Η Microsoft παραδίδει στις διωκτικές αρχές, κατόπιν δικαστικής εντολής, τα κλειδιά κρυπτογράφησης για το BitLocker.
Η Microsoft επιβεβαίωσε για πρώτη φορά δημόσια ότι παρέχει κλειδιά κρυπτογράφησης του BitLocker στις αρχές επιβολής του νόμου, όταν αυτές προσκομίζουν έγκυρο ένταλμα έρευνας.
Η υπόθεση προέρχεται από ομοσπονδιακή έρευνα στο Γκουάμ, όπου πράκτορες του FBI εξασφάλισαν πέρυσι ένταλμα για τα κλειδιά ανάκτησης (recovery keys) τριών φορητών υπολογιστών.
Οι ερευνητές υποπτεύονταν ότι οι συσκευές περιείχαν αποδεικτικά στοιχεία που σχετίζονταν με εικαζόμενη απάτη στο πρόγραμμα επιδόματος ανεργίας λόγω Covid στο έδαφος.
Τι είναι το BitLocker και γιατί αφορά τόσους χρήστες
Το BitLocker είναι ενεργοποιημένο ως προεπιλογή σε πολλούς υπολογιστές με Windows και κρυπτογραφεί τα δεδομένα του δίσκου, ώστε να αποτρέπεται η μη εξουσιοδοτημένη πρόσβαση.
Παρότι οι χρήστες μπορούν να αποθηκεύουν τα κλειδιά κρυπτογράφησης τοπικά, η Microsoft προτείνει την αποθήκευση αυτών των κλειδιών στο cloud για λόγους ανάκτησης.
Αυτή η πρακτική διευκολύνει την πρόσβαση σε δεδομένα όταν ξεχαστεί ένας κωδικός πρόσβασης — όμως δημιουργεί και μια «οδό» μέσω της οποίας μπορούν να υποβληθούν αιτήματα από διωκτικές αρχές.
Περίπου 20 αιτήματα τον χρόνο
Ο εκπρόσωπος της Microsoft, Charles Chamberlayne, δήλωσε στο Forbes ότι η εταιρεία επεξεργάζεται περίπου 20 αιτήματα τον χρόνο για κλειδιά BitLocker.
Πολλές υποθέσεις, όπως ανέφερε, δεν μπορούν να προχωρήσουν επειδή οι χρήστες επιλέγουν τοπική αποθήκευση των κλειδιών αντί για cloud back-up, κάτι που καθιστά αδύνατο για τη Microsoft να βοηθήσει.
«Ενώ η ανάκτηση κλειδιών προσφέρει ευκολία, ενέχει και τον κίνδυνο ανεπιθύμητης πρόσβασης. Γι’ αυτό η Microsoft θεωρεί ότι οι πελάτες είναι οι πλέον κατάλληλοι να αποφασίζουν πώς θα διαχειρίζονται τα κλειδιά τους», είπε ο Chamberlayne.
Αντιδράσεις από ακτιβιστές και νομοθέτες
Η αποκάλυψη προκάλεσε κριτική από ακτιβιστές προστασίας ιδιωτικότητας και νομοθέτες.
Ο Γερουσιαστής Ron Wyden τη χαρακτήρισε «ανεύθυνη», υποστηρίζοντας ότι τεχνολογικές εταιρείες δεν θα έπρεπε να διαθέτουν προϊόντα με τρόπο που να επιτρέπει «σιωπηρή» παράδοση κλειδιών κρυπτογράφησης των χρηστών.
Πρόσθεσε ότι η παροχή κλειδιών κρυπτογράφησης μπορεί να δώσει πρόσβαση στο «σύνολο της ψηφιακής ζωής ενός ανθρώπου» και να αυξήσει κινδύνους για την ασφάλεια των χρηστών.
Apple και Meta ακολουθούν διαφορετική προσέγγιση
Η Jennifer Granick, σύμβουλος θεμάτων επιτήρησης στην ACLU, επισήμανε στο Forbes τις διεθνείς επιπτώσεις αυτής της πρακτικής: και ξένες κυβερνήσεις (μερικές με αμφισβητούμενο ιστορικό στα ανθρώπινα δικαιώματα) ζητούν δεδομένα από τεχνολογικές εταιρείες. Όπως ανέφερε, «η απομακρυσμένη αποθήκευση κλειδιών αποκρυπτογράφησης μπορεί να είναι πολύ επικίνδυνη».
