Prišel je FBI in Microsoft mu je predal ključe do občutljivih podatkov
Microsoft je sporočil, da od različnih vlad prejme okoli 20 zahtevkov za ključe BitLockerja na leto in dodaja, da jih bo na podlagi veljavne sodne odredbe tudi vsakokrat izročil. Podjetja, kot sta Apple in Meta, pa so svoje sisteme nastavila tako, da takšna kršitev zasebnosti ni mogoča.
V začetku lanskega leta je FBI Microsoftu vročil nalog za preiskavo in zahteval, naj mu posreduje obnovitvene ključe (angl. recovery keys), s katerimi bi lahko odklenil šifrirane podatke, shranjene na treh prenosnih računalnikih.
Zvezni preiskovalci na Guamu so menili, da so na teh napravah shranjeni podatki, ki bi pomagali dokazati, da so posamezniki, ki so upravljali program pomoči za brezposelne zaradi epidemije Covida-19 na otoku, sodelovali pri kraji.
Podatki so bili zaščiteni s programsko opremo BitLocker, ki se samodejno vklopi na mnogih sodobnih računalnikih z operacijskim sistemom Windows, da zaščiti vse podatke na trdem disku računalnika. BitLocker šifrira podatke, tako da jih lahko dešifrirajo le tisti, ki imajo ključ.
Uporabniki lahko te ključe shranijo na svoji napravi, vendar Microsoft zaradi bolj preproste uporabe priporoča, da jih shranijo na njegovih strežnikih. To sicer pomeni, da lahko nekdo dostopa do njihovih podatkov, če pozabijo geslo ali če se naprava zaradi večkratnih neuspešnih poskusov prijave zaklene, vendar so obenem izpostavljeni v primeru sodnih pozivov in nalogov za preiskavo.
V primeru Guam je Microsoft preiskovalcem predal šifrirne ključe.
Tveganje za zasebnost in varnost
Microsoft je za Forbes potrdil, da preda obnovitvene ključe BitLockerja, če prejme veljaven sodni nalog. “Čeprav so obnovitveni ključi na strežniku ponudnika priročni, pa to prinaša tudi tveganje nezaželenega dostopa, zato Microsoft meni, da morajo biti stranke tiste, ki se odločijo, kako bodo upravljale svoje ključe,” je izjavil predstavnik Microsofta Charles Chamberlayne.
Povedal je, da podjetje na leto prejme okoli 20 zahtevkov za ključe BitLockerja in da v mnogih primerih uporabniki svojih ključev niso shranili v oblaku, zato Microsoft v tem primeru ne more pomagati pri sodnih zahtevkih.
Primer Guam je prvi znani primer, ko je Microsoft organom pregona posredoval šifrirni ključ. Že leta 2013 je neki njegov inženir trdil, da so ga vladni uradniki prosili, naj v BitLocker vgradi stranska vrata (angl. backdoor), vendar je to zavrnil.
Senator Ron Wyden je v izjavi za Forbes dejal, “da je preprosto neodgovorno, da tehnološka podjetja snujejo izdelke na način, ki jim omogoča, da oblastem na skrivaj predajo šifrirne ključe uporabnikov”.
“Če ameriški imigracijski službi ICE ali drugim Trumpovim nasilnežem omogočimo, da skrivaj pridobijo šifrirne ključe uporabnikov, jim s tem omogočamo dostop do celotnega digitalnega življenja te osebe in ogrožamo osebno varnost in zaščito uporabnikov ter njihovih družin,” je še dodal.
Redna prošnja pristojnih organov
Vendar to ni problem samo v ZDA. Jennifer Granick, svetovalka za nadzor in kibernetsko varnost pri neprofitni organizaciji Ameriška zveza za državljanske svoboščine (ACLU), je opozorila, da tudi tuje vlade z vprašljivo zgodovino na področju človekovih pravic zahtevajo podatke od tehnoloških velikanov, kot je Microsoft. “Oddaljeno shranjevanje ključev za dešifriranje je lahko precej nevarno,” je dejala.
Pristojni organi redno zahtevajo od tehnoloških velikanov, naj jim posredujejo šifrirne ključe, omogočijo dostop prek stranskih vrat ali na druge načine oslabijo varovanje. Druga podjetja pa so takšno prakso zavrnila. Zlasti od Appla so večkrat zahtevali dostop do šifriranih podatkov v njegovem oblaku ali na njegovih napravah. V zelo odmevnem spopadu z vlado leta 2016 se je Apple uprl odredbi FBI-ja, naj pomaga odpreti telefone teroristov, ki so v San Bernardinu, v Kaliforniji, ustrelili in ubili 14 ljudi. Na koncu je FBI našel izvajalca, ki je vdrl v Applove telefone.
