Microsoft heeft bevestigd dat het samenwerkt met wetshandhavingsinstanties wanneer het een geldig gerechtelijk bevel of arrestatiebevel ontvangt, zelfs in die mate dat het BitLocker-herstelsleutels aan wetshandhavingsinstanties verstrekt. Forbes onthulde deze informatie na een federaal fraudeonderzoek in Guam, waar de FBI met succes door Microsoft verstrekte sleutels gebruikte om drie versleutelde laptops te ontgrendelen die verband hielden met een COVID-19-werkloosheidsuitkeringsregeling.
De gigant uit Redmond onthulde dat het jaarlijks ongeveer 20 verzoeken om BitLocker-sleutels ontvangt. Het is geen nieuwe informatie dat Microsoft voldoet aan wettige verzoeken van de overheid en sleutels overhandigt die zich binnen zijn cloudinfrastructuur bevinden. Dit is echter het eerste publiekelijk bevestigde geval waarin het bedrijf sleutels heeft overgedragen aan federale onderzoekers.
Voor degenen die hier niet bekend mee zijn: BitLocker-versleuteling is standaard ingeschakeld op de meeste moderne Windows-pc's en versleutelt schijven om gegevens veilig te houden. Windows vraagt gebruikers echter regelmatig om een back-up te maken van hun 48-cijferige herstelsleutels naar een Microsoft-cloudaccount. Door deze keuze behoudt Microsoft technische toegang tot de sleutels, waardoor ze toegankelijk zijn als de politie aanklopt.
In de zaak in Guam gebruikte de FBI de sleutels die het van Microsoft had ontvangen om de versleuteling te omzeilen die volgens federale forensische experts voorheen "ondoordringbaar" was. In de gerechtelijke documenten stond dat instanties zoals Homeland Security Investigations (HSI) niet over de middelen beschikten om BitLocker te kraken zonder de specifieke herstelsleutels.
De beslissing van Microsoft om sleutels aan wetshandhavingsinstanties te overhandigen staat in contrast met die van concurrenten zoals Apple en Meta, die zero-knowledge-architecturen gebruiken waarbij herstelsleutels end-to-end worden versleuteld of op het apparaat van de gebruiker worden opgeslagen, wat betekent dat het bedrijf niet aan verzoeken kan voldoen, zelfs niet onder dwang van een dagvaarding.
Juridische experts verwachten nu meer verzoeken van wetshandhavingsinstanties om BitLocker-sleutels, nu bekend is geworden dat Microsoft hieraan voldoet. Gebruikers die niet willen dat Microsoft hun sleutels opslaat, kunnen hun accounts controleren op account.microsoft.com/devices/recoverykey. Daar kunt u zien of sleutels in de cloud zijn opgeslagen. Als u meer veiligheid wilt, is het raadzaam om over te stappen op lokale sleutelopslag, zoals een fysieke USB-stick of een afgedrukt document, om weer volledige controle over versleutelde gegevens te krijgen.
Maar volgens mij geeft dat nog geen zekerheid dat die sleutels toch niet stiekem worden opgeslagen.
BITLOCKER mijden !!!
