Ổ đĩa tự mã hóa: Giới thiệu ngắn gọn và Hướng dẫn từng bước

SED, hay ổ tự mã hóa, là một loại ổ cứng tự động và liên tục mã hóa dữ liệu trong đó mà không cần bất kỳ sự tương tác nào của người dùng. Điều có thể khiến nhiều người ngạc nhiên là rất nhiều ổ đĩa hiện có trên thị trường, bao gồm cả dòng SSD Samsung 840 Pro phổ biến trên thực tế đều là SED. Nhưng vì các nhà sản xuất không coi đây là một tính năng chính, nên nó thường bị bỏ quên trong số lượng lớn các thông số kỹ thuật quan trọng hơn.

Ngay cả khi bạn mua, cài đặt và bắt đầu sử dụng một trong những ổ đĩa SED này, mã hóa rất rõ ràng đối với người dùng đến mức họ khó có thể nhận ra ổ đĩa đó là SED.

svg+xml,%3Csvg%20xmlns= Ổ đĩa tự mã hóa: Giới thiệu ngắn gọn và Hướng dẫn từng bước

Quá trình mã hóa này được thực hiện thông qua việc sử dụng Khóa mã hóa dữ liệu ngẫu nhiên và duy nhất (DEK) mà ổ đĩa sử dụng để mã hóa và giải mã dữ liệu. Bất cứ khi nào dữ liệu được ghi vào ổ đĩa, trước tiên nó sẽ được mã hóa theo DEK. Tương tự, bất cứ khi nào dữ liệu được đọc từ ổ đĩa, trước tiên, dữ liệu đó sẽ được giải mã bởi cùng một DEK trước khi được gửi đến phần còn lại của hệ thống.

Điều này có nghĩa là tất cả dữ liệu trên ổ đĩa luôn được mã hóa. Một thủ thuật gọn gàng có thể được thực hiện dựa trên điều này là xóa sạch ổ cứng gần như ngay lập tức và hoàn toàn. Tất cả những gì bạn cần làm là yêu cầu SED tạo DEK mới và tất cả dữ liệu trên ổ đĩa ngay lập tức trở nên vô nghĩa (vì khóa cần thiết để giải mã dữ liệu không còn tồn tại) và thực sự không thể truy xuất được. Vì vậy, nếu bạn cần xóa một ổ đĩa nhanh chóng và an toàn trước khi triển khai lại hoặc thải bỏ, SED cung cấp một cách nhanh chóng và rất an toàn để thực hiện việc đó.

Đọc thêm:  Súng ngắn trò chơi điện tử hay nhất

Hành động này được gọi bằng một số tên khác nhau tùy thuộc vào nhà sản xuất, mặc dù nó thường được gọi là “Xóa an toàn”.

Mặc dù việc mã hóa và giải mã dữ liệu tự động trên ổ cứng là gọn gàng, nhưng bản thân nó không thực sự hữu ích vì ổ cứng sẽ tự động giải mã dữ liệu theo yêu cầu. Tuy nhiên, SED cũng cho phép bạn đặt cái được gọi là Khóa xác thực (AK) hoạt động như một mật khẩu khóa ổ đĩa cho đến khi nhập khóa. Nếu Khóa xác thực được thiết lập, hệ thống sẽ nhắc nhập khóa khi bật nguồn lần đầu tiên. Mặc dù số lần thử khác nhau tùy theo bo mạch chủ, nhưng nếu bạn nhập sai mật khẩu sau ba hoặc bốn lần thử, hệ thống sẽ chỉ khóa ổ đĩa và tiếp tục quá trình khởi động. Nếu điều đó xảy ra, ổ đĩa sẽ hoàn toàn không sử dụng được cho đến khi tắt nguồn máy tính và nhập đúng phím.

svg+xml,%3Csvg%20xmlns= Ổ đĩa tự mã hóa: Giới thiệu ngắn gọn và Hướng dẫn từng bước

Trên thực tế, ngay cả khi bạn tháo nó ra khỏi máy tính ban đầu và cắm nó vào một máy tính khác, ổ đĩa vẫn sẽ yêu cầu nhập AK để mở khóa ổ đĩa. Tuy nhiên, nếu bạn cắm nó vào một hệ thống không hỗ trợ mã hóa SED, ổ đĩa sẽ không sử dụng được. Vì bo mạch chủ không có khả năng nhập Khóa xác thực nên ổ đĩa không bao giờ biết tự mở khóa. Kết quả là ổ đĩa sẽ vẫn bị khóa mà không có cách nào để mở khóa. Trừ khi bạn di chuyển ổ đĩa sang một hệ thống hỗ trợ mã hóa SED, không có cách nào để truy xuất dữ liệu trên ổ đĩa đó.