Če lahko Apple, zakaj ne tudi Microsoft?
Strokovnjaki za zasebnost in šifriranje so za Forbes povedali, da bi moral Microsoft sam prevzeti odgovornost za zagotavljanje močnejše zaščite osebnih naprav in podatkov svojih potrošnikov. Apple s svojima primerljivima sistemoma FileVault in Passwords ter Meta s svojo aplikacijo za sporočanje WhatsApp prav tako omogočata uporabnikom, da varnostno kopirajo podatke v svojih aplikacijah in shranijo ključ v oblaku. Vendar pa oba uporabnikom omogočata, da ključ shranijo v šifrirani datoteki v oblaku, zato so zahteve organov pregona za njegovo predložitev neuporabne. Ne Apple ne Meta tudi nista nikoli sporočila, da bi oblastem izročila šifrirne ključe.
“To so zasebni podatki na zasebnih računalnikih in oni so se že pri zasnovi sistemov odločili, da bodo zadržali dostop do teh podatkov. To bi morali obravnavati kot nekaj, kar pripada uporabniku,” pravi Matt Green, strokovnjak za kriptografijo in izredni profesor na Inštitutu za informacijsko varnost Univerze Johns Hopkins.
“Če to lahko storita Apple in Google, bi lahko tudi Microsoft. Microsoft je edino podjetje, ki tega ne stori,” je dodal. “To je malo čudno. Nauk tega je, da če imate dostop do ključev, bodo prej ali slej prišle zahteve oblasti, da jim jih posredujete.”
Dostop, ki presega tisto, kar iščejo
Granick je izrazila tudi zaskrbljenost glede obsega informacij, ki bi jih FBI lahko pridobil, če bi agenti dobili dostop do podatkov, zaščitenih z BitLockerjem. “Ključi namreč omogočajo vladi dostop do informacij, ki segajo daleč prek časovnega okvira večine kaznivih dejanj. Omogočajo ji dostop do vsega, kar je na trdem disku,” je opozorila. “Potem moramo dejansko zaupati, da agenti iščejo samo informacije, ki so pomembne za pooblaščeno preiskavo, in ne izkoriščajo priložnosti, da bi brskali po vsem, kar je na disku.”
V primeru Guam sodni spis kaže, da je bil nalog uspešno izvršen. Odvetnica obtoženke Charisse Tenorio, ki se je izrekla za nedolžno, je dejala, da so informacije, ki so jih tožilci v zadevi posredovali njej, vključevale informacije z računalnika njene stranke in sklice na ključe BitLockerja, ki jih je Microsoft posredoval FBI-ju. Primer še ni zaključen.
Nauk tega je, da če imate dostop do ključev, bodo prej ali slej prišle zahteve oblasti, da jim jih posredujete.
– Matt Green, strokovnjak za kriptografijo in izredni profesor na Inštitutu za informacijsko varnost Univerze Johns Hopkins
Tako Green kot Granick sta dejala, da bi Microsoft uporabnikom lahko omogočil namestitev ključa na kos strojne opreme, kot je na primer na USB ključek, in ta bi deloval kot ključ za varnostno kopijo ali obnovitev. Microsoft to možnost sicer omogoča, vendar to ni privzeta nastavitev za BitLocker na osebnih računalnikih z operacijskim sistemom Windows.
Brez ključev nemočni proti BitLockerju
Brez šifrirnih ključev, ki jih je zagotovil Microsoft, bi FBI zelo težko pridobil kakršnekoli uporabne podatke z računalnikov. Šifrirni algoritmi BitLockerja so se po pregledu zgodovinskih primerov, ki ga je izvedel Forbes, izkazali za neprebojne za pretekle poskuse organov pregona, da bi vdrli v sistem.
V začetku leta 2025 je forenzični strokovnjak iz enote domovinske varnosti pri službi ICE v sodnem dokumentu zapisal, “da njegova agencija ni imela forenzičnih orodij za vdor v naprave, šifrirane z Microsoftovim BitLockerjem ali katerimkoli drugim načinom šifriranja”. V enem od preteklih primerov so zvezni preiskovalci pridobili ključe, ko so odkrili, da jih je osumljenec shranil na nešifriranih diskih.
“Zdaj, ko FBI in druge agencije vedo, da bo Microsoft v primerih, podobnih primeru Guam, spoštoval zahteve iz nalogov za preiskavo, bodo verjetno poslale več zahtev za šifrirne ključe,” pravi Green. “Moja izkušnja je, da ko se ameriške oblasti navadijo, da imajo določene možnosti, je to zelo težko spremeniti.”
Avtor izvirnega članka je Thomas Brewster, Forbes.
