Szyfrowanie w Windows pod lupą. Microsoft przyznaje, że przekazuje klucze BitLocker

Czy Microsoft może przekazywać nasze dane organom ścigania? Okazuje się, że tak, gdy otrzyma nakaz sądowy lub wezwanie. Firma może przekazać służbom klucze odzyskiwania BitLocker, jeśli są one przechowywane w chmurze.

Sprawa wyszła na jaw za sprawą śledztwa federalnego prowadzonego w związku z oszustwami w Guam, gdzie FBI skorzystało z kluczy dostarczonych przez Microsoft, by odblokować trzy zaszyfrowane laptopy mające związek z wyłudzeniami świadczeń covidowych.

Microsoft przekazuje klucze BitLocker FBI

Jak wynika z ustaleń dziennikarzy, FBI użyło kluczy odzyskiwania przekazanych przez Microsoft do obejścia zabezpieczeń, które wcześniej były uznawane przez ekspertów za praktycznie niemożliwe do złamania. Z dokumentów sądowych wynika, że służby, w tym Homeland Security Investigations, nie dysponowały narzędziami pozwalającymi na złamanie szyfrowania BitLocker bez dostępu do konkretnych kluczy odzyskiwania.

Microsoft przyznał, że przekazał klucze BitLocker FBI, dzięki którym służby uzyskały dostęp do laptopów podejrzanych.

Microsoft przyznał, żi otrzymuje średnio około 20 wniosków rocznie dotyczących udostępnienia kluczy BitLocker. Choć sama współpraca z rządami i realizowanie nakazów nie jest nowością, to jest to pierwszy oficjalnie potwierdzony przypadek, w którym firma przekazała takie klucze organom ścigania w konkretnej sprawie karnej.

Jak działa BitLocker i gdzie trafiają klucze

BitLocker to system szyfrowania danych, który jest domyślnie włączony na większości nowoczesnych komputerów z Windows. Jego zadaniem jest zabezpieczenie danych na dysku przed nieautoryzowanym dostępem. Podczas konfiguracji system często zachęca użytkowników do zapisania 48-cyfrowego klucza odzyskiwania na koncie Microsoft.

Taki wybór zwiększa wygodę, bo w razie problemów z dostępem do komputera klucz można łatwo odzyskać z chmury. Jednocześnie oznacza to jednak, że Microsoft ma techniczną możliwość dostępu do tych kluczy i może je przekazać organom ścigania, jeśli otrzyma odpowiedni nakaz.

Różnice wobec podejścia innych firm

Decyzja Microsoftu wyraźnie odróżnia go od firm takich jak Apple czy Meta. Te przedsiębiorstwa stosują architektury typu zero-knowledge, w których klucze odzyskiwania są szyfrowane w taki sposób, iż firmy nie posiadają do nich dostępu lub przechowywane są wyłącznie na urządzeniu użytkownika. W praktyce oznacza to, że nawet na podstawie nakazu sądowego nie są w stanie przekazać takich danych, bo po prostu ich nie posiadają.

Prawnicy zwracają uwagę, że ujawnienie tej praktyki może zwiększyć liczbę wniosków kierowanych do Microsoftu przez organy ścigania. Skoro wiadomo, że firma jest w stanie przekazać klucze BitLocker, służby mogą częściej wybierać tę drogę.

Co mogą zrobić użytkownicy

Użytkownicy, którzy nie chcą, aby ich klucze odzyskiwania były przechowywane w chmurze Microsoftu, mają możliwość sprawdzenia na tej stronie czy są one zapisane online.

Osoby, którym zależy na większej kontroli nad danymi, mogą zdecydować się na przechowywanie kluczy wyłącznie lokalnie. Najczęściej poleca się zapisanie ich na fizycznym nośniku USB lub wydrukowanie i przechowywanie w bezpiecznym miejscu.