Chip Apple T2 dưới góc độ doanh nghiệp: Định hình xu thế bảo mật

2019-01-02 13:32:03

Anh em còn nhớ vào thời điểm ra mắt iMac Pro (12/2017), Macbook Pro 2018 (07/2018) hay Macbook Air Retina (11/2018), Apple đã giới thiệu con chip bảo mật T2 - niềm tự hào của đội ngũ Tim Cook về một vi xử lí chuyên chịu trách nhiệm cho việc đảm bảo an toàn thông tin ngay trên thiết bị. Tuy nhiên, tương tự nhiều quyết định "bạo lực" và không nhân nhượng trong quá khứ như loại bỏ jack tai nghe 3.5mm, nút Home, cổng USB-C thay cho các cổng giao tiếp truyền thống,... những thay đổi của Apple trước hết buộc người dùng phải thay đổi thói quen sử dụng của mình.

Chip bảo mật T2 theo truyền thống, nó mang đến những xáo trộn chưa từng có cho doanh nghiệp, trường học lẫn cá nhân ở khía cạnh cài đặt, sửa chữa, bảo trì,... Nhưng nếu nhìn vào mặt bằng chung của ngành công nghệ thông tin hiện nay, khó có thể phủ nhận tầm ảnh hưởng mà nỗ lực của Apple (kết tinh trong chip T2) đang giúp định hình xu thế bảo mật trong tương lai.

Chip bảo mật Apple T2 hoàn toàn không phải là trò hút máu anh em thường thấy​

Sự phiền phức ngay trước mắt

Một trong những vấn đề được cộng đồng thảo luận sôi nổi khắp nơi trên thế giới chính là ràng buộc về việc sửa chữa thiết bị Apple ở trung tâm không chính hãng. Chip bảo mật Apple T2 phối hợp sâu với bộ nhớ trong của máy, nên để thay thế, sửa chữa máy Mac yêu cầu phải chạy phần mềm độc quyền của Apple. Giới hạn gắt gao này đã dấy lên làn sóng phản ứng dữ dội xung quanh quyền lợi người dùng phải được tự sửa chữa, nâng cấp thiết bị thuộc sở hữu của mình (hoặc tự chọn nơi sửa chữa mà mình muốn). Nhiều người cũng cho rằng đây là cách Apple hút máu thêm bằng cách mang ra cửa hàng chính hãng với chi phí rất đắt đỏ.

Ở quy mô lớn hơn, chính sách bảo mật của chip Apple T2 đang khiến nhiều doanh nghiệp, trường học, đoàn thể gặp khó khăn trong việc sử dụng hoặc nâng cấp lên các thiết bị Apple mới. Doanh nghiệp giờ đây không thể dễ dàng trích xuất, chuyển dữ liệu khi máy bị hư hỏng. Trong trường hợp cần tạo ảnh hệ thống (system image, anh em Việt Nam quen thuộc với thuật ngữ "ghost win") và cài đặt chung cho tất cả các máy nhằm mục đích thống nhất mọi thiết lập, phần mềm, phiên bản hệ điều hành, điều này cũng không thể thực hiện được nữa.

Chuẩn hóa tất cả các thiết bị trong môi trường công ty, trường học là điều vốn đã quá quen thuộc​

Dĩ nhiên, lạc giữa làn gạch đá hướng vào Apple, chúng ta quên mất việc đặt ra những câu hỏi có ý nghĩa thực sự: năng lực tự làm chip xử lí của hãng công nghệ xứ Cupertino đã đạt đến giới hạn nào? Hướng đi ra sao thông qua một sản phẩm như chip T2? Và tác động của hướng đi đó đến các hãng công nghệ khác trên thị trường?

Tương lai hoàn toàn tự thiết kế vi xử lí

Nhìn vào điểm số AnTuTu khủng khiếp trên các thiết bị chạy iOS năm nay, chúng ta không khỏi rùng mình khi tưởng tượng một sự phối hợp nhịp nhàng giữa phần cứng (chip xử lí Apple A12 và A12X Bionic) và phần mềm (hệ điều hành iOS 12) có thể phát huy sức mạnh cho nhau tốt như thế nào. Nếu anh em không tin tưởng ứng dụng AnTuTu, hãy nhìn vào một ví dụ khác là tai nghe AirPods. Với con chip W1 do Apple tự tay thiết kế, họ có một cặp tai nghe true wireless thời lượng pin tốt, kết nối dễ dàng và ổn định, nhiều tính năng thông minh trong một kích thước nhỏ gọn (đẹp hay xấu tuỳ cảm quan), nhất là khi một số hãng còn đang chật vật, thiếu trước hụt sau. Do đó, dù là chip dòng A (iPhone, iPad), dòng S (Apple Watch), dòng W (AirPods) hay dòng T (iMac, Mac Mini, Macbook), tương lai làm chip cây nhà lá vườn cho máy tính chạy Mac OS thay cho nhà cung cấp hiện tại Intel là hoàn toàn hợp lí.

