Microsoft підтвердила, що може надати ключі відновлення BitLocker правоохоронним органам за офіційним судовим розпорядженням — але лише якщо користувачі зберігають їх у хмарі, повідомляє Forbes.
BitLocker — вбудована функція безпеки Windows, яка шифрує весь жорсткий диск для захисту особистих файлів у разі втрати або крадіжки комп’ютера. Розшифрування даних вимагає ключа відновлення BitLocker, який теоретично має бути недоступним стороннім особам. Проте реальність виявилася складнішою.
Перший відомий випадок передачі ключів шифрування ФБР
Агенти ФБР на острові Гуам розслідували справу, в якій особи, відповідальні за програму допомоги по безробіттю під час COVID-19, намагалися викрасти кошти. Для доказу потрібен був доступ до файлів на комп’ютерах підозрюваних, захищених BitLocker. Microsoft визнала запит обґрунтованим і передала необхідні ключі агентам.
За словами представника Forbes, це може бути перший відомий випадок, коли Microsoft надала ключі шифрування правоохоронним органам. Для порівняння, у 2013 році ФБР нібито просило інженерів Microsoft створити “чорний хід” у BitLocker для обходу засобів безпеки, але компанія відмовила.
Microsoft рекомендує зберігати ключі в хмарі
Компанія заохочує користувачів Windows створювати резервні копії ключів відновлення BitLocker у хмарі. Інакше користувач може не отримати ключ для розблокування Windows у разі зміни обладнання, проблем із завантаженням або підозрілого доступу. За таких обставин можна просто увійти в обліковий запис Microsoft і знайти ключ, пов’язаний із комп’ютером. Але саме тут криється ризик.
“У BitLocker клієнти можуть зберігати ключі шифрування локально, в місці, недоступному для Microsoft, або в хмарі Microsoft”, — повідомив представник компанії виданню ZDNET. “Ми розуміємо, що деякі клієнти віддають перевагу хмарному сховищу Microsoft, щоб ми могли допомогти відновити їхній ключ шифрування в разі потреби. Хоча відновлення ключа пропонує зручність, воно також несе ризик небажаного доступу, тому Microsoft вважає, що клієнти найкраще можуть вирішити, чи використовувати депонування ключів і як керувати своїми ключами”.
Компанія отримує близько 20 запитів на ключі BitLocker щороку, розповів Forbes представник Microsoft Чарльз Чемберлейн. Але в багатьох випадках Microsoft не може виконати запит, оскільки користувач не зберіг ключі в хмарі.
Дилема приватності: боротьба зі злочинністю чи захист особистих даних
Політика Microsoft щодо передачі ключів шифрування федеральним агентствам викликає нескінченні дебати. Суспільство хоче, щоб правоохоронці могли ловити справжніх злочинців і запобігати злочинам. Але також хоче, щоб особисті файли та інформація були захищені від незаконного або необґрунтованого доступу.
“Microsoft представляє це як проблему законного процесу, а не проблему ‘чорного ходу'”, — пояснив Джейсон Сороко, старший науковий співробітник компанії Sectigo. “Матеріали про прозорість стверджують, що компанія розглядає юридичні вимоги, розкриває дані лише за законного примусу та не надає урядам прямий доступ або ‘ключі шифрування’ для зламу шифрування”.
“Проте коли компанія зберігає ваш ключ відновлення, її можуть примусити передати його, тому захист, який, як ви думали, був ‘лише для мене’, стає ‘для мене плюс будь-хто, хто може законно звернутися до мого постачальника хмарного облікового запису’, і така ж концентрація ключів також підвищує ризик витоку даних”, — додав експерт.
Баланс між затриманням злочинців і захистом приватності є складним. Мають існувати певні правила та запобіжні заходи, щоб ці дві цілі не скасовували одна одну.
“Для пересічного користувача Windows BitLocker все ще значуще захищає від дуже поширеної загрози — втраченого або вкраденого вимкненого ноутбука”, — зазначив Сороко. “Підводний камінь — зберігання ключа. Якщо ваш ключ відновлення завантажено в обліковий запис Microsoft для зручності, Microsoft зберігає копію та підтвердила, що може надати цей ключ відновлення за дійсним судовим розпорядженням, що саме й дозволило ФБР розблокувати диски у згаданій справі”.
Як перевірити налаштування BitLocker
BitLocker доступний у Windows 11 Pro, Windows 10 Pro, Enterprise та Education. Щоб перевірити налаштування BitLocker і вирішити проблеми конфіденційності щодо зберігання ключа в хмарі, виконайте такі кроки:
У Windows 11: перейдіть до «Параметри», виберіть «Система», потім клацніть «Про систему». Прокрутіть сторінку вниз до розділу «Пов’язані параметри» та виберіть налаштування BitLocker.
У Windows 10: перейдіть до «Параметри», виберіть «Система», потім клацніть «Про систему». Знайдіть розділ «Пов’язані параметри» праворуч або внизу та клацніть посилання на налаштування BitLocker.
Якщо BitLocker вимкнено, розгляньте можливість його увімкнення, особливо на ноутбуці, який берете в подорожі. Якщо він уже ввімкнений, клацніть посилання для резервного копіювання ключа відновлення.
Microsoft пропонує кілька варіантів. Збереження в обліковий запис Entra ID або Microsoft зберігає ключ у хмарі — цього варіанту слід уникати. Натомість виберіть збереження у файл або роздрукування.
Найбезпечніший спосіб зберігання ключа відновлення
Якщо зберігаєте ключ у файл, збережіть його на USB-накопичувачі або іншому зовнішньому диску. Ключ зберігається у звичайному текстовому файлі. Тримайте USB-накопичувач у безпечному місці або зашифруйте текстовий файл і захистіть паролем. Windows не дозволяє це зробити, тому потрібно використовувати сторонній інструмент стиснення, як-от 7-Zip або WinRAR. Якщо роздруковуєте файл із ключем, переконайтеся, що зберігаєте роздруківку в безпечному місці.
Далі видаліть ключ BitLocker із хмари, якщо раніше зберігали його там. Увійдіть на сторінку облікового запису Microsoft, знайдіть розділ з ключами відновлення BitLocker. Перевірте сторінку на назву комп’ютера, виберіть значок із трьома крапками «Додаткові параметри» в кінці запису та клацніть «Видалити». Установіть прапорець, щоб підтвердити збереження копії ключа відновлення, потім клацніть «Видалити».
“Якщо потрібне шифрування без депонування ключів третьою стороною, тримайте ключ відновлення поза хмарою та створіть резервну копію самостійно”, — радить Сороко. “Власне керівництво Microsoft включає збереження ключа на USB-диску, збереження у файл або роздрукування, і воно чітко попереджає не зберігати резервну копію на USB-накопичувачі разом із комп’ютером. На практиці роздрукована копія в домашньому сейфі або банківській скриньці плюс додаткова копія, збережена в надійно захищеному менеджері паролів, є прийнятним балансом для багатьох людей”.
