BitLocker
From Wikipedia, the free encyclopedia
BitLocker BitLocker là tính năng mã hóa toàn bộ ổ đĩa đi kèm với các phiên bản Microsoft Windows bắt đầu từ Windows Vista. Tính năng này được thiết kế để bảo vệ dữ liệu bằng cách cung cấp mã hóa cho toàn bộ ổ đĩa. Theo mặc định, tính năng này sử dụng thuật toán Advanced Encryption Standard (AES) trong cipher block chaining (CBC) hoặc "xor–encrypt–xor (XEX)-based tweaked codebook mode with ciphertext stealing" (XTS) mode[1] với khóa 128 bit hoặc 256 bit.[2][3] CBC không được sử dụng trên toàn bộ đĩa; nó được áp dụng cho từng sector riêng lẻ.[3]
| Tập tin:Windows To Go - Bitlocker.png Tùy chọn BitLocker trong quá trình tạo lập Windows To Go | |
| Tên khác | Device Encryption |
|---|---|
| Phát triển bởi | Microsoft |
| Phát hành lần đầu | 30 tháng 1 năm 2007 |
| Hệ điều hành | Microsoft Windows |
| Thể loại | Disk encryption software |
| Website | learn |
Lịch sử
BitLocker có nguồn gốc là một phần của kiến trúc Next-Generation Secure Computing Base của Microsoft vào năm 2004 dưới dạng một tính năng tạm thời có tên mã là "Cornerstone"[4][5] và được thiết kế để bảo vệ thông tin trên các thiết bị, đặc biệt là nếu thiết bị bị mất hoặc bị đánh cắp. Một tính năng khác có tên là "Code Integrity Rooting", được thiết kế để xác thực tính toàn vẹn của các tệp hệ thống và khởi động Microsoft Windows.[4] Khi được sử dụng kết hợp với Trusted Platform Module (TPM) tương thích, BitLocker có thể xác thực tính toàn vẹn của các tệp hệ thống và khởi động trước khi giải mã một ổ đĩa được bảo vệ; việc xác thực không thành công sẽ cấm truy cập vào một hệ thống được bảo vệ.[6][7] BitLocker được gọi ngắn gọn là Secure Startup trước khi Windows Vista được phát hành để sản xuất.[6]
BitLocker có sẵn trên:
- Phiên bản Enterprise và Ultimate của Windows Vista và Windows 7
- Phiên bản Pro và Enterprise của Windows 8 và 8.1[8][2]
- Windows Embedded Standard 7 và Windows Thin PC
- Windows Server 2008[9] và mới hơn[10][8]
- Phiên bản Pro, Enterprise và Education của Windows 10[11]
- Phiên bản Pro, Enterprise và Education của Windows 11[12]
Tính năng
| Phát triển bởi | Microsoft |
|---|---|
| Phát hành lần đầu | 30 tháng 1 năm 2007 |
| Hệ điều hành | Microsoft Windows |
| Thể loại | Command |
| Giấy phép | Proprietary commercial software |
| Website | manage-bde |
Ban đầu, giao diện BitLocker đồ họa trong Windows Vista chỉ có thể mã hóa ổ đĩa hệ điều hành.[13] Bắt đầu với Windows Vista với Service Pack 1 và Windows Server 2008, các ổ đĩa khác ngoài ổ đĩa hệ điều hành có thể được mã hóa bằng công cụ đồ họa. Tuy nhiên, một số khía cạnh của BitLocker (chẳng hạn như bật hoặc tắt khóa tự động) phải được quản lý thông qua công cụ dòng lệnh có tên là manage-bde.wsf.[14]
Phiên bản BitLocker có trong Windows 7 và Windows Server 2008 Release 2 bổ sung khả năng mã hóa ổ đĩa di động. Trên Windows XP hoặc Windows Vista, có thể đạt được quyền truy cập chỉ đọc vào các ổ đĩa này thông qua chương trình có tên là BitLocker To Go Reader, nếu sử dụng hệ thống file FAT16, FAT32 hoặc exFAT.[15] Ngoài ra, một công cụ dòng lệnh mới có tên là manage-bde đã thay thế công cụ manage-bde.wsf.[16]
Bắt đầu từ Windows Server 2012 và Windows 8, Microsoft đã bổ sung BitLocker với thông số kỹ thuật Microsoft Encrypted Hard Drive, cho phép các hoạt động mã hóa của mã hóa BitLocker được chuyển giao sang phần cứng của thiết bị lưu trữ, ví dụ như ổ đĩa tự mã hóa.[17][18] Ngoài ra, BitLocker hiện có thể được quản lý thông qua Windows PowerShell.[19] Cuối cùng, Windows 8 đã giới thiệu Windows To Go trong phiên bản Enterprise của mình, mà BitLocker có thể bảo vệ.[20]
