Chip bảo mật T2 của Apple hoạt động ra sao?

Ảnh hưởng của Chip bảo mật Apple T2 đến bộ nhớ đĩa

Hiện nay, tất cả các máy Mac mới đều được trang bị chip bảo mật T2 của Apple nhằm bảo mật hoạt động cho máy, đặc biệt là ổ SSD mã hóa.

Mặc dù con chip này thực hiện nhiều công việc khác nhau, bao gồm cả việc quản lý quy trình khởi động an toàn, Touch ID, FaceTime, âm thanh và Siri, bài viết này sẽ chỉ tập trung vào các khía cạnh của mã hóa dữ liệu lưu trữ.

Thông tin trong bài viết sẽ được lấy từ 2 nguồn sau:

  1. Tổng quan về Chip bảo mật Apple T2 từ tháng 10 năm 2018 (Apple T2 Security Chip Security Overview from October 2018).
  2. White paper của Apple (HT208344): Về bộ mã hóa dữ liệu lưu trữ trên máy Mac mới (Apple tech note HT208344: “About encrypted storage on your new Mac.”)

Bài đầu tiên đề cập đến cuộc thảo luận của Apple về tất cả các chức năng hoạt động của chip T2. Rất nhiều người sẽ cảm thấy khó hiểu khi đọc bài viết này vì bài viết chứa khá nhiều thuật ngữ kỹ thuật.

Tuy nhiên, mấu chốt trong bài viết là thông tin Apple đã và đang thiếp lập một cơ sở hạ tầng bảo mật hạng nhất trong các máy Mac mới của mình. Đó là một chặng đường dài hướng tới mục tiêu bảo vệ máy Mac khỏi các cuộc tấn công vào tính bảo mật cũng như tính toàn vẹn của nó. Ý nghĩa của thiết kế này sẽ có tác động đến người dùng máy Mac mới.

Những dòng máy Mac có T2

Apple cũng đã đăng một ghi chú (HT208862) liệt kê tên những dòng máy Mac có T2, bao gồm:

  • iMac Pro
  • Các mẫu máy Mac mini từ năm 2018
  • Các mẫu MacBook Air từ năm 2018
  • Các mẫu MacBook Pro từ năm 2018

Ghi chú hoạt động

Apple đưa ra một số lưu ý về cách máy Mac mới xử lý và mã hóa nội dung của Ổ cứng SSD như sau:

Dữ liệu trên ổ cứng SSD được mã hóa bằng động cơ tăng tốc phần cứng AES được tích hợp trong chip T2. Mã hóa này được thực hiện với các khóa có độ dài 256 bit gắn với một mã định danh duy nhất trong chip T2.

Điều này vẫn xảy ra cho dù người dùng có bật FileVault trong quá trình thiết lập hay không. Vấn đề cốt lõi là nếu một hành động độc hại nào xóa các chip SSD khỏi máy Mac, tất cả dữ liệu vẫn sẽ được mã hóa. Tuy nhiên, khi các con chip vẫn còn trong Mac, một ID phần cứng đặc biệt trong Secure Enclave của T2 sẽ giải mã dữ liệu.

Để đảm bảo rằng khi ở trong máy chủ, nội dung của SSD vẫn được mã hóa cho đến khi cụm mật khẩu được cung cấp, người dùng nên kích hoạt FileVault. Nếu như trước đây, việc bật FileVault sẽ tốn nhiều giờ đồng hồ để thực hiện, thì nay dữ liệu trong máy Mac T2 đã được mã hóa để sẵn sàng sử dụng. Thao tác bật FileVault trở nên vô cùng nhanh chóng. Giờ đây, khóa giải mã là sự kết hợp của ID phần cứng độc nhất của Mac và cụm mật khẩu của chính người dùng.

Ngoài ra vì mục đích bảo mật, theo mặc định thì chỉ có hệ điều hành hiện tại hoặc hệ điều hành có chữ ký số được Apple tin cậy mới có thể chạy chế độ này. Vì vậy, nó yêu cầu kết nối mạng và thời gian để cài đặt. Cuối cùng, máy Mac T2 được cài đặt mặc định không cho phép khởi động từ phương tiện truyền thông bên ngoài.

Lưu ý:

Người dùng vẫn có thể chọn KHÔNG sử dụng tính năng bảo mật của chip T2 cho một vài trường hợp cụ thể, tuy nhiên hãy đảm bảo bạn biết mình đang làm gì, và hiểu về rủi ro bảo mật có thể xảy ra.

Trong chế độ Khôi phục (CMD-R khi khởi động) có sẵn một tiện ích có tên “Startup Security Utility” – cho phép người dùng chọn giữa 3 chế độ:

  • Full Security (bảo mật tuyệt đối): chỉ hệ điều hành hiện tại và những phần mềm được Apple cấp phép và chứng nhận an toàn mới có thể hoạt động. Cài đặt này yêu cầu kết nối mạng tại thời điểm bạn cài đặt phần mềm.
  • Medium Security (bảo mật trung bình): cho phép các phiên bản khác của một phần mềm bất kì (đã từng được Apple chứng nhận an toàn) hoạt động.
  • No Security (không bảo mật): tất cả các chương trình đều có thể hoạt động.
 Startup Security Utility hiển thị mặc định
Startup Security Utility hiển thị mặc định

Một tác động của việc SSD luôn được mã hóa chip T2 là nếu SSD bị lỗi hoặc bị hỏng, tất cả dữ liệu của bạn có thể trở nên không thể khắc phục được. Đó là lý do bạn nên chủ động trong việc sao lưu (backup) dữ liệu.

Kết luận

Như những gì được thể hiện trong các tài liệu trên, các khía cạnh bảo mật mới của máy Mac T2 có thể có tác động đến cách bạn vận hành máy tính, giúp cho trải nghiệm sử dụng máy Mac đời mới liền mạch và an toàn hơn. Ngược lại, chip bảo mật T2 cũng gây ra một số phiền toái như việc toàn bộ dữ liệu sẽ không thể khôi phục nếu ổ đĩa SSD bị hỏng.

Ngoài ra, vì các tác giả khác nhau thảo luận các chủ đề kỹ thuật phức tạp với các cách tiếp cận, trọng tâm và ngôn ngữ khác nhau, nên việc đọc về cùng một chủ đề phức tạp từ nhiều nguồn khác nhau sẽ vô cùng hữu ích. Bạn có thể tham khảo thêm một trong những nguồn sau:

  1. Những điều cần biết về chip T2 trong Mac mini và MacBook Air 2018 (Everything you need to know about Apple’s T2 chip in the 2018 Mac mini and MacBook Air)
  2. Chào mừng bạn đến với máy Mac mới: sống cùng chip T2 (Welcome to your new Mac: living with the T2 chip)

Hai bài báo này cùng thảo luận về một chủ đề nhưng theo các cách khác nhau. Điều rút ra là hãy đẩm bảo máy Mac mới của bạn sẽ hoạt động tốt bằng cách học hỏi các kiến ​​thức chuyên môn với các điều khoản bảo mật mới này.

The Mac Observer