Đọc thêm:  Cách chơi các trò chơi video dài khi bạn không có thời gian

Theo Seagate, phương pháp mã hóa này đã được cả NIST và CSE chứng nhận là đáp ứng các yêu cầu về bảo mật cấp 2 cho các mô-đun mật mã.

Khi bảo mật dữ liệu là một mục tiêu, điều cần thiết là phải biết những hạn chế và nhược điểm của một công nghệ nhất định. SED là một công nghệ tuyệt vời, nhưng chúng không khác bất kỳ thứ gì khác ở chỗ chúng chắc chắn có nhược điểm. Trong trường hợp SED, nhược điểm chính là một khi ổ đĩa đã được mở khóa, nó sẽ vẫn như vậy cho đến khi nguồn điện của ổ đĩa bị cắt. Nói cách khác, nếu bạn chỉ cần khởi động lại máy tính hoặc đặt nó ở chế độ ngủ, ổ đĩa vẫn được mở khóa. Mãi cho đến khi bạn tắt nguồn hoàn toàn máy tính, nó sẽ lại yêu cầu nhập Khóa xác thực.

Nói cách khác, nếu máy tính xách tay của bạn bị đánh cắp và nó chỉ ở chế độ ngủ thì dữ liệu trên ổ đĩa sẽ bị lộ hoàn toàn. Nếu bạn đã đặt mật khẩu người dùng trên HĐH, kẻ trộm vẫn có thể chỉ cần khởi động lại máy, khởi động vào môi trường trực tiếp và có quyền truy cập gần như đầy đủ vào dữ liệu của bạn. Trên thực tế, ngay cả khi bạn đã đặt cả mật khẩu hệ điều hành và mật khẩu BIOS, dữ liệu vẫn có thể được truy cập bằng cách di chuyển ổ đĩa sang một máy tính khác mà không cần cắt điện. Trong máy tính xách tay, điều này sẽ khó (nhưng không phải là không thể) nhưng trên máy tính để bàn thực sự khá dễ dàng với thiết lập phù hợp.

Vì vậy, nếu bạn quyết định sử dụng mã hóa SED, lời khuyên lớn nhất của chúng tôi là tập thói quen tắt nguồn hệ thống của bạn khi không sử dụng thay vì chỉ đặt nó ở chế độ ngủ.

Đọc thêm:  Xây dựng PC so với Xây dựng sẵn (Chấm điểm GPU trong Quy trình)

Nhược điểm thứ hai của mã hóa SED là nó sẽ chỉ hoạt động trong các cấu hình đĩa đơn giản. Bạn có thể có nhiều ổ đĩa trong một hệ thống có bật mã hóa SED và thậm chí sử dụng RAID phần mềm, nhưng đơn giản là không hỗ trợ một số thứ như RAID cấp phần cứng.

Điều chúng tôi nhận thấy là hỗ trợ đầy đủ cho SED thực sự rất kém. Có rất nhiều mẫu ổ cứng và SSD hỗ trợ mã hóa SED (mặc dù việc tìm kiếm chúng có thể khó khăn), nhưng hỗ trợ đầy đủ cho SED cũng yêu cầu một bo mạch chủ tương thích.

Một số tính năng của SED (như tự động mã hóa và giải mã dữ liệu và Xóa an toàn) sẽ hoạt động bất kể bo mạch chủ. Nhưng nếu bạn muốn sử dụng mã hóa SED bằng cách đặt Khóa xác thực, bạn cần có bo mạch chủ hỗ trợ làm như vậy.

Nhiều máy tính xách tay có khả năng sử dụng Khóa xác thực mà không cần BIOS tùy chỉnh. Tuy nhiên, chúng thường thiếu khả năng thiết lập AK qua BIOS. Tất nhiên, điều này không có nghĩa là mọi máy tính xách tay sẽ hỗ trợ mã hóa SED, nhưng theo kinh nghiệm của chúng tôi, máy tính xách tay nói chung có nhiều khả năng hỗ trợ nó hơn so với bo mạch chủ máy tính để bàn hoặc máy chủ.

