Służby specjalne dostaną twój klucz. Microsoft się tłumaczy
Microsoft właśnie potwierdził, że nasze klucze szyfrowania nie są w pełni prywatne. W wyjątkowych sytuacjach mogą trafić do służb specjalnych i możemy podziękować za to mechanizmowi działania kont w Windows 11.
Co dokładnie ujawnił Microsoft?
W wypowiedzi opublikowanej na łamach Forbesa, Microsoft przyznał, że firma może udostępnić klucze szyfrowania BitLocker, jeśli zostanie wydany nakaz sądowy. Dzięki takim kluczom można odszyfrować i uzyskać dane na komputerach z Windowsem, co oznacza, że służby mogą dostać się do naszych urządzeń i pobrać z nich dane.
Doniesienia na ten temat wypłynęły po tym, jak Forbes opisał sprawę dotyczącą przekazania przez Microsoft kluczy BitLockera z urządzenia na wyspie Guam. FBI uważało, że znajdują się tam dowody na defraudację środków z programu wsparcia bezrobotnych. Sytuacja miała miejsce na początku 2025 r.
Przekazanie klucza było możliwe, gdyż Windows 11 domyślnie zapisuje klucze BitLockera w chmurze, ponieważ system wymusza korzystanie z konta Microsoftu. Ma to ułatwić odzyskiwanie dostępu do komputera, ale ustawienie to trzeba ręcznie wyłączyć, jeśli chcemy, aby klucze były przechowywane wyłącznie lokalnie. W praktyce każdy nowy użytkownik Windowsa ma automatycznie włączone wysyłanie klucza do chmury.
Microsoft wyjawił Forbesowi, że otrzymuje rocznie około 20 wniosków FBI o udostępnienie kluczy BitLockera, ale w większości przypadków nie może ich spełnić, ponieważ dany klucz nigdy nie został przesłany na serwery firmy.
Warto zwrócić uwagę, że część dużych firm technologicznych podchodzi do szyfrowania zupełnie inaczej. Apple konsekwentnie odmawia udostępniania zaszyfrowanych danych i sprzeciwia się tworzeniu „tylnych furtek”. Meta stosuje architekturę zero‑knowledge, w której klucze są dodatkowo szyfrowane po stronie serwera, więc nawet sama firma nie ma do nich dostępu.
Na tym tle podejście Microsoftu wypada zaskakująco słabo. Klucze BitLockera przechowywane w chmurze nie są dodatkowo szyfrowane, co oznacza, że firma może je odczytać i przekazać służbom. To stoi w sprzeczności z oczekiwaniami użytkowników, którzy zakładają, że ich dane pozostają prywatne nawet wtedy, gdy kopia zapasowa klucza trafia do chmury. W efekcie mamy do czynienia z poważnym problemem dotyczącym ochrony prywatności.
Na szczęście można sprawdzić, które z twoich urządzeń mają zapisane klucze BitLockera na serwerach Microsoftu, i w razie potrzeby je usunąć. Wystarczy wejść na stronę.
