Full-Disk Encryption อีกหนึ่งเครื่องมือเสริมความเป็นส่วนตัวให้คอมพิวเตอร์

ข้อมูลในเครื่องคอมพิวเตอร์ในปัจจุบันเราเก็บทั้งข้อมูลสำคัญ และข้อมูลส่วนบุคคลอยู่เต็มไปหมด หากเครื่องคอมพิวเตอร์ของเราโดนโจรกรรมขึ้นมา สิ่งที่น่าเป็นห่วงน่าจะเป็นข้อมูลของเรามากกว่าเครื่องซะอีก วันนี้เราจะมาเล่าถึงอีกหนึ่งเครื่องมือที่ช่วยลดโอกาสที่คนร้ายจะเข้าถึงข้อมูลเครื่องของเราได้ด้วยการใช้ Full-Disk Encryption กัน

Full-Disk Encryption คืออะไร ?

หากเครื่องของเรา โดนโจรกรรมไป ย่อมมีความเสี่ยงที่ข้อมูลที่อยู่ในเครื่องของเราอาจจะหลุดรั่วออกไปได้ ทั้งจากการที่คนร้ายเข้าถึงข้อมูลเราเอง หรือการที่คนร้ายแยกชิ้นส่วนของเครื่อง และเอาอุปกรณ์เก็บข้อมูลไปขายต่อ ดังนั้น เราจะต้องมีเครื่องมือบางอย่างที่จะเข้ามาช่วยเรื่องนี้

หนึ่งในเครื่องมือที่ใช้เพื่อป้องกัน การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาติคือ การเข้ารหัส (Encryption) มันคือการที่เราใช้กุญแจตัวนึง มาทำการแปลงข้อมูลเป็นอะไรที่หากอ่านเราแทบไม่มีทางรู้เลยว่ามันคือข้อมูลอะไร และสุดท้ายเมื่อเราต้องการอ่านข้อมูลเดิม เราจะต้องใช้กุญแจ เพื่อแปลงข้อมูลกลับมาเป็นอันเดิม

การเข้ารหัสข้อมูล เราสามารถทำได้ในหลายระดับมาก ๆ ตั้งแต่ ระดับไฟล์ หรือ File-Level Encryption แต่วันนี้เราจะมาพูดถึงในระดับที่ค่อนข้างใหญ่นิดนึงคือ ระดับ Disk ทั้งลูก หรือ Full-Disk Encryption ดังนั้นหากเครื่องของเราโดนโจรกรรมจริง ๆ เมื่อคนร้ายเอา Disk ของเรามาอ่าน เขาจะอ่านเจอแค่ข้อมูลที่ผ่านการเข้ารหัสเรียบร้อยแล้ว ซึ่งมันจะอ่านไม่รู้เรื่องเลย นี่แหละ คือประโยชน์ของการทำ Full-Disk Encrpytion

แต่ Full Disk-Encryption มันไม่ง่ายขนาดนั้น...

กลับไปที่ภาพว่า เวลาเราเข้ารหัสข้อมูล หากเราจำเป็นต้องการใช้ข้อมูล เราจะต้องถอดรหัสข้อมูลของเราก่อน และนึกภาพว่า อ้าว เราสั่งเข้ารหัสข้อมูลทั้ง Disk เลย แล้วเราจะทำอย่างไร โปรแกรมเอย ข้อมูลเราเอย ระบบปฏิบัติการเอาเอย จะทำอย่างไร

