Dù rằng có rất nhiều điểm thuận tiện, nhưng phiên bản mới của BitLocker trên Windows 8.1 đi kèm với rất nhiều điều kiện ngặt nghèo.


Ngay từ thời Window Vista, ta đã có thể dễ dàng bắt gặp trên các phiên bản cao cấp của hệ điều hành này chức năng mã hóa BitLocker Drive. Tương tự như chức năng FileVault trên các phiên bản OS X mới hay “encrypt device” trên nhiều điện thoại Android, người dùng sẽ thường phải tự tay khởi động chức năng BitLocker để tận dụng được các lợi thế bảo mật mà chức năng này mang lại. Một khi đã được khởi động, BitLocker sẽ bảo vệ dữ liệu trên máy của người dùng khỏi những con mắt nhòm ngó, thậm chí cả trong trường hợp kẻ xâm nhập đã lấy trộm được dữ liệu đem đi nơi khác.

Tuy nhiên, một số thiết bị di động – trong đó phải kể đến các thiết bị chạy iOS, Windows Phone 8hay Windows RT – có thể tự động thực hiện việc mã hóa mà không yêu cầu người dùng phải nhúng tay vào. Các hệ điều hành này mặc định coi như các nền tảng phần cứng mà ta đang sử dụng hỗ trợ quy trình mã hóa, vì vậy chức năng mã hóa này được bật mặc định và hoạt động ở chế độ liên tục, hoàn toàn im lặng. Trên Windows 8.1, người dùng tablet và Ultrabook cuối cùng cũng đã được Microsoft cung cấp chức năng tương tự. Nếu các yêu cầu về mặt cấu hình phần cứng cần đã được đáp ứng, chức năng mang tên “device encryption” này sẽ tự động bảo vệ dữ liệu cho người dùng Windows mà không cần bất kỳ một thao tác cấu hình bổ sung nào.

Cơ chế

Về cơ bản, chức năng mã hóa mới trên Windows 8.1, mặc dù vận hành trên các tablet hay laptop sử dụng nền tảng vi xử lí x86, sẽ hoạt động tương tự như các chức năng hệ thống của các thiết bị chạy trên nền ARM (vốn tiêu thụ ít năng lượng hơn nhiều). Người dùng hay người quản trị sẽ không cần trải qua bất kỳ một bước cấu hình nào để khởi động chức năng này. Vẫn như mọi khi, ta khởi động laptop hay tablet và đăng nhập, sử dụng máy hệt như các thiết bị chưa được mã hóa ngày trước. Công việc mã hóa dữ liệu sẽ được diễn ra trong im lặng. Nếu có ai đó tìm cách lấy được dữ liệu trên máy, hoặc thậm chí là đánh cắp cả cỗ máy nhưng không lấy được mật khẩu đăng nhập (hoặc khóa mã) mà sử dụng các công cụ bên ngoài (VD 1 bản window portable) để truy cập dữ liệu trên ổ cứng, kẻ đó cũng vẫn sẽ không thể đọc được nội dung các dữ liệu vốn đã được mã hóa bằng mật khẩu đăng nhập.

Tuy nhiên cũng lưu ý rằng dù không yêu cầu cấu hình, nhưng ngoài một vài yêu cầu về mặt phần cứng (không được nêu chi tiết cho người dùng) thì chức năng mã hóa tự động này sẽ chỉ vận hành một khi ta đã đăng nhập bằng Microsoft account (hoặc account trong một Domain đã được quản trị hệ thống cấu hình Group Policy thích hợp, nếu là máy cơ quan).

Khi đăng nhập lần đầu vào một máy tính chạy Windows 8.1 với cấu hình phần cứng đủ để hỗ trợ chức năng này, ta có thể xem trạng thái mã hóa trong phần "PC Info". Việc mã hóa được diễn ra tự động, nhưng master key cần dùng để mở khóa thiết bị theo mặc định không được bảo vệ. Khi đăng nhập vào một Microsoft account từ một tài khoản có quyền quản trị, thiết bị của người dùng sẽ tự động sinh ra một recovery key và upload nó lên máy chủ của Microsoft. Lúc này người dùng có thể đăng nhập vào Microsoft account của mình từ một máy khác và lấy lại recovery key này nếu như gặp sự cố không thể sử dụng được bản Windows đang cài đặt trên thiết bị được mã hóa. Tùy theo cấu hình của quản trị hệ thống, các tài khoản Active Directory (trong môi trường doanh nghiệp) cũng có thể được sử dụng để lưu các key này và sử dụng để khôi phục dữ liệu khi cần thiết.

Tuy quá trình làm việc nghe qua không có gì ấn tượng, nhưng đây thực sự là một bước cải tiến đáng kể của Microsoft cho BitLocker. Trước đây, những người dùng có nhu cầu bảo mật cao sẽ phải tự tìm cách sao lưu và bảo quản key sử dụng trong việc mã hóa, chưa kể đến việc thường xuyên phải tự khởi động tiến trình mã hóa. Giờ đây các thông tin đều được tự động sao lưu và quản lý theo từng Microsoft account, người dùng chỉ cần kiểm tra thấy trạng thái “BitLocker Encrypted” trong Disk Management là đã có thể yên tâm rằng dữ liệu của mình đã được bảo vệ an toàn.

