Cách bảo mật thông tin trên máy tính

• Home
• Chiến thuật

4. Làm thế nào để bảo vệ các tệp dữ liệu tối mật trên máy tính của bạn

Đã cập nhật2010

Hướng dẫn này không còn được bảo trì nữa

Một kẻ xâm nhập có thể truy cập dữ liệu trên máy tính hay các thiết bị lưu trữ lưu động của bạn từ xa qua mạng Internet; hay hắn có thể xâm nhập trực tiếp phần cứng hệ thống của bạn. Bạn có thể tự bảo vệ mình chống lại các nguy cơ trên bằng cách tăng cường bảo mật hệ thống phần cứng và mạng cho dữ liệu của bạn, như đã được đề cập ở Chương 1: Làm thế nào để bảo vệ máy tính của bạn khỏi phần mềm độc hại và tin tặc] và Chương 2: Làm sao để bảo vệ thông tin của bạn khỏi những nguy cơ vật lý trực tiếp. Luôn là tốt nhất khi có một vài tầng bảo vệ, chính vì vậy bạn cũng cần có tầng bảo vệ chính các tệp dữ liệu. Bằng cách đó, dữ liệu tối mật của bạn có khả năng được an toàn ngay cả khi các các nỗ lực bảo mật khác không được đáp ứng.

Có hai cách tiếp cận chung cho các vấn đề về bảo mật dữ liệu theo hướng này. Bạn có thể mã hóa các tệp dữ liệu, khiến cho chúng không thể đọc được bởi bất kỳ ai khác ngoài bạn, hoặc có thể giấu chúng với hi vọng kẻ xâm nhập không thể tìm thấy các thông tin nhạy cảm. Có một số công cụ giúp bạn theo cả hai hướng tiếp cận, trong đó có Phần Mềm Nguồn Mở là VeraCrypt, là công cụ có thể mã hóa và ẩn giấu các tệp dữ liệu của bạn.

Tình huống cơ bản

:Snippet

Những điều bạn có thể học được từ chương này

• Cách mã hóa thông tin trên máy tính của bạn

• Những vấn đề bạn có thể gặp khi lưu trữ dữ liệu dưới dạng mã hóa

• Làm sao để bảo vệ dữ liệu trên thẻ nhớ USB phòng trường hợp bị mất hay bị đánh cắp

• Những bước cần thực hiện để ẩn giấu dữ liệu khỏi những xâm nhập trực tiếp hay từ xa

Mã hóa dữ liệu của bạn

:Snippet

Mã hóa thông tin của bạn giống như việc cất chúng trong các két an toàn được khóa lại. Chỉ những ai có chìa khóa hoặc biết tổ hợp khóa [một chìa khóa mật mã hay một mật khẩu, trong trường hợp này] mới có thể mở được. Đặc điểm chung trên đặc biệt phù hợp cho VeraCrypt và các công cụ tương tự, tạo ra các không gian chứa được mã hóa gọi là các vùng được mã hóa hơn là chỉ bảo vệ từng tệp một. Bạn có thể đưa một số lượng lớn các tệp vào trong một vùng được mã hóa, nhưng những công cụ này sẽ không bảo vệ những dữ liệu được lưu trữ ở những nơi khác trên máy tính hay thẻ nhớ USB của bạn.

Thực hành: Bắt đầu với [*Hướng dẫn sử dụng VeraCrypt*][../veracrypt/windows]

Trong khi các phần mềm mã hóa khác có thể cung cấp khả năng mã hóa tương đương, VeraCrypt được thiết kế đặc biệt cho dạng bảo mật lưu trữ tệp này một cách tương đối đơn giản nhất. Thêm nữa, phần mềm này hỗ trợ các vùng mã hóa có thể được di chuyển trên các thiết bị lưu trữ lưu động. Thực tế đây là một công cụ phần mềm Mã nguồn Mở, với tính năng có thể chối bỏ được nêu kỹ tại phần Ẩn giấu thông tin mật ở bên dưới mang lại cho VeraCrypt một ưu thế vượt trội so với rất nhiều các công cụ mã hóa bản quyền được cài đặt sẵn, ví dụ như bitlocker của Windows XP.