Mã hóa thiết bị
Windows Mobile 6.5, Windows RT và các phiên bản cốt lõi của Windows 8.1 bao gồm device encryption, một phiên bản giới hạn tính năng của BitLocker mã hóa toàn bộ hệ thống.[21][22][23] Đăng nhập bằng tài khoản Microsoft có quyền quản trị sẽ tự động bắt đầu quá trình mã hóa. Khóa khôi phục được lưu trữ trong tài khoản Microsoft hoặc Active Directory (Active Directory yêu cầu các phiên bản Pro của Windows), cho phép lấy khóa từ bất kỳ máy tính nào. Mặc dù mã hóa thiết bị được cung cấp trên tất cả các phiên bản Windows 8.1, không giống như BitLocker, mã hóa thiết bị yêu cầu thiết bị phải đáp ứng các thông số kỹ thuật InstantGo (trước đây là Connected Standby),[23] yêu cầu ổ đĩa SSD và chip TPM 2.0.[21][24]
Bắt đầu từ Windows 10 1703, các yêu cầu về mã hóa thiết bị đã thay đổi, yêu cầu mô-đun TPM 1.2 hoặc 2.0 có hỗ trợ PCR 7, UEFI Secure Boot và thiết bị đáp ứng các yêu cầu của Modern Standby hoặc xác thực HSTI.[25]
Các yêu cầu về mã hóa thiết bị đã được nới lỏng trong Windows 11 24H2, với việc tuân thủ Modern Standby, HSTI và Secure Boot không còn bắt buộc nữa và danh sách chặn giao diện DMA đã bị xóa.[26] Và mã hóa thiết bị sẽ được bật theo mặc định khi cài đặt Windows 11 24H2 mới, được gọi là auto device encryption.[27]
Vào tháng 9 năm 2019, một bản cập nhật mới đã được phát hành (KB4516071[28]) thay đổi cài đặt mặc định cho BitLocker khi mã hóa ổ đĩa tự mã hóa. Bây giờ, mặc định là sử dụng mã hóa phần mềm cho các ổ đĩa mới được mã hóa. Điều này là do các lỗi mã hóa phần cứng và các mối lo ngại về bảo mật liên quan đến các sự cố đó.[29]
Chế độ mã hóa
Có thể sử dụng ba cơ chế xác thực làm khối xây dựng để triển khai mã hóa BitLocker:[30]
- Transparent operation mode: Chế độ này sử dụng khả năng của phần cứng TPM 1.2 để cung cấp trải nghiệm người dùng minh bạch—người dùng bật nguồn và đăng nhập vào Windows như bình thường. Khóa được sử dụng để mã hóa đĩa được niêm phong (mã hóa) bởi chip TPM và sẽ chỉ được phát hành cho mã tải hệ điều hành nếu các file khởi động ban đầu có vẻ không bị sửa đổi. Các thành phần tiền hệ điều hành của BitLocker đạt được điều này bằng cách triển khai Static Root of Trust Measurement—một phương pháp do Trusted Computing Group (TCG) chỉ định. Chế độ này dễ bị tấn công khởi động nguội vì nó cho phép kẻ tấn công khởi động máy đã tắt nguồn. Nó cũng dễ bị tấn công đánh hơi vì khóa mã hóa ổ đĩa được chuyển dưới dạng văn bản thuần túy từ TPM đến CPU trong quá trình khởi động thành công
- User authentication mode: Chế độ này yêu cầu người dùng cung cấp một số xác thực cho môi trường trước khi khởi động dưới dạng mã PIN hoặc mật khẩu trước khi khởi động
- USB Key Mode: Người dùng phải chèn một thiết bị USB có chứa khóa khởi động vào máy tính để có thể khởi động hệ điều hành được bảo vệ. Lưu ý rằng chế độ này yêu cầu BIOS trên máy được bảo vệ hỗ trợ đọc các thiết bị USB trong môi trường tiền hệ điều hành. BitLocker không hỗ trợ thẻ thông minh để xác thực trước khi khởi động.[31]
Các kết hợp sau đây của các cơ chế xác thực trên được hỗ trợ, tất cả đều có khóa khôi phục tùy chọn:
Xem thêm
Tham khảo
Liên kết ngoài
Wikiwand - on
Seamless Wikipedia browsing. On steroids.