Trong khi nói chuyện với Asus, Super Micro và Samsung, chúng tôi đã phát hiện ra rằng hầu hết các bo mạch chủ máy tính để bàn và máy chủ đều hỗ trợ đầy đủ SED, nhưng khả năng sử dụng Khóa xác thực bị vô hiệu hóa rõ ràng. Lý do cho điều này dường như là các nhà sản xuất sợ rằng người dùng có thể vô tình khóa ổ cứng của họ và không nhớ những gì họ đã sử dụng cho Khóa xác thực. Vì vậy, thay vì mạo hiểm để một khách hàng tức giận vô tình khóa ổ đĩa của họ, họ đã tắt tính năng cụ thể đó của SED. Điều đó nói rằng, chúng tôi đã thành công với việc nhận các tệp BIOS tùy chỉnh từ nhà sản xuất đã mở khóa khả năng sử dụng Khóa xác thực.

Đọc thêm:  Cách hoạt động của kết xuất trò chơi 3D: Xử lý Vertex

Trên bo mạch chủ hỗ trợ đầy đủ mã hóa SED, có khả năng có một tùy chọn trong thiết lập BIOS để đặt, thay đổi hoặc xóa Khóa xác thực SED trên ổ SED của bạn. Tuy nhiên, chúng tôi nhận thấy rằng nhiều bo mạch chủ hỗ trợ SED không có khả năng này được tích hợp trong BIOS. Trong những trường hợp đó, bạn có thể sử dụng phần mềm như Winmagic để quản lý khóa mã hóa SED hoặc bạn có thể thực hiện một loạt các bước bằng môi trường trực tiếp Linux để quản lý Khóa xác thực SED mà không cần phần mềm trả phí.

Bạn có thể làm theo hướng dẫn từ Ubuntu về cách tạo LiveCD bao gồm mọi thứ bạn cần. Khi hệ thống của bạn đã khởi động vào môi trường trực tiếp của Linux, bạn phải thực hiện ba bước kết hợp để đặt, xóa hoặc thay đổi mật khẩu mã hóa SED.

Mở một thiết bị đầu cuối từ thanh công cụ thống nhất hoặc bằng tổ hợp phím nóng “ctrl + T”

svg+xml,%3Csvg%20xmlns= Ổ đĩa tự mã hóa: Giới thiệu ngắn gọn và Hướng dẫn từng bước

Kích hoạt quyền root bằng cách nhập lệnh ‘ su ‘. Bạn sẽ được nhắc nhập mật khẩu.

svg+xml,%3Csvg%20xmlns= Ổ đĩa tự mã hóa: Giới thiệu ngắn gọn và Hướng dẫn từng bước

Nhập lệnh ” lsblk ” sẽ xuất ra danh sách các ổ đĩa trong hệ thống. Xác định tên của ổ đĩa (sda, sdb, v.v.) mà bạn muốn thay đổi mật khẩu mã hóa hoặc tắt mã hóa SED.

svg+xml,%3Csvg%20xmlns= Ổ đĩa tự mã hóa: Giới thiệu ngắn gọn và Hướng dẫn từng bước

Nhập lệnh ” hdparm -I /dev/X ” trong đó X là tên ổ đĩa (sda, sdb, v.v.) để kiểm tra trạng thái hiện tại của ổ đĩa. Đảm bảo sử dụng “-I” là chữ i viết hoa, không phải chữ L hoặc chữ thường. Kiểm tra để đảm bảo rằng có dòng cho biết “đã bật”. Thay vào đó, nếu dòng đó nói “không được bật”, thì mã hóa SED hiện không được bật trên ổ đĩa đó. Mã hóa SED chưa bao giờ được định cấu hình hoặc bạn đang sử dụng tên ổ cứng không chính xác (sda, sdb, v.v.)

Đọc thêm:  Tôi có một lời thú nhận: Tôi đã chi vài trăm đô la cho Bộ điều khiển Steam

svg+xml,%3Csvg%20xmlns= Ổ đĩa tự mã hóa: Giới thiệu ngắn gọn và Hướng dẫn từng bước

Thông thường, ổ đĩa sẽ được đánh dấu là bị đóng băng (được biểu thị bằng dòng có nội dung “bị đóng băng”) và sẽ cần được hủy đóng băng trước khi tiếp tục. Để giải phóng ổ đĩa, đặt hệ thống ở chế độ ngủ bằng cách nhấp vào biểu tượng bánh răng ở trên cùng bên phải màn hình và chọn “Tạm dừng”. Sau ~10 giây, nhấn nút nguồn để đánh thức hệ thống.