วิธีการที่ง่ายที่สุดคือ เครื่องจะสั่งให้ถอดรหัสข้อมูลทั้ง Disk เมื่อเปิดเครื่อง และ เข้ารหัสข้อมูลทั้ง Disk เช่นกัน เมื่อเราปิดเครื่อง ด้วยวิธีนี้ จะทำให้ หากเครื่องปิดอยู่ คนร้ายจะไม่สามารถเข้าถึงข้อมูลของเราได้ แต่กลับกัน ถ้าเครื่องเปิดอยู่ หากโดนตอนเครื่องเปิดอยู่ ก็ยิ่งแล้วใหญ่ โดนถอดทั้งเครื่องออกไปได้เลย บางเครื่องรุ่นใหม่หน่อย อาจจะมีพร้อมกับ Feature ที่ชื่อว่า Modern Standby สำหรับ Windows และ Power Nap สำหรับ macOS ส่วนนึงของมันคือการเข้ารหัสข้อมูลโดยอัตโนมัติเมื่อเครื่องเข้าสู่ Standby Mode

เพื่อความปลอดภัยมากขึ้น งั้นเราจะถอดรหัส และปลดล๊อคเฉพาะไฟล์ที่เรียกดีกว่ามั้ย ถ้าทำแบบนี้ มันจะแก้ปัญหาที่เล่ามาได้ อย่างน้อยที่สุด เป็นการจำกัดวงกว้าง ไฟล์ที่โดนอย่างมากที่สุดเป็นไฟล์ที่กำลังเปิดอยู่ ซึ่งส่วนใหญ่เป็นไฟล์ของระบบปฏิบัติการเท่านั้น แต่นั่นหมายความว่า เครื่องจะต้อง เข้าและถอดรหัสไฟล์อยู่ตลอดเวลา ซึ่งการกระทำนั้นย่อมต้องใช้ CPU ในการประมวลผล ทำให้มันกินแรงเครื่องเราไป โดยเฉพาะในกลุ่ม CPU เก่า ๆ หน่อยที่ไม่มีประสิทธิภาพสูงเท่าปัจจุบัน

ตรงจุดนี้แหละที่เป็นข้อเสียที่สำคัญ ที่ทำให้ Feature Full-Disk Encryption ไม่ได้ถูกใช้งานอย่างแพร่หลายมากนัก มักเจอได้ในเครื่องในกลุ่มองค์กรขนาดใหญ่ที่ให้ความสำคัญกับความลับทางการค้า โดยยอมเสียสละกำลังเครื่อง ยอมรันช้าหน่อย ยอมให้กินแบตหน่อย

เพื่อแก้ปัญหานี้ ในเครื่องคอมพิวเตอร์บางตัว เริ่มทำ Chip พิเศษออกมา ทำหน้าที่เข้าและถอดรหัสโดยเฉพาะ เราเรียกว่า Hardware-Accelerated Encryption มันจะเข้ามาช่วยลดภาระการทำงานของ CPU ลง เอางานที่ต้องทำย้ายไปให้มันทั้งหมด และเมื่อมันออกแบบมาเฉพาะกับงานนี้อีกข้อดีคือ การประหยัดพลังงานมาก ๆ ดังนั้นมันจึงเข้ามาแก้ปัญหาที่เล่ามาก่อนหน้านี้ได้หมดจดเลย

เราไม่แน่ใจว่า ฝั่ง Windows เริ่มมีการใช้งาน Security Hardware พวกนี้เมื่อไหร่ แต่ฝั่งเครื่อง Mac เอง เริ่มมีการ Implement หรือใส่ Hardware เฉพาะนี้มาตั้งแต่ช่วงปี 2017 แล้วโดย Chip ที่ชื่อว่า T1 และลูกของมันในปี 2019 ในชื่อว่า T2 จนถึงทุกวันนี้ใน Apple Silicon ทุกตัวมี Feature นี้ใส่เข้ามาด้วยเช่นกัน โดยมันใช้การเข้ารหัสแบบ AES 256-bits ซึ่งเป็นวิธีการเข้ารหัสที่ค่อนข้างปลอดภัยสูงมาก โอกาสที่จะโจมตีด้วย Brute-Force ต่ำมาก ๆ และ ณ วันที่เขียนยังเป็นวิธีที่ Quantum-Safe หรือ เรายังไม่สามารถใช้ Quantum Computer แกะได้อีกด้วย ทำให้เครื่อง Mac ที่มี T1, T2 และกลุ่ม Apple Silicon มีการเปิดใช้ Full-Disk Encrpytion เป็นค่าเริ่มต้นโดยอัตโนมัติอีกด้วย ทำให้เรามั่นใจได้ว่า หากโดนแงะพวก Flash Storage ออกไป ก็จะไม่สามารถอ่านข้อมูลได้

