. 2.2. Các phiên bản Windows được tích hợp BitLocker Ultimate và Enterprise của Windows Vista và Windows 7 Phiên bản Pro và Enterprise của Windows 8 và 8.1  Pro, Enterprise, và phiên bản Education của Windows 10  Windows Server 2008  và sau đó  Ban đầu, giao diện đồ họa BitLocker trong Windows Vista chỉ có thể mã hóa các phân vùng hệ điều hành; có thể mã hóa phân vùng khác thông qua các dòng lệnh. Bắt đầu với Windows Vista Service Pack 1 và Windows Server 2008, các phân vùng khác với phân vùng chứa hệ điều hành có thể được mã hóa bằng cách sử dụng công cụ đồ họa.  Phiên bản mới nhất của BitLocker trên Windows 7 và Windows Server 2008 R2 bổ sung thêm khả năng mã hóa ổ đĩa rời. Trên Windows XP hoặc Windows Vista, truy cập chỉ đọc vào các ổ đĩa này có thể đạt được thông qua một chương trình gọi là BitLocker To Go Reader, nếu hệ thống tệp tin được sử dụng là FAT16, FAT32 hay exFAT.  BitLocker cũng tương thích với các trường hợp di động của phiên bản Windows 8 Enterprise thông qua cài đặt Windows To Go.  Microsoft eDrive là một kỹ thuật cho các thiết bị lưu trữ cho phép các thiết bị lưu trữ phù hợp để sử dụng mã hóa tích hợp của nó. 2.3. Hoạt động của BitLocker BitLocker là một hệ thống mã hóa khối lượng ổ đĩa cứng. Nó có thể mã hóa một phần hoặc toàn bộ ổ đĩa cứng. Khi được kích hoạt, TPM và BitLocker có thể đảm bảo sự toàn vẹn cho chương trình khởi động đáng tin cậy (ví dụ như BIOS, Boot Sector,) để ngặn chặn hầu hết các cuộc tấn công ẩn. Để BitLocker hoạt động, cần phải có ít nhất hai định dạng NTFS: Một định dạng cho hệ điều hành (thường là ổ C) và một định dạng có kích thước tối thiểu 100Mb để khởi động các hệ điều hành. BitLocker yêu cầu phân vùng hệ thống không được mã hóa, trên Windows Vista thì phân vùng này phải được gán một ký tự ổ đĩa, còn trên Windows 7 thì điều này là không cần thiết. Một công cụ có tên là BitLocker Drive Preparation Tool có sẵn từ Microsoft cho phép thu nhỏ một phân vùng hiện có trên Windows Vista để nhường chỗ cho một phân vùng khởi động mới và chuyển giao tập tin Bootstrap cần thiết cho nó. Windows 7 tạo phân vùng khởi động thứ cấp theo mặc định, ngay cả khi BitLocker không được sử dụng ban đầu. Khi một phân vùng khởi động thay thế đã được tạo ra, module TPM cần phải được khởi tạo ngay, sau đó các cơ chế bảo vệ khóa mã hóa đĩa cần thiết như TPM, mã PIN hoặc USB được cấu hình. Sau đó phân vùng được mã hóa như một công việc nền, một vài dữ liệu có thể mất một lượng đáng kể thời gian với một đĩa lớn và mỗi khu vực logic được đọc, được mã hóa và viết lại trở lại vào đĩa. Các khóa chỉ được bảo vệ sau khi toàn bộ khối lượng dữ liệu đã được mã hóa, khi khối lượng dữ liệu đó được coi là an toàn. BitLocker sử dụng một trình điều khiển thiết bị cấp thấp để mã hóa và giải mã tất cả các hoạt động tập tin, làm cho tương tác với khối lượng được mã hóa trở nên trong suốt đối với các ứng dụng chạy trên nền tảng này. Encrypting File System (EFS) có thể được sử dụng kết hợp với BitLocker để bảo vệ Nhân hệ điều hành khi đang chạy. Bảo vệ các tập tin từ trong các tiến trình và người sử dụng hệ điều hành chỉ có thể được thực hiện bằng phần mềm mã hóa hoạt động trong Windows, chẳng hạn như EFS, BitLocker và EFS. BitLocker và những hệ thống mã hóa đĩa khác có thể bị tấn công bởi một Bootmanager giả mạo. Khi các bộ nạp khởi động độc hại lấy được những dữ liệu bí mật, nó có thể giả mã Volume Master Key (VMK) sau đó sẽ cho phép truy cập để giải mã hoặc sửa đổi bất kỳ thông tin trên ổ đĩa cứng đã được mã hóa. Bằng cách cấu hình một TPM để bảo vệ chương trình khởi động tin cậy, bao gồm BIOS và Boot Sector. BitLocker có thể giảm thiểu nguy cơ này. Chương 3. Hướng Dẫn Sử Dụng BitLocker Có nhiều kiểu mã hóa khác nhau, mã hóa hệ thống File - Encrypting File System (EFS) hoặc sử dụng BitLocker để mã hóa dữ liệu (BitLocker Drive Encryption)....Trong bài này sẽ hướng dẫn cách mã hóa dữ liệu trên Windows 10 bằng cách sử dụng BitLocker. 