Đôi bàn tay đang đánh máy trên máy tính xách tay

Mã hóa ổ SSD là gì và hoạt động ra sao?

Góc nhìn từ phía cạnh tới một chiếc máy tính xách tay, có một người đang sử dụng điện thoại di động ở hậu cảnh

Từ doanh nghiệp, chính phủ cho đến cá nhân, có một nhu cầu mà bất cứ ai trên thế giới hiện nay cũng giống nhau: nhu cầu và mong muốn bảo mật thông tin cá nhân và thông tin riêng tư quan trọng. Bất kể là thông tin được lưu trữ hay chuyển giao, bảo vệ dữ liệu luôn là yêu cầu cực kỳ thiết yếu. Các sự cố rò rỉ, xâm nhập dữ liệu và máy tính xách tay/PC bị thất lạc hoặc bị đánh cắp có thể gây ra chi phí khổng lồ về mặt tài chính và danh tiếng.

Để phòng thủ chống lại những kẻ xâm nhập hiểm độc và sự cố rò rỉ dữ liệu tổ chức, điều thiết yếu là phải mã hóa dữ liệu được chuyển giao cũng như dữ liệu được lưu trữ. Mã hóa tạo ra một lớp bảo vệ vững chắc để phòng trường hợp có sự cố cấp quyền truy cập trái phép vào mạng máy tính hoặc thiết bị lưu trữ theo một cách nào đó. Trong trường hợp này, kẻ xâm nhập không thể truy cập dữ liệu. Trong bài viết này, chúng tôi tập trung vào những nội dung như mã hóa dựa trên phần mềm, Ổ đĩa tự mã hóa (gọi tắt là SED) và giải thích cơ bản về cách hoạt động của công nghệ mã hóa ổ SSD.

Mã hóa là gì?

Theo thuật ngữ không chuyên môn, mã hóa có nghĩa là biến đổi dữ liệu được nhập vào một thiết bị kỹ thuật số thành các khối dữ liệu trông có vẻ vô nghĩa. Quy trình mã hóa càng phức tạp thì dữ liệu được mã hóa càng khó đọc và khó giải mã. Ngược lại, giải mã có nghĩa là biến đổi dữ liệu đã mã hóa trở lại định dạng ban đầu để có thể đọc được dữ liệu. Thông tin được mã hóa thường được gọi là văn bản mã hóa, còn thông tin không mã hóa được gọi là văn bản thuần túy

Hình vẽ kỹ thuật số minh họa một bảng mạch với ổ khóa.

So sánh mã hóa bằng phần cứng và phần mềm

Mã hóa bằng phần mềm sử dụng nhiều chương trình phần mềm khác nhau để mã hóa dữ liệu trên dung lượng logic. Khi một ổ đĩa được mã hóa lần đầu, một khóa không trùng lặp sẽ được thiết lập và lưu trữ trong bộ nhớ máy tính. Khóa này được mã hóa bằng cụm mật khẩu của người dùng. Khi người dùng nhập cụm mật khẩu, khóa sẽ được mở và hệ thống cấp quyền truy cập vào dữ liệu chưa mã hóa trên ổ đĩa. Ngoài ra, một bản sao khóa cũng được ghi vào ổ đĩa. Mã hóa bằng phần mềm đóng vai trò trung gian giữa dữ liệu đọc/ghi của ứng dụng với thiết bị; trong quá trình ghi dữ liệu vào ổ đĩa, dữ liệu sẽ được mã hóa bằng cách sử dụng khóa trước khi được ghi vào ổ đĩa bằng phương pháp vật lý. Khi đọc dữ liệu từ ổ đĩa, dữ liệu sẽ được giải mã bằng chính khóa đó trước khi được đưa vào chương trình.

Mặc dù mã hóa bằng phần mềm giúp tiết kiệm chi phí, nhưng phương pháp này chỉ an toàn nếu thiết bị được mã hóa bằng phần mềm cũng an toàn. Nếu kẻ xâm nhập bẻ khóa mật mã hoặc mật khẩu, dữ liệu được mã hóa của bạn sẽ bị lộ. Ngoài ra, do quá trình mã hóa và giải mã được thực hiện bởi bộ xử lý, nên toàn bộ hệ thống sẽ bị giảm tốc độ. Một lỗ hổng khác của mã hóa bằng phần mềm là khi khởi động hệ thống, khóa mã hóa được lưu trữ trong bộ nhớ máy tính, khiến lỗ hổng này trở thành mục tiêu của các cuộc tấn công cấp thấp.

Ổ đĩa tự mã hóa (SED) sử dụng công nghệ mã hóa bằng phần cứng áp dụng phương pháp toàn diện hơn để mã hóa dữ liệu của người dùng. SED có một chip mã hóa AES tích hợp có chức năng mã hóa dữ liệu trước khi dữ liệu được ghi và giải mã dữ liệu trước khi dữ liệu được đọc trực tiếp từ phương tiện NAND. Mã hóa bằng phần cứng nằm giữa hệ điều hành được cài đặt trên ổ đĩa và BIOS hệ thống. Khi ổ đĩa được mã hóa lần đầu, một khóa mã hóa sẽ được tạo và lưu trữ trên bộ nhớ NAND flash. Khi hệ thống được khởi động lần đầu, một BIOS tùy chỉnh sẽ được tải và yêu cầu cụm mật khẩu của người dùng. Sau khi nhập cụm mật khẩu, nội dung của ổ đĩa sẽ được giải mã và hệ thống sẽ cấp quyền truy cập vào hệ điều hành và dữ liệu người dùng.

