• Thứ Sáu, 03/04/2009 05:20 (GMT+7)

    An toàn cho dữ liệu cầm tay

    Trong nỗ lực ngăn ngừa thông tin rò rỉ hoặc bị đánh cắp, thiết bị lưu trữ có mã hoá đang trở thành lựa chọn sáng giá.

    Việc thất lạc ổ đĩa cứng chứa thông tin nhạy cảm đã từng khiến thông tin của khoảng 20.000 khách hàng lộ ra ngoài và có thể nghiêm trọng hơn trong trường hợp đấy là thông tin doanh nghiệp, cơ quan nhà nước. Tuy nhiên, nỗi lo đã nhẹ đi nhờ thiết bị lưu trữ gắn ngoài có thể mã hóa và không còn đòi hỏi phần mềm phức tạp hay vắt kiệt sức mạnh máy tính. Mã hóa từ phần cứng đạt hiệu suất cao hơn so với mã hóa bằng phần mềm, nhưng dù mã hóa theo cách nào thì tốc độ truyền dữ liệu vẫn bị ảnh hưởng (rất khó nhận biết trong lúc sử dụng và hiện vẫn chưa có công cụ đo).

    Không đòi hỏi bộ xử lý phải xáo trộn các con số như phần mềm, thiết bị lưu trữ có mã hóa dùng bộ xử lý đặc biệt tích hợp sẵn để mã hóa dữ liệu trước khi ghi lên ổ đĩa cứng. Maxtor BlackArmor của Seagate gắn chip ngay trên mạch điều khiển nên được xếp vào loại mã hóa toàn bộ ổ đĩa (full-disk encryption). Ổ đĩa cứng mã hóa toàn bộ thường chỉ dùng cho máy tính xách tay doanh nghiệp nhưng nay được phổ cập cho đĩa cứng gắn ngoài.

    Quá trình mã hóa khá đơn giản. Sau khi khởi động rồi nhập số PIN hay mật khẩu, bạn có thể chép dữ liệu vào ổ đĩa bình thường thông qua Windows Explorer hoặc ứng dụng riêng của thiết bị. Một số thiết bị cho phép xác nhận mật khẩu bằng phím bấm hoặc chìa khóa ngay trên vỏ ngoài, trong khi đa phần thiết bị còn lại yêu cầu nhập mật khẩu qua ứng dụng Windows (tự chạy mỗi khi kết nối vào máy tính). Nếu bạn định dùng thiết bị cho cả những hệ điều hành khác Windows thì nên quan tâm đến sản phẩm của Data Locker và Lenovo vì chúng có bàn phím vật lý.

    Trên thiết bị lưu trữ có mã hóa, dữ liệu lưu trên đĩa từ (hoặc chip nhớ với bút nhớ flash) trở nên vô nghĩa đối với những người không biết mật khẩu hoặc khóa mã – ngoại trừ một số ít chuyên gia.

    Nếu tìm cách lấy đĩa từ (hoặc chip nhớ) ra khỏi vỏ thiết bị và quét bằng thiết bị khôi phục dữ liệu chuyên dụng thì họ cũng chỉ lấy được một đống dữ liệu hỗn độn các bit ngẫu nhiên.

    Hiện thiết bị lưu trữ có mã hóa sử dụng một vài chuẩn mã hóa (còn gọi là giải thuật) thông dụng. Chuẩn phổ biến nhất là AES (Advanced Encryption Standard), nó có một số biến thể dùng riêng cho chính phủ liên bang và quân đội Mỹ, ví dụ như FIPS 140. Level 1 (cấp độ 1) thấp nhất trong bốn cấp, cơ bản đảm bảo không gây phát sinh lỗi hoặc thiếu dữ liệu. Tất cả thiết bị sử dụng giải thuật AES-128 hoặc AES 256 đều thỏa FIPS 140-2 Level 1. Kém phổ biến hơn là thiết bị lưu trữ dùng chuẩn mã hóa cũ hơn - DES (Digital Encryption Standard) hoặc Triple-DES; cả hai có giải thuật yếu hơn đáng kể nhưng lại hiệu quả khi đơn giản chỉ cần "làm khó” người trần mắt thịt.