Có nhiều bằng chứng cho bước chuyển tiếp này, rõ ràng nhất được thể hiện trong white paper (văn bản giới thiệu thông tin cho công chúng) của chip Apple T2. Họ đã đề cập đến vi xử lí của máy tính Mac là "(Intel) application processor" tức "vi xử lí ứng dụng (Intel)". Nghĩa là, không chỉ Intel mà còn có thể tồn tại một loại chip xử lí khác trong tương lai. Giới chuyên môn đánh giá Apple khả năng cao sẽ tung ra dòng chip hoàn toàn mới chứ không sử dụng chip dòng A nhằm đảm bảo hiệu năng cho các tác vụ nặng như chỉnh sửa ảnh, dựng phim, viết code,...

Chip A12 và A12X Bionic đã quá mạnh, nhưng chưa đủ cơ bắp cho các thiết bị chạy Mac OS
yêu cầu hiệu năng bền bỉ trong thời gian dài​

Bước chuyển tiếp dự kiến sẽ không quá lạ lẫm cho Apple, họ đã có kinh nghiệm sản xuất chip G3 với hai đối tác IBM và Motorola chạy trên các máy Mac đời đầu vào những năm 1990. Apple cũng có kinh nghiệm nhảy cóc từ chip 680x0 của Motorola qua chip Power PC, cuối cùng chuyển qua sử dụng chip Intel vào khoảng năm 2005. Ngay bây giờ, chúng ta đã thấy chip Apple T2 phối hợp với vi xử lí Intel đảm nhiệm các chức năng bảo mật trên máy Mac, thì trong tương lai có thể Apple sẽ tiếp tục dùng hỗn hợp trước khi "đá" Intel hoàn toàn ra khỏi cuộc chơi.

Khẳng định vị thế với Apple T2

Qua nhiều bài viết giới thiệu, anh em đã biết một số tính năng đáng chú ý của chip bảo mật Apple T2 như Touch ID, chặn microphone khi đóng máy, không cho trích xuất dữ liệu bộ nhớ trong,... Trên thực tế, Apple T2 đem lại sự bảo vệ mạnh mẽ hơn nữa mà cơ bản là, chỉ khi rơi vào những trường hợp cụ thể anh em mới để ý đến công dụng của nó.

Touch ID chỉ là một phần của toàn bộ bức tranh bảo mật trên máy tính Mac 2018​

Đối với quá trình khởi động, Apple mô tả chip T2 là "phần cứng tham chiếu cho độ tin cậy của máy tính khi khởi động" ("hardware root of trust for secure boot", không dịch nguyên văn). Nó sẽ đảm bảo sự toàn vẹn của phần mềm ở cấp thấp nhất (không có phần mềm của hãng thứ ba can thiệp) và chỉ có hệ điều hành chính chủ được phép chạy.

Thế nhưng điểm sáng giá nhất của chip Apple T2 chính là bảo mật dữ liệu. Theo tài liệu do Apple công bố, chip T2 được thiết kế với bốn mục tiêu chủ chốt:
- Yêu cầu phải có mật khẩu của người dùng cho quá trình giải mã
- Bảo vệ hệ thống trước những cuộc tấn công brute-force (trực tiếp bằng cách thử và sai) nhằm vào dữ liệu bộ nhớ trong
- Cung cấp phương pháp xóa vĩnh viễn dữ liệu chỉ bằng cách xóa một số thông tin mã hóa cần thiết (đóng vai trò là chìa khóa giải mã bản thân dữ liệu đó, không có chìa khóa sẽ không thể mở khóa)
- Cho phép người dùng thay đổi mật khẩu (từ đó hệ thống thay đổi chìa khóa giải mã dữ liệu) mà không phải mã hóa lại toàn bộ dữ liệu trong bộ nhớ