ส่วนเครื่อง Mac ที่ไม่มีการติดตั้ง T1,T2 และไม่ใช่ Apple Silicon ก็สามารถเปิดการใช้งาน Full-Disk Encryption ได้ผ่าน Feature ที่เรียกว่า FileVault เคยทดลองใน Macbook Pro 13-inch 2011 ตอนนั้นไม่ค่อยรู้สึกถึงความหน่วงของเครื่องอะไรเท่าไหร่ เรียกว่าใช้งานได้ค่อนข้างดี หรือในเครื่องที่มีกลไกการเข้ารหัสอยู่แล้ว เราสามารถเปิดใช้ เพื่อเข้ารหัส 2 ชั้นได้เช่นกัน

BitLocker overview - Windows Security
Learn about BitLocker practical applications and requirements.

ส่วน Windows ในปัจจุบันเราสามารถเปิดใช้งาน BitLocker ซึ่งเป็น Full-Disk Encryption ที่ติดมากับ Windows ได้เลย โดยตัวนี้จะใช้อีกวิธีการเข้ารหัสที่เรียกว่า XTS-AES 128-bit เป็นค่าเริ่มต้นที่ถือว่ายังมีความปลอดภัยสูงอยู่ แต่ Microsoft แนะนำว่า หากต้องการความปลอดภัยที่สูงขึ้นเราสามารถเลือกไปใช้วิธี AES 256-bits ได้เช่นกัน

เราเดาว่า เหตุที่ Microsoft เลือกใช้วิธีการเข้ารหัสที่อ่อนแอลงมา และให้ตัวเลือกการเปลี่ยนวิธีการเข้ารหัสเป็นเพราะ Windows จะต้องสามารถรันได้บน Hardware ที่หลากหลาย เครื่องบางเครื่องอาจไม่มี Hardware ที่ช่วยเข้ารหัส ต้องอาศัย CPU การใช้วิธีการที่ซับซ้อนย่อมกินแรงเครื่องมากขึ้น จึงต้องทำให้มีตัวเลือกเพื่อให้สามารถใช้กับเครื่องที่หลากหลายได้นั่นเอง

Transparenting Encryption Layer ด้วย TPM

ก่อนหน้านี้ การทำ Full-Disk Encryption ทั้งหมด เมื่อเราเปิดเครื่อง เราจำเป็นต้องใส่รหัสผ่าน เป็นเหมือนกุญแจ เพื่อปลดล๊อคข้อมูลบน Disk เพื่อให้เครื่องสามารถโหลดข้อมูลที่จำเป็นแล้วจึงจะใช้งานเครื่องได้ ซึ่งมันไม่สะดวกกับการใช้งานเท่าไหร่ และไม่ใช่ผู้ใช้ทุกคนที่จะเข้าใจการทำงานของมัน ดังนั้น มันจะต้องมีวิธีการบางอย่างเพื่อให้ Layer การเข้ารหัสไฟล์นี้ มันง่ายที่สุด หรือดีที่สุดคือ ผู้ใช้จะต้องไม่ต้องทำอะไรเลย เพื่อที่จะใช้งาน Feature เหล่านี้