    Nói chung dù bạn mua sản phẩm nào trong số 7 sản phẩm sau thì vẫn có thể yên tâm rằng người khác không thể biết được nội dung dữ liệu bên trong; tất nhiên là trong trường hợp bạn không ghi sẵn mật khẩu hoặc khóa mã trên vỏ. Công nghệ không thể giúp bạn trong trường hợp bất cẩn này.

    Seagate Maxtor BlackArmor

    Seagate Maxtor BlackArmor (giá 135USD, dung lượng 320GB) là hiện thân của sự đơn giản và là mẫu đầu tiên mã hóa toàn bộ đĩa (chip mã hóa đặt ngay trên mạch điện). Theo Seagate, tất cả dữ liệu trên ổ đĩa cứng đều đã được mã hóa nên không ai có thể truy xuất chúng nếu mất chip mã hóa. Trong lần kết nối đầu tiên BlackArmor vào máy tính Windows, thiết bị chỉ nạp phân vùng chỉ đọc (read-only) có chứa phần mềm cài đặt. Khởi tạo ổ đĩa và thiết lập mật khẩu chỉ mất một phút. Sau đó, thiết bị sẽ nạp phân vùng được mã hóa và Windows hiển thị như một ổ đĩa cứng. Từ đó trở về sau, mỗi lần bạn kết nối thiết bị vào máy tính, chương trình tự động yêu cầu bạn nhập mật khẩu.

    BlackArmor còn có tính năng Secure Erase (xóa an toàn bằng cách ghi đè giá trị 0 lên toàn bộ vùng dữ liệu) và tiện ích sao lưu.

    Apricorn Aegis Bio

    Apricorn Aegis Vault thiết kế cáp USB dính liền nên tiện dụng.

    Apricorn Aegis Bio (300USD, dung lượng 500GB) không chỉ có mã hóa phần cứng mà còn là một trong số ít thiết bị tích hợp đầu đọc vân tay. Nhờ vậy, bạn có thể đăng nhập đơn giản hơn bằng cách quét dấu vân tay, và không cần phải nhớ, nhập mật khẩu. Apricorn đã phát huy cơ chế bảo mật trắc sinh học rất tốt, cho phép quét dấu vân tay để đăng nhập Windows hoặc điền mật khẩu tự động vào form đăng nhập dịch vụ.

    Apricorn Aegis Vault

    Là phiên bản Aegis Bio bị lược bỏ đầu đọc vân tay, Aegis Vault (260USD, dung lượng 500GB) bắt buộc phải nhập mật khẩu để sử dụng. Aegis Vault thanh lịch, giá cao hơn BlackArmor tương đương, tính năng cơ bản nhưng thiết kế cáp USB dính liền khá tiện dụng.

    Sandisk Cruzer Contour

    Cruzer Contour (100USD, dung lượng 16GB) bảo mật không cao vì bản chất là bút nhớ flash được trang bị thêm cơ chế kiểm soát đơn giản tại cổng kết nối USB. Nắp có thể trượt chỉ với ngón tay cái. Bản chất thiết bị là ổ đĩa U3 tốc độ cao cùng với các ưu điểm truyền thống: cho phép chạy chương trình trực tiếp trên bút nhớ, tự động lưu tài liệu và có giao diện gọi ứng dụng U3 Launchpad (theo kiểu trình đơn Start trong Windows).

    Trong trình đơn Launchpad có mục chọn Lock cho phép mã hóa theo chuẩn AES phân vùng dành cho người dùng và bảo vệ bằng mật khẩu. Nhưng vì cơ chế bảo mật không được kích hoạt ngay từ đầu nên mật khẩu có thể bị người khác dò ra; mức độ bảo vệ chỉ ở mức bình thường.

    Data Locker Pro AES Edition

    Để thiết bị có thể chạy trên nhiều hệ điều hành khác nhau, bạn cần một cơ chế nhập mật khẩu không thông qua phần mềm Windows. Vì thế, Data Locker Pro AES (340USD, dung lượng 320GB) tích hợp riêng màn hình LCD cảm ứng để thể hiện bàn phím số cảm ứng khi bạn cần nhập 6 số mật mã. Màn hình cảm ứng này cũng được dùng đến khi đổi mật mã, bật/tắt mã hóa, ngắt kết nối thiết bị, xóa ổ đĩa. Điều phiền là tiếng bíp phát mỗi khi nhấn lên màn hình khá to và không thể tắt.