:Snippet

Một số mẹo sử dụng mã hóa tệp một cách an toàn

Lưu trữ các thông tin mật có thể nguy hại đối với bạn và cho những người liên quan. Việc mã hóa giúp giảm thiểu nguy cơ này nhưng không hoàn toàn loại bỏ được. Bước đầu tiên để bảo vệ những dữ liệu mật này là giảm tối đa việc phải lưu trữ nó ở đâu đấy. Trừ khi bạn có lý do để lưu một tệp đặc biệt hay cất giữ một mảng thông tin quan trọng trong một tệp, bạn nên đơn giản là xóa nó đi [xem Chương 6: Làm sao để xóa thông tin nhạy cảm khỏi máy tính để biết thêm cách thực hiện điều đó một cách an toàn]. Bược tiếp theo lẳ dụng một công cụ mã hóa tiên tiến, như VeraCrypt.

:Snippet

Quay trở lại với việc sử dụng két an toàn được khóa, có một vài điều bạn luôn ghi nhớ trong đầu khi sử dụng VeraCrypt. và các công cụ tương tự. Bất kể két an toàn của bạn chắc chắn thế nào, sẽ chẳng giúp ích gì nếu bạn để cửa két mở toang. Khi vùng mã hóa của VeraCrypt. được gắn vào hệ thống [bất kể khi nào bạn có thể tự truy cập dữ liệu], dữ liệu của bạn có nguy cơ bị lộ, vì vậy bạn nên giữ nó luôn đóng trừ trường hợp bạn đang đọc hay thay đổi các tệp bên trong nó.

Một số tình huống quan trọng bạn tuyệt đối không nên để vùng mã hóa ở trạng thái mở [được gắn vào hệ thống]:

• Đóng ngay vùng mã hóa khi bạn rời khỏi máy tính, trong bất kỳ khoảng thời gian nào. Ngay cả khi bạn thường để máy tính của bạn chay qua đêm, bạn cần chắc rằng bạn không để dữ liệu nhạy cảm của mình có thể bị xâm nhập trực tiếp hay từ xa khi bạn không có ở đó.

• Đóng ngay vùng mã hóa trước khi chuyển máy tính sang trạng thái nghỉ. Điều này áp dụng với cả hai trạng thái nghỉ là tạm nghỉ [suspend] hay ngủ đông [hibernation] hay được sử dụng cho máy xách tay nhưng cũng có thể có cả trên máy để bàn.

• Đóng ngay vùng mã hóa trước khi cho phép ai đó sử dụng máy tính của bạn. Khi mang máy xách tay qua các điểm kiểm tra an ninh hay qua biên giới, rất cần thiết phải đóng tất cả các vùng mã hóa và tắt hẳn máy tính đi.

• Đóng ngay vùng mã hóa trước khi cắm bất kỳ ổ đĩa USB hay thiết bị lưu trữ ngoại vi không đáng tin cậy, bao gồm cả các thiết bị của bạn bè hay đồng nghiệp.

• Nếu bạn lưu trữ một vùng mã hóa trên một thẻ nhớ USB, nhớ rằng việc rút thiết bị ra không có nghĩa ngay lập tức đóng vùng mã hóa đó. Ngay cả khi bạn cần bảo mật các tệp tin một cách nhanh chóng, bạn cũng cần tuân theo trình tự đóng kết nối [gắn] vùng mã hóa, sau đó ngắt kết nối của thiết bị với máy tính thông qua phần mềm và rút thiết bị ra khỏi máy tính. Bạn có thể cần thực hành các thao tác này để tìm ra cách nhanh nhất thực hiện chúng.

Nếu bạn quyết định lưu vùng mã hóa VeraCrypt trên thẻ nhớ USB, bạn cũng có thể lưu chương trình VeraCrypt trên đó. Điều này cho phép bạn truy cập dữ liệu trên những máy tính khác nhau. Những quy định trên vẫn được áp dụng, tuy nhiên nếu bạn không tin cậy một máy tính lạ không nhiễm phần mềm độc hại, bạn không nên nhập mật khẩu hay truy cập thông tin nhạy cảm của mình.

Ẩn giấu thông tin mật

Một vấn đề của việc cất giữ một chiếc két an toàn trong nhà hay ở văn phòng, không nói đến việc mang theo một cái trong túi áo, là nó thường khá dễ nhận thấy. Nhiều người có quan ngại chính đáng về việc tự thu hút sự chú ý do sử dụng việc mã hóa. Việc có nhiều l‎ý do chính đáng cho việc sử dụng hơn là không sử dụng mã hóa không làm cho nguy cơ này bớt phần thực tế. Hai l‎ý do thiết thực tại sao bạn nên tránh sử dụng các công cụ như VeraCrypt: nguy cơ của việc tự thu hút sự chú ý và nguy cơ để lộ vị trí cất giữ thông tin mật.