Ổ đĩa tự mã hóa cũng mã hóa/giải mã dữ liệu nhanh chóng nhờ chip mã hóa tích hợp có nhiệm vụ mã hóa dữ liệu trước khi ghi dữ liệu vào bộ nhớ NAND flash và giải mã dữ liệu trước khi đọc dữ liệu. CPU máy chủ không tham gia vào quá trình mã hóa, do đó, giảm nguy cơ ảnh hưởng đến hiệu năng vốn xảy ra trong phương pháp mã hóa bằng phần mềm. Trong phần lớn trường hợp khi khởi động hệ thống, khóa mã hóa được lưu trữ trong bộ nhớ SSD trên bo mạch, khiến việc truy xuất khóa càng phức tạp hơn, giúp giảm nguy cơ bị tổn thương trong các cuộc tấn công cấp thấp. Phương pháp mã hóa bằng phần cứng này cung cấp mức độ bảo mật dữ liệu cao vì người dùng không thể nhìn thấy. Phương pháp này không tắt được và cũng không ảnh hưởng đến hiệu năng.

Mã hóa dựa trên phần cứng AES 256 bit

AES (Tiêu chuẩn mã hóa nâng cao) là một thuật toán mã hóa đối xứng (có nghĩa là khóa mã hóa và khóa giải mã giống hệt nhau). Do AES là mật mã dạng khối, nên dữ liệu được chia thành các khối 128 bit trước khi mã hóa bằng khóa 256 bit. Mã hóa AES 256 bit là một tiêu chuẩn quốc tế đảm bảo khả năng bảo mật dữ liệu ưu việt và được chính phủ Hoa Kỳ cùng nhiều quốc gia khác công nhận. Mã hóa AES 256 bit gần như không thể giải mã được, do đó, trở thành tiêu chuẩn mã hóa mạnh nhất hiện nay.

Vì sao công nghệ mã hóa này không thể giải mã được? AES bao gồm AES-128, AES-192 và AES-256. Các con số thể hiện số lượng bit khóa trong mỗi khối mã hóa và khối giải mã. Khi từng bit được thêm vào, số lượng khóa có thể tăng gấp đôi, có nghĩa là mã hóa 256 bit có sức mạnh gấp đôi cho đến gấp 256 lần! Hoặc là sẽ có số lượng biến thể cực kỳ lớn. Lần lượt, mỗi bit khóa lại có số vòng khác nhau. (Vòng là quá trình chuyển văn bản thuần túy thành văn bản mã hóa). Mã hóa 256 bit có mười bốn vòng. Do đó, khả năng kẻ xâm nhập có thể tìm ra trình tự chính xác của 2256 bit được xáo trộn 14 lần phải nói là cực kỳ thấp. Ngoài ra, kẻ xâm nhập còn tốn cực nhiều thời gian và năng lực tính toán để làm việc này.

Mã hóa dựa trên phần mềm TCG Opal 2.0

TCG là tổ chức tiêu chuẩn quốc tế trong ngành, có vai trò xác định nguồn gốc tin cậy dựa trên phần cứng cho các nền tảng điện toán tin cậy có khả năng hoạt động phối hợp với nhau. Giao thức này có thể khởi tạo, xác thực và quản lý các ổ SSD được mã hóa bằng cách sử dụng các nhà cung cấp phần mềm độc lập có các giải pháp quản lý bảo mật TCG Opal 2.0 như Symantec™, McAfee™, WinMagic® cùng các giải pháp khác.

Tóm lại, mặc dù mã hóa dựa trên phần mềm cũng có ưu điểm, nhưng chưa thực sự toàn diện. Mã hóa bằng phần mềm có nhiều bước thực hiện hơn vì dữ liệu cần được mã hóa, rồi được giải mã khi người dùng cần truy cập dữ liệu, trong khi đó, mã hóa dựa trên phần cứng mang đến một giải pháp mạnh mẽ hơn. Ổ SSD mã hóa bằng phần cứng được tối ưu hóa với phần còn lại của ổ đĩa mà không làm ảnh hưởng đến hiệu năng. Tùy vào từng ứng dụng, bạn có thể sẽ vô cùng ngạc nhiên trước khả năng bảo mật dữ liệu của phương pháp này. Không phải tất cả các loại mã hóa đều giống nhau, nhưng việc hiểu được sự khác biệt giữa các loại mã hóa đó sẽ góp phần quan trọng làm nên tính hiệu quả và hữu ích cho hệ thống bảo mật của bạn.

#KingstonIsWithYou

Các sản phẩm liên quan