3.1. Kích hoạt mã hóa thiết bị với BiLocker Bật BitLocker mã hóa ổ USB flash (ổ cứng trong máy cũng tương tự) Bước 1: Vào Control Panel > System and Security > BitLocker Drive Encryption > mở ra bảng chứa các ổ cứng và ổ USB trên máy > chọn ổ USB muốn mã hóa > Turn On BitLocker Cách khác: vào My computer > chuột phải vào ổ USB muốn mã hóa > chọn Turn On BitLocker Bước 2: Tích vào ô Use a password to unlock the driver rồi nhập mật khẩu vào 2 ô Enter your password và Reenter your password. Sau đó nhấn nút Next. Bước 3: Sao lưu khóa dự phòng sử dụng phòng khi quên mật khẩu. Có thể lưu vào bất kỳ nơi nào trong các lựa chọn: Save to your Microsoft account: Lưu vào tài khoản Microsoft Save to a file: Lưu vào máy tính Print the recovery key: In ra giấy Lưu xong thì nhấn nút Next để tiếp tục. Bước 4: BitLocker sẽ tự động mã hóa khi thêm các tập tin mới vào ổ đĩa. Tuy nhiên, cần phải lựa chọn cách mã hóa đối với những tập tin đã có trên ổ đĩa. Ở đây có 2 lựa chọn: Encrypt used disk space only (faster and best for new PCs and drives): Chỉ mã hóa không gian lưu trữ trên ổ đĩa đã được sử dụng (Nhanh hơn). Encrypt entire drive (slower but best for PCs and drives already in use): Mã hóa toàn bộ ổ đĩa (Chậm hơn). Chọn xong, nhấn nút Next. Bước 5: Ở bước này cũng có 2 lựa chọn:  New encryption mode (best for fixed drives on this device): Nếu mã hóa ổ đĩa cố định trên máy tính thì chọn lựa chọn này. Compatible mode (best for drives that can be moved from this device): Nếu mã hóa ổ đĩa rời có thể di chuyển sang thiết bị khác thì chọn lựa chọn này. Chọn xong, nhấn nút Next để tiếp tục. Bước 6: Nhấn nút Start encrypting. Bước 7: BitLocker bắt đầu mã hóa ổ đĩa. Vẫn có thể sử dụng máy tính khi quá trình mã hóa diễn ra, nhưng sẽ làm cho quá trình mã hóa chậm hơn. Bước 8: Thông báo mã hóa dữ liệu trên ổ đĩa thành công, nhấn nút Close để đóng thông báo này. Sau khi mã hóa xong, thiết bị sẽ được khóa lại trong lần khởi động tiếp theo, cần mở khóa để sử dụng. Biểu tượng thiết bị được khóa với BitLocker (như hình dưới là ổ G) 3.2. Hướng dẫn mở khóa Bước 1: Nhấn chuột phải vào ổ đĩa được khóa với BitLocker chọn Unlock Driver Bước 2: Nhập mật khẩu rồi nhấn nút Unlock. Lúc này thiết bị sẽ được mở khóa (như hình dưới là ổ G). 3.3. Hướng dẫn cách thay đổi mật khẩu Bước 1: Mở khóa thiết bị với mật khẩu cũ. Bước 2: Nhấn chuột phải vào ổ đĩa chọn Change BitLocker password. Bước 3: Nhập mật khẩu cũ vào khung Old password và nhập mật khẩu mới vào 2 khung New password và Confirm new password rồi nhấn nút Change password. Bước 4: Sau khi xuất hiện dòng thông báo The password has been successfully changed là đã đổi mật khẩu thành công. 3.4. Hướng dẫn sử dụng khóa dự phòng khi quên mật khẩu Bước 1: Nhấn chuột phải vào ổ đĩa chọn Unlock Drive Bước 2: Tại cửa sổ nhập mật khẩu, bạn nhấn vào dòng More options. Bước 3: Tiếp tục nhấn vào dòng Enter recovery key. Bước 4: Mở key recovery (khóa dự phòng) sao lưu lại khi đặt BitLocker, chép dãy mã khóa trong phần Recovery Key. Bước 5: Dán dãy này vào khung mở khóa BitLocker rồi nhấn nút Unlock. 3.5. Mở trang quản lý BitLocker Cách 1: Nhấn chuột phải lên ổ đĩa được khóa với BitLocker (đã mở khóa) chọn Manage BitLocker. Cách 2: Mở Control Panel > Chọn System and Security > Manage BitLocker > Giao diện quản lý BitLocker. Ở đây có thể Sao lưu khóa dự phòng, đổi mật khẩu, xóa mật khẩu, bật tự động mở khóa, tắt BitLocker. 3.6. Hướng dẫn bỏ khóa thiết bị (tắt BitLocker) Bước 1: Vào trang quản lý BitLocker Bước 2: Nhấn vào dòng Turn off BitLocker trong phần ổ đĩa muốn tắt BitLocker. Xuất hiện cửa sổ xác nhận, nhấn nút Turn off BitLocker Bước 3: Bắt đầu quá trình giải mã. Sau khi giải mã xong thì đồng nghĩa với việc khóa thiết bị sẽ được loại bỏ. Tài Liệu Tham Khảo [1] Hướng dẫn cách khóa ổ đĩa không cần phần mềm với Bitlocker, , 8/12/2015. [2] Hoàng Tiến Đạt, Cơ bản về mã hóa, https://www.stdio.vn/articles/read/39/co-ban-ve-ma-hoa , 15/09/2014. [3] https://en.wikipedia.org/wiki/BitLocker , 24/11/2016.