Trusted Platform Module (TPM) và Bitlocker

Bài viết này mô tả công nghệ Trusted Platform Module (TPM) và cách Windows sử dụng nó để kiểm soát truy cập và chứng thực. Các hệ điều hành Windows hỗ trợ TPM gồm: Windows 10, Windows server 2016, Windows server 2019.

1. Tổng quan về TPM

TPM là gì?

Microsoft gọi TPM là một công nghệ (technology) được thiết kế để cung cấp các chức năng liên quan đến bảo mật, dựa trên phần cứng.

Wikipedia thì định nghĩa TPM là một tiêu chuẩn quốc tế (ISO/IEC 11889) cho một bộ xử lý mật mã an toàn, một bộ vi điều khiển chuyên dụng được thiết kế để bảo mật phần cứng thông qua các khóa mật mã tích hợp.

Theo tôi, cơ bản TPM là một chuẩn kỹ thuật, sử dụng một vi mạch (microchip) được tích hợp trên bo mạch chủ của máy tính để cung cấp các chức năng bảo mật.

Vi mạch này giao tiếp với phần còn lại của hệ thống thông qua bus phần cứng (hardware bus). Nó có nhiều cơ chế bảo mật vật lý, giúp TPM chống lại sự giả mạo, ngăn các phần mềm độc hại không thể can thiệp vào các chức năng bảo mật của TPM.

Thành phần của TPM

Trong thành phần của TPM chúng ta quan tâm đến khóa Endorsement Key (EK). Khóa này được lưu trong microchip và không thể truy cập được từ các phần mềm bên ngoài.

Khóa Storage Root Key (SRK) được tạo khi người dùng có quyền sở hữu hệ thống. Khóa SRK được tạo dựa vào khóa Endorsement Key và mật khẩu do người dùng nhập vào.

Khóa thứ hai, được gọi là Khóa Attestation Identity Key (AIK) bảo vệ thiết bị chống lại phần mềm và sửa đổi phần mềm trái phép bằng cách băm các phần quan trọng của phần firmware và phần mềm trước khi chúng được thực thi. Khi TPM được kích hoạt, các giá trị băm được xác minh rằng chúng có khớp hay không. Nếu bất kỳ thành phần băm nào đã được sửa đổi, TPM sẽ từ chối và không thể thực hiện các bước tiếp theo.

Phiên bản và phạm vi ứng dụng

Hiện có 2 phiên bản TPM là 1.2 và 2.0. Có một số mainboard đời cũ không hỗ trợ phiên bản 2.0

TPM có thể được sử dụng với bất kỳ hệ điều hành nào và hoạt động tốt nhất cùng với các công nghệ bảo mật khác như tường lửa, antivirus, smart card, và biometric verification.

2. Bitlocker

Mã hóa trên Windows

Mã hóa là phương pháp để biến thông tin từ định dạng bình thường sang dạng thông tin không thể hiểu được nếu không có phương tiện giải mã.

Trong hệ điều hành Windows 10/Windows server 2016 & 2019 có 2 kiểu mã hóa phổ biến là Encrypting File System (EFS) và BitLocker Drive Encryption. Đối với kiểu mã hóa Bitlocker sử dụng TPM đã đề cập ở phần trên. Hiện nay Bitlocker được đánh giá là kiểu mã hóa tốt nhất, chưa từng bị khai thác.

Windows sau khi mã hóa có gì khác?

  • Bạn mang đĩa cứng đã được mã hóa cắm vào nơi khác, sẽ không đọc được dữ liệu
  • Bạn dùng hiren boot, cũng không thể chia ổ đĩa, copy data, format partition hay reset mật khẩu tài khoản administrator….

Nói chung toàn bộ dữ liệu trên đĩa cứng sẽ bị mã hóa và mọi thao tác truy xuất dữ liệu là bất khả, trừ khi bạn có Encryption key để mở khóa. Nếu dữ liệu bị đánh cắp thì kẻ ăn cắp cũng không thể đọc được dữ liệu.

Tổng quan về Bitlocker

Bitlocker là một tính năng được tích hợp vào hệ điều hành Windows, để ngăn chặn các mối đe dọa trộm cắp dữ liệu, khai thác dữ liệu. Bitlocker hoạt động tốt nhất khi được kết hợp cùng với TPM.

Ứng dụng Bitlocker trong thực tế

Ứng dụng mã hóa dữ liệu, giải mã dữ liệu. Để sử dụng Bitlocker trên Windows bạn vui lòng đọc file hướng dẫn:

Ngoài ra, Microsoft còn cung cấp bổ sung 2 công cụ để quản lý Bitlocker

  • BitLocker Recovery Password Viewer
  • BitLocker Drive Encryption Tools

Trong môi trường Domain, bạn có thể lưu recovery key vào Active Directory để quản lý tập trung (chứ chẳng ai lại đi lưu vào từng máy hay vào usb cả).

Cơ chế hoạt động của Bitlocker kết hợp với TPM

Viết đến đây thì hết bia và rất buồn ngủ, bạn vui lòng đọc tiếp cơ chế hoạt động của Bitlocker kết hợp TPM ở đây. Cơ chế hoạt động khá phức tạp, nếu bạn không cần chuyên sâu, tôi nghĩ những khái niệm và ý tưởng tôi trình bày ở trên đã đủ dùng.

Leave a Comment