Cân nhắc nguy cơ tự thu hút sự chú ý

Việc mã hóa là trái pháp luật ở một số quốc gia, có nghĩa là việc tải về và cài đặt hay sử dụng các phần mềm loại này có thể bị coi là phạm pháp. Đồng thời, nếu cảnh sát, quân đội hay các lực lượng đặc nhiệm là nhóm đối tượng bạn muốn bảo vệ thông tin khỏi bị lọt rơi vào, thì việc vi phạm luật này có thể là cái cớ để qua đó các hoạt động của bạn bị điều tra hoặc cơ quan của bạn có thể bị làm phiền. Tuy nhiên trong thực tế, mối nguy cơ này chẳng hề liên quan gì tới tính hợp pháp của các công cụ. Bất kỳ khi nào, nếu chỉ cần có dính líu một chút xíu tới việc sử dụng các phần mềm mã hóa cũng đủ để quy kết bạn hoạt động phạm pháp hay gián điệp [không quan tâm tới dữ liệu thực tế bạn lưu trữ trong vùng mã hóa] thì bạn sẽ phải suy nghĩ cẩn thận việc dùng các công cụ này có phù hợp trong hoàn cảnh thực tế của bạn không.

Nếu đây là thực tế, bạn có một số lựa chọn sau:

• Bạn hoàn toàn tránh sử dụng các phần mềm bảo mật dữ liệu, có nghĩa là bạn chỉ lưu trữ nhưng dữ liệu không bí mật hay phát minh ra môt hệ thống mã hóa từ ngữ để bảo vệ các thành phần quan trọng của các tệp tin mật.

• Bạn có thể dựa trên một kỹ thuật gọi là kỹ thuật ẩn giấu ngữ nghĩa để giấu thông tin mật, thay vì mã hóa nó. Có những công cụ giúp bạn thực hiện việc này, nhưng để sử dụng chúng một cách đúng đắn đòi hỏi sự chuẩn bị hết sức kỹ càng, và bạn vẫn đối diện với nguy cơ thu hút sự chú ý của những kẻ biết rõ công cụ bạn đã sử dụng.

• Bạn cũng có thể thử lưu trữ dữ liệu mật của mình trên các tài khoản tại những trang web được bảo mật, nhưng điều này đòi hỏi một kết nối mạng đáng tin cậy và sự am hiểu tốt về máy tính và các dịch vụ Internet. Kỹ thuật này cũng giả định rằng việc mã hóa đường truyền mạng không thu hút sự chú ý [như mã hóa tệp tin] cũng như bạn không sao chép nhầm dữ liệu nhạy cảm lên trên máy tính của mình và quên ở đó.

• Bạn có thể lưu các thông tin mật trên các thẻ nhớ USB hay thiết bị nhớ lưu động. Tuy nhiên những thiết bị này thậm chí dễ dàng bị mất hay bị tước đoạt hơn là máy tính, vì vậy việc mang những thông tin mật không được mã hóa trong những thiết bị này là một điều không nên làm.

• Nếu cần thiết bạn có thể sử dụng một loạt những phương cách trên. Tuy nhiên, thậm chí trong trường hợp bạn quan ngại về việc tự gây sự chú ý, có lẽ vẫn là an toàn nhất khi sử dụng VeraCrypt với sự cố gắng ngụy trang vùng mã hóa một cách tốt nhất có thể được.

• Nếu muốn tạo một vùng mã hóa ít gây sự chú ý nhất, bạn có thể thay đổi tên để nó trông giống như bất kỳ một loại tệp nào khác. Sử dụng tệp dạng .iso để ngụy trang là tệp hình ảnh của đĩa CD, đây là một lựa chọn phù hợp cho các vùng lưu trữ lớn cỡ khoảng 700MB. Các dạng mở rộng khác của tệp thường phù hợp cho những vùng nhớ nhỏ hơn. Việc làm này giống như giấu chiếc két an toàn sau bức tranh trong tường văn phòng. Nó có thể không che được những rà xoát kỹ lưỡng nhưng cũng đem lại mức độ bảo vệ nào đó. Bạn có thể thay đổi tên của chương trình VeraCrypt, giả định rằng bạn sẽ lưu nó như các tệp khác trên ổ cứng máy tính hay thẻ nhớ USB chứ không cài đặt lên máy tính. Phần

Hướng dẫn Sử dụng VeraCrypt sẽ giải thích cách thực hiện.