Mang trong mình những mục tiêu trên, chip bảo mật Apple T2 ra đời với vi xử lí phụ Secure Enclave sở hữu bộ nhớ mã hoá (encrypted memory) và bộ phần cứng quay số ngẫu nhiên (hardware random number generator). Từ một ID duy nhất cho thiết bị Apple đó, tất cả dữ liệu đều được Secure Enclave kí tên và đưa cho hệ thống mã hoá/giải mã AES (AES Crypto Engine) mã hoá cấp độ AES-256 bit rồi mới lưu vào bộ nhớ trong. Khi vi xử lí Intel gửi yêu cầu, dữ liệu mã hoá sẽ được đưa vào chip T2 kiểm tra trùng khớp chữ kí. Nếu đúng, dữ liệu sẽ được giải mã bằng hệ thống mã hoá/giải mã AES và chuyển tới chip Intel. Đây chính là lí do khi đưa bộ nhớ này, chẳng hạn như lắp vào một máy Mac khác thậm chí cũng có chip Apple T2, thì không giải mã dữ liệu được, vì chữ kí không trùng khớp.

Sơ đồ quy trình xác thực của chip T2 trước khi bất kì dữ liệu nào được mã hóa/giải mã​

Không chỉ hữu ích trong các tình huống sử dụng thông thường, chữ kí duy nhất của Secure Enclave còn giúp xoá vĩnh viễn dữ liệu trong bộ nhớ một cách an toàn bằng cách xoá chữ kí đi kèm với dữ liệu đó và tất cả thông tin sẽ không thể lấy lại được. Nhờ vào bộ nhớ thể rắn (solid state drive), phương án này nhanh gọn hơn ổ đĩa từ, vốn phải trải qua nhiều bước xoá dữ liệu nếu muốn tránh kẻ xấu khôi phục lại.

Như vậy, nước cờ Apple T2 không chỉ đem lại mức độ bảo mật cao cho máy tính Mac, ngang bằng với iOS, mà nó còn khẳng định vị trí của Apple đang dần trở thành một tay chơi ngày càng lớn trong lĩnh vực bảo mật doanh nghiệp và dữ liệu riêng tư, đồng thời các công ty giải pháp lưu trữ cũng phải chú ý học hỏi.

Tương lai của bảo mật thông tin, và Apple

Ở góc độ doanh nghiệp, tương lai của Apple nhìn chung rất khả quan khi họ tung ra chip T2 - một sản phẩm thay lời cam kết: dữ liệu riêng tư được đặt lên hàng đầu. Nó mang đến chất lượng bảo mật chưa từng có tiền lệ trên những thiết bị điện tử thuộc phân khúc người tiêu dùng, và mở ra tiềm năng hợp tác với các nhà cung cấp dịch vụ quản lí di động cho doanh nghiệp (EMMv - Enterprise Mobility Management vendors), cho phép triển khai giải pháp BYOD (Bring your own device - nhân viên tự mang thiết bị) vốn ngày càng phổ biến trên thế giới. Và với lợi thế là người tiên phong thực hiện việc ứng dụng bảo mật bằng phần cứng lên các thiết bị phổ thông, Apple sẽ định hình lại những phân khúc sản phẩm này.

Máy tính Mac của nhân viên đã an toàn thì doanh nghiệp vừa có thể giảm chi phí trang thiết bị, vừa đảm bảo dữ liệu được bảo mật tốt​

Năng lực làm chip xử lí cũng được đánh giá là sẽ giúp Apple cạnh tranh ở một thị trường khác: thiết bị đeo thông minh. Những con chip như W1 giải quyết được rất nhiều vấn đề khó nhằn về quản lí thời lượng pin, tính năng, kết nối,... nhờ vào một bộ não thông minh được chế tạo cực kì tinh vi. Nếu họ mở rộng đánh chiếm sang các thiết bị như mắt kính thông minh, đây sẽ không phải là vấn đề lớn.

Tóm lại, một công ty công nghệ bản lĩnh như Apple sẽ đi về đâu? Câu trả lời có lẽ là... về hướng nào mang lại nhiều lợi nhuận nhất. Chưa rõ Apple có dự định ra riêng với chip xử lí cho máy tính Mac hay không, nhưng việc tự chủ thiết kế linh kiện bán dẫn trong quá khứ đã đem đến cho họ những khoản tiền kếch sù. Và như đã nói, Apple sẽ không khoan nhượng với quyết định của mình nếu nó làm ra tiền.

nguồn: tinhte