svg+xml,%3Csvg%20xmlns= Ổ đĩa tự mã hóa: Giới thiệu ngắn gọn và Hướng dẫn từng bước

Lặp lại lệnh ” hdparm -I /dev/X ” để xác minh rằng ổ đĩa hiện được đánh dấu là “không bị đóng băng”. Nếu nó vẫn bị đóng băng, bạn sẽ cần phải ngắt kết nối vật lý với ổ đĩa trong vài giây khi hệ thống đang ở trong môi trường trực tiếp, sau đó lặp lại lệnh.

svg+xml,%3Csvg%20xmlns= Ổ đĩa tự mã hóa: Giới thiệu ngắn gọn và Hướng dẫn từng bước

Sau khi làm theo các bước để xác định vị trí và giải phóng ổ đĩa, hãy chạy lệnh ” hdparm --security-disable PASSWORD /dev/X ” trong đó PASSWORD là mật khẩu SED hiện tại và X là tên ổ đĩa (sda, sdb, v.v.) để xóa mã hóa SED hiện tại. Nếu bạn muốn tắt SED, thì quá trình này đã hoàn tất. Nếu bạn muốn đặt lại SED bằng mật khẩu mới, hãy đọc tiếp.

svg+xml,%3Csvg%20xmlns= Ổ đĩa tự mã hóa: Giới thiệu ngắn gọn và Hướng dẫn từng bước

Sau khi làm theo các bước để xác định vị trí và giải phóng ổ đĩa, sau đó để tắt mã hóa SED, tiếp theo hãy nhập lệnh ” hdparm --user-master u --security-set-pass PASSWORD /dev/X ” trong đó PASSWORD là mật khẩu bạn muốn sử dụng và X là tên ổ đĩa (sda, sdb, v.v.) để kích hoạt lại mã hóa SED bằng mật khẩu mới.

Đọc thêm:  CPU được thiết kế như thế nào, Phần 3: Xây dựng chip

svg+xml,%3Csvg%20xmlns= Ổ đĩa tự mã hóa: Giới thiệu ngắn gọn và Hướng dẫn từng bước

Nhập lại lệnh ” hdparm -I /dev/X ” và tìm dòng “đã bật” (thay vì “không bật”) để đảm bảo rằng SED đã được bật. Tại thời điểm này, bạn nên tắt hoàn toàn hệ thống của mình (không phải khởi động lại tiêu chuẩn) để đảm bảo rằng mật khẩu SED được đặt đúng cách.

svg+xml,%3Csvg%20xmlns= Ổ đĩa tự mã hóa: Giới thiệu ngắn gọn và Hướng dẫn từng bước

Sau khi làm việc với mã hóa SED và xem nó hoạt động tốt như thế nào, chúng tôi thực sự rất ngạc nhiên về mức độ hỗ trợ của nó trên các bo mạch chủ hiện đại. Trên thực tế, nhiều nhà sản xuất bo mạch chủ chủ động vô hiệu hóa mã hóa SED và yêu cầu BIOS tùy chỉnh để kích hoạt mã hóa này. Tuy nhiên, các bo mạch chủ khác hỗ trợ mã hóa SED mặc dù khả năng quản lý mật khẩu không có sẵn từ BIOS. Trong những trường hợp đó, bạn vẫn có thể sử dụng mã hóa SED nhưng bạn cần thực hiện một quy trình khó sử dụng liên quan đến môi trường trực tiếp Linux.

Nhìn chung, chúng tôi nhận thấy rằng mã hóa SED là tuyệt vời miễn là bạn làm bài tập về nhà và biết rằng nó sẽ hoạt động trên hệ thống của bạn. Ổ đĩa tự mã hóa có nhược điểm (phần lớn là nó chỉ yêu cầu nhập mật khẩu khi bật máy lần đầu), nhưng nó rất dễ sử dụng và hiệu quả cho nhiều ứng dụng.

Nếu bạn quan tâm đến việc mã hóa dữ liệu của mình, chúng tôi thực sự khuyên bạn nên kiểm tra mã hóa SED trước khi xem xét các tùy chọn như Bitlocker hoặc mã hóa dựa trên phần mềm khác.

Bạn có sử dụng mã hóa ổ cứng trong máy tính của mình, mã hóa SED hay cái gì khác không? Hãy cho chúng tôi biết về kinh nghiệm của bạn trong các ý kiến dưới đây!

Hình ảnh tiêu đề qua Shutterstock