Ο καθηγητής κρυπτογραφίας Matt Green (Johns Hopkins University) σημείωσε στο Forbes ότι το FileVault της Apple και το WhatsApp της Meta επιτρέπουν στους χρήστες να κρυπτογραφούν τα κλειδιά που είναι αποθηκευμένα στο cloud.
Έτσι, τα αιτήματα των διωκτικών αρχών καθίστανται αναποτελεσματικά. Σύμφωνα με το δημοσίευμα, καμία από τις δύο εταιρείες δεν φέρεται να έχει παραδώσει κλειδιά κρυπτογράφησης.
Ένα σοβαρότερο θέμα από ότι μοιάζει φαινομενικά
Η ουσία του ζητήματος δεν είναι ότι «έσπασε» η κρυπτογράφηση του BitLocker, αλλά ότι σε ορισμένα σενάρια τα κλειδιά ανάκτησης μπορεί να είναι διαθέσιμα σε τρίτο μέρος (π.χ. στον λογαριασμό Microsoft, σε εταιρικό Active Directory ή σε υπηρεσίες διαχείρισης συσκευών).
Αυτό μοιάζει με ένα είδος key escrow: όταν το κλειδί φυλάσσεται εκτός της συσκευής, η ανάκτηση γίνεται ευκολότερη, αλλά μεγαλώνει και η επιφάνεια κινδύνου.
Γιατί έχει σημασία η αποθήκευση στο cloud
- Ευκολία: Αν ξεχάσετε PIN/κωδικό ή γίνει αλλαγή σε hardware, το recovery key σώζει την κατάσταση.
- Κίνδυνος πρόσβασης: Ό,τι υπάρχει στον λογαριασμό σας μπορεί να ζητηθεί με νόμιμη διαδικασία ή να στοχοποιηθεί σε περίπτωση παραβίασης/αδύναμων ρυθμίσεων.
- Διαφορετικά νομικά πλαίσια: Σε διεθνές περιβάλλον, τα αιτήματα πρόσβασης στα δεδομένα μπορεί να βασίζονται σε διαφορετικούς κανόνες, κάτι που αυξάνει τις ανησυχίες οργανώσεων ψηφιακών δικαιωμάτων.
Τι μπορούν να κάνουν πρακτικά οι χρήστες (χωρίς πανικό)
- Εντοπίστε πού είναι αποθηκευμένο το recovery key: αν βρίσκεται στον Microsoft Account ή σε εταιρικό περιβάλλον διαχείρισης, γνωρίζετε ότι υπάρχει δυνατότητα ανάκτησης εκτός συσκευής.
- Χρησιμοποιήστε ισχυρή ασφάλεια λογαριασμού: ενεργοποιήστε 2FA/MFA, ισχυρό κωδικό και ειδοποιήσεις σύνδεσης.
- Εξετάστε τοπική φύλαξη (όπου ταιριάζει στο προφίλ σας): εκτύπωση, αποθήκευση σε ασφαλές USB ή σε password manager με ισχυρή προστασία.
- Διαχωρίστε “ευκολία” από “υψηλή απειλή”: για δημοσιογράφους, ακτιβιστές ή άτομα υψηλού κινδύνου, η στρατηγική κλειδιών χρειάζεται πιο αυστηρή προσέγγιση.
- Εταιρικά περιβάλλοντα: οι οργανισμοί καλό είναι να ορίσουν πολιτικές για BitLocker/keys, καταγραφή πρόσβασης (audit), και σαφείς διαδικασίες για νόμιμα αιτήματα.
Το συμπέρασμα είναι ότι η κρυπτογράφηση παραμένει κρίσιμη, αλλά η διαχείριση κλειδιών είναι εξίσου σημαντική με τον αλγόριθμο. Το «πού βρίσκεται το κλειδί» μπορεί να καθορίσει ποιος μπορεί να ξεκλειδώσει μια συσκευή — και υπό ποιες προϋποθέσεις.