Cân nhắc nguy cơ để lộ thông tin mật

Thường thì bạn ít để tâm tới hậu quả của việc bị bắt với phần mềm mã hóa lưu trữ trong máy hay thẻ nhớ USB mà thường quan tâm rằng các vùng mã hóa sẽ chỉ ra chính xác nơi bạn cất giấu những dữ liệu bí mật mà bạn muốn bảo vệ. Có thể đúng khi cho rằng không ai khác có thể đọc được chúng, kẻ xâm nhập có thể biết rằng dữ liệu nằm ở đó, và rằng bạn đang tìm mọi cách để bảo vệ nó. Điều này dẫn bạn tới những phương cách phi điện toán mà kẻ thù có thể sử dụng để lấy được quyền truy cập dữ liệu như: đe dọa, tống tiền, khủng bố và tra tấn. Trong trường hợp này, tính năng có thể chối bỏ của VeraCrypt, sẽ được trình bày chi tiết dưới đây, sẽ đem lại sự hữu ích.

Tính năng có thể chối bỏ của VeraCrypt là một tính năng vượt trội so với các các công cụ mã hóa tệp khác. Tính năng này có thể được coi là một dạng riêng của kỹ thuật ẩn giấu nội dung giúp ẩn giấu dữ liệu nhạy cảm nhất của bạn so với các thông tin được ẩn giấu khác, ít nhạy cảm hơn. Nó tương tự như việc làm một cái đáy giả mỏng bên trong một cái đáy giả không quá mỏng cho cái két an toàn tại văn phòng bạn. Nếu một kẻ xâm nhập lấy trộm được chìa khóa két an toàn, hoặc đe dọa bạn phải đưa cho hắn thông tin mở khóa, hắn sẽ tìm thấy những thông tin ngụy trang, chứ không phải những thông tin mà bạn thực sự muốn bảo vệ.

Chỉ có mình bạn biết rằng két an toàn của bạn có chứa một ngăn ẩn phía sau. Điều này cho phép bạn chối bỏ rằng bạn còn giữ thêm bất cứ thông tin nào ngoài những thông tin bạn đã đưa cho kẻ thù, và có thể giúp bạn trong tình huống bạn phải tiết lộ mật khẩu vì lý do nào đó. Những lý do này có thể bao gồm những đe dọa về pháp lý hay thể chất đối với bạn, hay đối với tới đồng nghiệp, đồng minh hoặc bạn bè, người thân trong gia đình. Mục đích của việc có thể chối bỏ cho bạn cơ hội để thoát khỏi nguy cơ rơi vào tình huống nguy hiểm cho dù bạn chọn cách cố gắng bảo vệ dữ liệu của mình. Tuy nhiên như đã đề cập tại phần Cân nhắc nguy cơ tự thu hút sự chú ý, tính năng này không có tác dụng nếu chỉ đơn thuần bị bắt với chiếc két an toàn trong văn phòng cũng đủ đưa bạn tới những hậu quả không chấp nhận được.

Tính năng có thể chối bỏ của VeraCrypt được thực hiện bằng cách tạo một vùng mã hóa ẩn bên trong vùng mã hóa thông thường của bạn. Bạn mở vùng dữ liệu ẩn này bằng cách nhập một mật khẩu khác với mật khẩu thông thường bạn dùng. Ngay cả khi một kẻ xâm nhập với kỹ thuật tinh vi có được mật khẩu truy cập vùng mã hóa thông thường, hắn cũng không thể chứng minh rằng vùng mã hóa ẩn thực sự tồn tại.

Tất nhiên, có khả năng hắn cũng biết rõ rằng VeraCrypt có khả năng che giấu thông tin theo cách này, không có gì đảm bảo rằng các mối đe dọa sẽ không còn một khi bạn tiết lộ cho hắn thông tin mật khẩu mồi. Rất nhiều người sử dụng VeraCrypt không bật tính năng có thể chối bỏ, tuy nhiên điều này được coi là không thể xác định được, theo cách phân tích, liệu vùng mã hóa này có chứa đáy giả hay không. Với điều này, việc của bạn là đảm bảo rằng bạn không để lộ vùng mã hóa ẩn do các lỗi phi kỹ thuật như để nó ở tình trạng mở hoặc để lại các đường dẫn tới tệp nằm trong vùng này. Mục Đọc thêm bên dưới có thể chỉ dẫn bạn tới thêm thông tin về vấn đề này

:Snippet

Đọc thêm

• Những thông tin thêm về bảo mật các tệp thông tin, xem chương Cryptology, chương Steganography và Case Study 3 trong cuốn Digital Security and Privacy for Human Rights Defenders