СМИ стало известно, что в прошлом году компания Microsoft передала правоохранителям ключи шифрования для разблокировки ноутбуков пользователей Windows, обвиняемых в мошенничестве. Это первый публично известный случай, когда компания выдала ключи BitLocker властям.
Как сообщает Forbes, эта история началась с дела на Гуаме, где обвиняемые якобы мошеннически получали пособия по безработице во время пандемии коронавируса. Изъятые у подозреваемых устройства оказались защищены с помощью BitLocker, и в итоге Microsoft предоставила следствию ключи шифрования.
BitLocker — система шифрования данных в Windows — работает в двух режимах: упрощенный Device Encryption и расширенный BitLocker Drive Encryption. В обоих случаях Microsoft по умолчанию хранит ключи восстановления на своих серверах, если настройка выполняется через активную учетную запись Microsoft.
«Если используется учетная запись Microsoft, ключ восстановления BitLocker обычно привязан к ней, и получить его можно онлайн», — объясняется в документации компании.
Есть и альтернативы: ключ можно сохранить на флешку, в файл или распечатать. Однако компания подталкивает пользователей доверять ключи ей — ведь так удобнее. Проблема в том, что при таком подходе теряется полный контроль над доступом к данным.
Apple предлагает похожий сервис — FileVault с облачным хранилищем iCloud. У него два режима: стандартная защита данных и расширенная. В первом случае Apple хранит ключи шифрования для большинства данных iCloud (кроме паролей и keychain). Во втором случае — только ключи для почты, контактов и календаря.
Microsoft и Apple обязаны выполнять законные запросы властей на предоставление данных. Компании не могут отдать ключи лишь в том случае, если они ими не управляют. Apple прямо пишет в своих рекомендациях для правоохранительных органов: «Все данные iCloud дополнительно шифруются на серверах. Для данных, которые Apple может расшифровать, ключи шифрования хранятся в дата-центрах в США. Apple не получает и не хранит ключи для защищенных end-to-end шифрованием данных клиента».
С BitLocker все обстоит иначе. Microsoft может иметь доступ к ключам сквозного шифрования, если клиент разрешил это при настройке. В руководстве для правоохранительных органов компания заявляет:
«Мы не предоставляем государственным органам наши ключи шифрования или возможность взломать шифрование. В большинстве случаев по умолчанию Microsoft безопасно хранит ключи шифрования клиентов. Даже крупнейшие корпоративные клиенты обычно предпочитают, чтобы мы хранили их ключи во избежание случайной потери или кражи. Однако во многих случаях мы также предлагаем потребителям или организациям возможность хранить собственные ключи самостоятельно, и в этом случае Microsoft не хранит их копии».
Согласно последнему отчету о правительственных запросах (за период с июля по декабрь 2024 года) Microsoft получила 128 запросов от правоохранителей, 77 из них — от властей США. Только четыре запроса за этот период привели к раскрытию данных — три в Бразилии и один в Канаде.
«С помощью BitLocker наши клиенты могут выбрать: хранить свои ключи шифрования локально, в недоступном для Microsoft месте, или в облаке Microsoft. Мы понимаем, что некоторые клиенты предпочитают облачное хранилище Microsoft, чтобы при необходимости мы могли помочь им восстановить ключ шифрования. Хотя восстановление ключа удобно, это также сопряжено с риском нежелательного доступа, поэтому Microsoft считает, что клиенты могут самостоятельность решить, отдавали ли ключи на хранение или управлять ими самим», — комментируют представители Microsoft.