Mặc dù mang tên mới “device encryption”, nhưng về cơ bản nền tảng công nghệ và kỹ thuật mã hóa vẫn hoàn toàn là của BitLocker ngày trước. Điểm đáng kể nằm ở chỗ, chức năng này được cung cấp tới tất cả các phiên bản Windows 8.1, trong khi ngày trước BitLocker chỉ xuất hiện trên các dòng Windows 8 Pro và Enterprise, hay dòng Ultimate và Enterprise của Windows 7. Giờ đây, ngay cả những người dùng phổ thông cũng đã có điều kiện tiếp cận kỹ thuật mã hóa cao cấp này.

Yêu cầu khắt khe

Khoảng 1 hay 2 năm nữa, có thể các yêu cầu về mặt phần cứng đi kèm với chức năng mã hóa thầm lặng này sẽ không còn là vấn đề gì to tát. Nhưng tại thời điểm hiện tại, vẫn còn tồn tại một số rào cản nhất định cho người dùng đang sử dụng các thiết bị cũ. Theo như Microsoft, các yêu cầu đối với nền tảng phần cứng cần được đáp ứng để kích hoạt device encryption bao gồm:

• Sử dụng UEFI, có Secure Boot và hỗ trợ Windows 64-bit.
  
• Có Trusted Platform Module (TPM) phiên bản 2.0 trở lên (rất nhiều thiết bị đang được sử dụng trên thị trường mới chỉ có TPM 1.2).
  
• Firmware hỗ trợ chức năng Connected Standby của Windows. Đây là chức năng cho phép một máy đang ở chế độ Sleep có thể tự bật lên theo định kỳ và kiểm tra lại một số thông tin (như kiểm tra email hoặc sự kiện trong các ứng dụng lịch), tương tự như cách mà đa số smartphone vận hành.
  
• Bản thân chức năng Connected Standby cũng có những yêu cầu phần cứng riêng, các yêu cầu này dĩ nhiên phải được thỏa mãn để việc mã hóa tự động có thể được kích hoạt theo đúng chu kỳ. Trong đó quan trọng nhất phải kể đến phân vùng hệ thông chạy bằng ổ SSD, card mạng hỗ trợ NDIS 6.3 và bộ nhớ được hàn cố định vào mainboard. Thiết bị đó cũng phải hỗ trợ passive cooling (cơ chế tản nhiệt không tiêu tốn năng lượng) trong trạng thái Connected Standby, bất kể khi hoạt động bình thường có sử dụng quạt đi chăng nữa.
  

Nhìn vào các yêu cầu này, một điều đáng tiếc cần được khẳng định là ở thời điểm hiện tại có rất, rất ít các thiết bị trên thị trường có thể đáp ứng đầy đủ các yêu cầu trên. Trong đó yêu cầu hỗ trợ chức năng Connected Standby có thể nói là rào cản lớn nhất, bởi nó có liên quan trực tiếp đến kiến trúc CPU. Hiện tại về phía Intel bất kỳ dòng CPU thuộc thế hệ trước Haswell đều không có khả năng hỗ trợ Connected Standby. Còn AMD có vẻ còn phải lập cập tới tận... 2014 mới có thể ra mắt các chip hỗ trợ chức năng này. Nhưng ngay cả một số Ultrabook Haswell hiện tại cũng chưa có firmware hỗ trợ ổn định Connected Standby. Đồng nghĩa với việc ngay cả những người dùng mới sắm Ultrabook Haswell trong vài tháng trở lại đây cũng có thể sẽ phải chờ tới khi các hãng sản xuất thiết bị (OEM) hoàn thiện xong một bản firmware thỏa mãn được hết các “yêu sách” của Microsoft.
Chưa hết, các yêu cầu phần cứng khác đi kèm với Connected Standby cũng khiến rất nhiều mẫu máy khác bị “loại khỏi vòng chiến”. Chưa nói đâu xa, tất cả các mẫu laptop lớn (và cả desktop) với slot RAM thay thế được đều bị loại trừ - và số lượng các máy dạng này không cần nói cũng biết là cực lớn. Trong tương lai có thể Microsoft sẽ có cách để giảm thiểu các yêu cầu ngặt nghèo này, nhưng tại thời điểm hiện tại trên Windows 8.1 thì có vẻ chỉ các thiết bị cao cấp nhất mới có khả năng tiêu hóa nổi “device encryption”.

BitLocker truyền thống

Trên các hệ thống mà các rào cản phần cứng khiến người dùng không thể tiếp cận với chức năng mã hóa tự động mới này, Windows 8.1 phiên bản Pro và Enterprise vẫn cung cấp tùy chọn mã hóa BitLocker truyền thống. Ngoài lí do là phương pháp truyền thống này vốn có ít yêu cầu phần cứng hơn nhiều so với những gì đã liệt kê ở trên, một lí do khác khiến nhiều người có thể muốn sử dụng nó thay thế cho “device encryption” mới ra mắt là để tránh lệ thuộc vào Microsoft account. Việc tự quản lý các key mã hóa có thể đòi hỏi nhiều công sức và thao tác hơn, nhưng trong một số trường hợp với yêu cầu bảo mặt ngặt nghèo thì việc này hiệu quả hơn nhiều so với việc lưu trữ trên máy chủ của Microsft.