TPM คืออะไร ? ทำให้คอมพิวเตอร์เราปลอดภัยขึ้นได้ยังไง ?
TPM เป็นอุปกรณ์ที่เมื่อก่อนไม่ค่อยได้รับความสนใจในกลุ่มผู้ใช้ทั่วไปสักเท่าไหร่ มักจะอยู่ในกลุ่มของธุรกิจซะเยอะ แต่ตั้งแต่วันที่ Windows 11 ออกมา บังคับให้เครื่องจะต้องมี TPM 2.0 จึงสามารถที่จะใช้งานได้ วันนี้เรามาดูกันดีกว่าว่า มันคืออะไร และ ทำไมถึงเป็นอุปกรณ์ที่ทำให้คอมพิวเตอร์ของเราปลอดภัยมากขึ้น

การที่เราจะทำแบบนั้นได้ มันต้องการอุปกรณ์อะไรบางอย่างมาแทนกุญแจ ต้องเป็นอุปกรณ์ที่ฉลาดมากพอที่จะป้องกันตัวเองจากการโดนขโมยกุญแจ เช่นการใช้เทคนิคอย่าง Sealing เข้ามาช่วย และ หากโดนขโมยไปมันจะต้องรู้ว่า เกมแล้วจ้า ซึ่ง Hardware ที่ว่ามานั่นคือ TPM ในสมัยนี้ เริ่มมีการ Built-in มาใน Motherboard มากขึ้น หรือมีช่องสำหรับเสียบ External TPM สำหรับ Motherboard ที่ใช้กันตามบ้านมากขึ้นแล้วเช่นกัน

Secure Enclave
The Secure Enclave is a dedicated secure subsystem in the latest versions of iPhone, iPad, Mac, Apple TV, Apple Watch and HomePod.

ในฝั่งของเครื่อง Mac และ อุปกรณ์ของ Apple ทั้งหมด เขาจะเรียกว่า Secure Enclave เป็นอุปกรณ์ที่ทำหน้าที่คล้าย TPM ทุกอย่าง ที่จะฝังมาในอุปกรณ์ Apple ทั้งหมด นั่นเป็นสาเหตุที่ทำให้ หากเราดื้อเปลี่ยนพวก SSD โดยการบัคกรีเข้าไปใหม่ เครื่องมันจะไม่ยอม Boot เลย ที่ช่วงหลัง ๆ Apple ออกเครื่องมือสำหรับการ Register SSD เข้ากับเครื่อง จริง ๆ มันก็คือการไปโปรแกรม Secure Enclave ให้ยอมรับ SSD ตัวใหม่เข้าไปในระบบนั่นเอง

ด้วย Hardware เหล่านี้ จึงทำให้ Full-Disk Encryption สามารถเข้าถึงได้ง่ายดายสำหรับอุปกรณ์รุ่นใหม่ ๆ ผู้ใช้แทบไม่จำเป็นต้องรู้ว่า มันมีกิจกรรมนี้เกิดขึ้น และ หากเครื่องเราโดนโจรกรรม เรามั่นใจได้ในระดับนึงว่าข้อมูลของเราจะปลอดภัย

สรุป

Full-Disk Encryption หรือการเข้ารหัสข้อมูลทั้ง Disk เป็น Feature สำคัญที่ทำให้ข้อมูลของเราปลอดภัยมากขึ้น โดยเฉพาะในอุปกรณ์เคลื่อนที่ต่าง ๆ ไม่ว่าจะเป็น Laptop, โทรศัพท์ และ Tablet เอง ซึ่งในปัจจุบัน อุปกรณ์เหล่านี้มาพร้อมกับ Feature พวกนี้กันหมดแล้ว ส่วนในเครื่อง Desktop ส่วนตัวเรา ถ้าเป็นการใช้งานภายในบ้านทั่วไป และไม่ได้มี Hardware เฉพาะสำหรับการทำงาน ไม่จำเป็นต้องเปิดก็ได้ แต่สำหรับการใช้งานระดับ Business จนถึง Enterprise เรายังคิดว่า ควรจะเปิดทั้งหมด ไม่ว่าจะเป็นอุปกรณ์ใด ๆ ก็ตาม มันเป็นเหมือนด่านหน้าสำหรับการป้องกันการรั่วไหลของข้อมูลได้นั่นเอง