    Data Locker có giá cao hơn bởi trang bị thêm màn hình LCD cảm ứng nhưng đáng quan tâm nếu bạn có dữ liệu quan trọng cần dùng trên nhiều hệ máy khác nhau.

    Đĩa cứng Lenovo ThinkPad USB Secure

    Tương tự Data Locker, Lenovo thiết kế trên vỏ ThinkPad USB Secure một bộ phím số. Nhấn và giữ tổ hợp phím số thích hợp còn cho phép đổi mật khẩu, thay đổi thiết lập mà không cần dùng đến phần mềm. Thiết bị không phát âm thanh khi nhấn phím - không ồn như Data Locker nhưng lại không có dấu hiệu báo phím đã nhấn. Ô đĩa cần nhiều điện năng hơn nên cung cấp thêm cáp USB thứ hai để lấy nguồn từ máy tính.

    Kingston DataTraveler Vault-Privacy Edition

    Kingston DataTraveler Vault-Privacy Edition (trái) dùng khóa mã hóa AES 256-bit an toàn hơn, trong khi Sandisk Cruzer Contour bảo mật thông qua phần mềm U3.

    Kingston DataTraveler Vault-Privacy Edition (173USD với dung lượng 4GB) tốt nhưng đắt với những người dùng chỉ cần mang đi mọi nơi một thiết bị lưu trữ nhỏ gọn, mã hóa an toàn. Dạng tuýp, vỏ kim loại, màu xanh dương với nắp mở một đầu, DataTraveler Vault-Privacy Edition kích thước khá lớn nhưng giá trị nằm bên trong: bút nhớ nhúng cơ chế mã hóa dữ liệu với khóa AES 256bit (dài gấp đôi so với các sản phẩm khác). Khóa càng dài thì kẻ trộm càng khó bẻ.

    Tương tự ổ đĩa BlackArmor, DataTraveler đặt các tiện ích lên phân vùng chỉ đọc mà Windows có thể nhận diện như một ổ CD-ROM. Sau khi bạn tạo mật khẩu, ổ đĩa sẽ hiển thị phân vùng mã hóa.

    Cách khác để bảo vệ dữ liệu

    Các thiết bị kể trên nếu định nghĩa đầy đủ phải là thiết bị lưu trữ cầm tay được mã hóa bởi vì chỉ loại trừ Seagate Maxtor BlackArmor, các ổ đĩa còn lại thực hiện việc mã hóa từ bên ngoài vỏ thiết bị (chứ không trực tiếp từ trên bo mạch điều khiển ổ đĩa cứng). Đa phần ổ đĩa cứng bên trong không khác mấy so với ổ đĩa cứng của các sản phẩm không mã hóa (vì thế có thể tráo đổi qua lại).

    Thiết bị thực chất có thêm phần cứng, phần mềm điều khiển và bộ xử lý để thực thi việc mã hóa.

    Một số nhà sản xuất bán riêng phần vỏ để bạn có thể tự mua ổ đĩa cứng (thông thường). Addonics Technologies (www.addonics.com), Enova Technology (www.enovatech.net), và RadTech (www.radtech.us) làm sẵn bộ vỏ cho ổ đĩa cứng 2,5" hoặc 3,5". Vỏ có sẵn phần cứng mã hóa chuẩn AES 128bit/256bit với giao tiếp USB 2.0 (phổ biến), FireWire 400, FireWire 800 hoặc eSATA.

    Hitachi vừa hợp tác với Seagate để sản xuất ổ đĩa cứng tích hợp cùng lúc công nghệ mã hóa và khóa mã hóa để tránh cho việc dữ liệu nhạy cảm còn nằm lại trên ổ đĩa cứng sau khi phá hủy. Thiếu chip mã hóa và mật khẩu, khóa, mật mã của bạn thì không ai có thể đọc được dữ liệu trên ổ đĩa cứng. Trước khi vứt bỏ ổ đĩa cứng, bạn đơn giản chỉ cần xóa khóa mã hóa thì dữ liệu không thể khôi phục và bạn có thể định dạng lại để tái sử dụng.

    Duy Khánh
    PC World Mỹ 3/2009

    Từ khóa: portable, security
    ID: A0903_86