Thủ thuật

Ổ đĩa cứng tự mã hóa (SED – Self-encrypting drives)

Giới thiệu

SED là một loại ổ cứng có thể tự động mã hóa và giải mã dữ liệu trong quá trình làm việc mà không cần đến một tác động nào khác. Một điều có thể gây ngạc nhiên cho nhiều người là rất nhiều các ổ đĩa trên thị trường hiện nay (chẳng hạn như Samsung 840 Pro) là các ổ đĩa dạng SED. Nhưng vì còn nhiều thông số khác quan trọng hơn, tính năng này thường không được nhắc đến. Đồng thời trong quá trình sử dụng, người dùng cũng chẳng thể nhận ra nếu không để ý, bởi chúng chẳng khác gì những ổ cứng thường không thuộc dạng SED.

Việc mã hóa được thực hiện thông qua một khóa Data Encrytion Key (DEK), đồng thời cũng chính là khóa giải mã. Khi dữ liệu được ghi vào ổ cứng, nó được mã hóa theo DEK và ngược lại, khi giải mã nó cũng dựa trên chính DEK đó.

1

Toàn bộ dữ liệu ra/vào ổ cứng đều phải đi qua bộ mã hóa/giải mã này. Và có một thủ thuật nho nhỏ có thể thực hiện khi cần xóa dữ liệu trên ổ cứng. Đó là chỉ cần đặt một DEK mới, toàn bộ dữ liệu cũ trên ổ đĩa sẽ trở nên vô nghĩa, không thể phục hồi được nữa. Thay vì phải mất nhiều giờ để ghi-xóa nhiều lần trên ổ cứng thông thường, thao tác này chỉ cần vài giây để có kết quả tương tự.

Khóa và mở khóa mã hóa

Khi mà việc mã hóa/giải mã trên ổ cứng được giải quyết tự động hoàn toàn, nó sẽ trở nên hoàn toàn vô nghĩa nếu ổ cứng không được “khóa” lại khi không sử dụng. SED cho phép người dùng đặt thêm một khóa chứng thực Authentication Key (AK), làm việc như một mật khẩu để khóa ổ cứng lại. Khi khóa này được thiết lập, hệ thống sẽ yêu cầu mật khẩu khi khởi động lần đầu tiên. Tùy thuộc vào loại bo mạch chủ, nếu nhập sai 3 hoặc 4 lần hệ thống sẽ tự động bỏ qua và khởi động bình thường với ổ cứng đó ở trạng thái khóa. Trong trường hợp này, ổ đĩa sẽ không sử dụng được cho tới khi hệ thống được tắt đi, bật lại và nhập đúng AK.

Trên thực tế, cho dù ổ SED bị tháo ra khỏi máy và cắm sang máy khác, nó sẽ vẫn đòi phải nhập AK để truy cập. Nhưng nếu máy mới không hỗ trợ ổ SED, đổ đĩa sẽ trở nên vô dụng vì không thể mở khóa để thực hiện đọc/ghi dữ liệu, không có bất kỳ cách nào để vượt qua!

Những nhược điểm của ổ đĩa SED

SED là một công nghệ tốt với nhiều ưu điểm nổi bật, nhưng tất nhiên như mọi thứ khác, nó cũng có những mặt trái và nhược điểm riêng.

Đầu tiên, kẽ hở bảo mật. Khi ổ đĩa đã được mở khóa bằng cách nhập đúng AK, nó sẽ giữ nguyên trạng thái đó cho tới khi nguồn điện bị cắt. Ví dụ như khi để máy tính vào trạng thái Standby hay Sleep, ổ đĩa sẽ không bị khóa lại, nó chỉ bị khóa khi máy tính được tắt hoàn toàn.

Nói một cách khác, nếu bạn mất laptop khi đang để ở trạng thái sleep, dữ liệu trên ổ cứng hoàn toàn có thể bị truy cập trái phép. Nếu có mật khẩu của hệ điều hành, kẻ trộm chỉ cần thực hiện khởi động lại máy tính, boot vào một hệ điều hành khác từ USB hay CD là có thể truy cập được dữ liệu. Thậm chí nếu bạn thiết lập cả mật khẩu cho BIOS, dữ liệu vẫn có thể bị lấy cắp bằng cách di chuyển ổ cứng sang máy tính khác mà không cắt nguồn điện, mặc dù hơi khó nhưng không phải là không thể.

Do đó nếu cần tính bảo mật thật cao, bạn cần có thói quen tắt máy tính mỗi khi không sử dụng chứ không phải là sleep.

Vấn đề thứ hai là SED chỉ làm việc trên thiết lập ổ cứng thông thường. Một hệ thống với nhiều ổ SED được bật sẽ sử dụng được bình thường với RAID phần mềm, còn RAID phần cứng không được hỗ trợ. Tuy nhiên đây là vấn đề đã được giải quyết khi hiện nay nhiều loại card RAID đã hỗ trợ hoàn toàn các ổ đĩa SED, đặc biệt là trên các máy chủ thì hầu hết đều hỗ trợ tốt.

Thứ ba, không thể khôi phục dữ liệu. Đây là điểm mạnh nhưng cũng là điểm yếu của SED. Khi hệ thống không có ổ đĩa sao lưu dự phòng, chẳng hạn như RAID 1, thì việc ổ đĩa hư hỏng sẽ cuốn theo toàn bộ dữ liệu không thể phục hồi.

Điều kiện để sử dụng SED

Trên một bo mạch chủ hỗ trợ SED, có thể có những tùy chọn trong BIOS cho phép thiết lập, sửa hay xóa AK. Tuy nhiên cũng có nhiều bo mạch chủ mặc dù có hỗ trợ SED nhưng không có tùy chọn trong BIOS để tác động tới AK. Trong những trường hợp đó, bạn có thể sử dụng phần mềm như Winmagic để quản lý khóa mã, hoặc bạn có thể qua các bước trong Linux để thực hiện trực tiếp mà không cần đến phần mềm.