Microsoft antoi FBI:lle Windows-käyttäjien BitLocker-avaimia rikostutkintaa varten

[NeliYgönen]

Esimerkiksi Apple ja Meta ovat tietojen luovutuksen suhteen tiukempia, vaikka kyse olisi viranomaisista.

Ohjelmistojätti Microsoft on noussut otsikoihin annettuaan Yhdysvaltain tutkintaviranomaiselle FBI:lle Windowsin BitLocker-suojauksen avaimia, joilla virasto on päässyt yksityiskäyttäjien tietoihin rikostutkinnan nojalla.

Kyseessä on rikostutkinta liittyen kavallusepäilyyn Yhdysvaltoihin kuuluvalla Guamin saarella. FBI pyysi Microsoftilta epäiltyjen henkilöiden tietokoneille päästäkseen BitLocker-avaimia ja sai ne haltuunsa, mikä on nostanut esiin huolia Microsoftin pilvipalveluiden tietoturvasta. Tiettävästi kyse on ensimmäisestä kerrasta, kun Microsoft on luovuttanut pilvipalveluihinsa tallennettuja BitLockerin suojausavaimia lainvalvojille.

Vaikka kyseessä on rikostutkinta, on Microsoftia arvosteltu sen tuotteiden tietoturvan uskottavuudesta, jos yhtiö antaa käyttäjiensä henkilökohtaisia tietoja viranomaisille pyydettäessä. Microsoft itse on sanonut luovuttavansa tietoja vain hyvin perustelluista syistä, millaiseksi se näki FBI:n rikostutkinnan. Microsoftin kilpailijoista esimerkiksi Apple ja Meta eivät ole tiettävästi luovuttaneet vastaavia tietoja viranomaisille pyynnöistä huolimatta. Kahden viimeksi mainitun pilvitallennuksessa on lisäksi Microsoftia vahvempi suojaus.

Lähde: Forbes

 

[Algron28]

Yleisesti ottaen näen huolestuttavaksi että tällaisia avaimia voidaan vain "antaa" kun ne ovat kuitenkin sellaisia joita ei pitäisi kenelläkään muulla olla hallussa kuin sillä avaimen luojalla, kaikista vähiten jollain Mikkisoftalla.

 

[Ossih]

Yleisesti ottaen näen huolestuttavaksi että tällaisia avaimia voidaan vain "antaa" kun ne ovat kuitenkin sellaisia joita ei pitäisi kenelläkään muulla olla hallussa kuin sillä avaimen luojalla, kaikista vähiten jollain Mikkisoftalla.

Itse olen ymmärtänyt että joka ikinen Windows 11 Home edition mikä on aktivoitu "normaalisti" internetin kanssa varmuuskopioi avaimet Microsoftin palvelimelle.

 

[muppelo]

Yleisesti ottaen näen huolestuttavaksi että tällaisia avaimia voidaan vain "antaa" kun ne ovat kuitenkin sellaisia joita ei pitäisi kenelläkään muulla olla hallussa kuin sillä avaimen luojalla, kaikista vähiten jollain Mikkisoftalla.

Uutisessa mainitaan että:

It’s possible for users to store those keys on a device they own, but Microsoft also recommends BitLocker users store their keys on its servers for convenience. While that means someone can access their data if they forget their password, or if repeated failed attempts to login lock the device, it also makes them vulnerable to law enforcement subpoenas and warrants.

Elikkä ihmiset voi itse varastoida avaimensa mutta mikkis suosittelee niiden tallentamista heidän servuilleen mikä taas mahdollistaa tuollaisen että viranomaiset ne avaimet pyytävät.

 

[keilapallo]

Itse olen ymmärtänyt että joka ikinen Windows 11 Home edition mikä on aktivoitu "normaalisti" internetin kanssa varmuuskopioi avaimet Microsoftin palvelimelle.

Windows 11 Home -versiossa BitLocker ei ole käytettävissä, se löytyy ainoastaan Pro- ja Enterprise-versioista.

 

[Rupert]

Windows 11 Home -versiossa BitLocker ei ole käytettävissä, se löytyy ainoastaan Pro- ja Enterprise-versioista.

Home-versioissa käytössä voi olla "Device Encryption" joka ainakin aikaisemmin vaati, että käytössä on myös MS-tili ennen kuin se aktivoituu juuri salausavainten varmuuskopiointia varten: Device Encryption in Windows - Microsoft Support

Itse uutinen ei kyllä pitäisi olla minkään tason yllätys kenellekkään, toki firmat luovuttavat tietoja mitä niillä on jos oikeus määrää. Toki voi miettiä, että onko järkeä se, että Microsoftilla on asiakkaan salausavaimet siinä muodossa, että saavat ne luettua, mutta veikkaan, että tässä mennään helppous edellä: olisi varmaan vieläkin enemmän valituksia, että "Windows tuhosi mun valokuvat" kun käyttäjät unohtavat salasanansa ja Microsoft toteaa, että ei voi mitään. Ne joiden uhkakuviin kuuluu viranomaiset eikä vain satunnaiset varkaat tms. kannattaa katsoa jotain muita vaihtoehtoja salausavainten säilytykseen Microsoftin (tai minkä muunkaan) pilven sijaan.

 

[weetabix]

Windows 11 Home -versiossa BitLocker ei ole käytettävissä, se löytyy ainoastaan Pro- ja Enterprise-versioista.

Ainakin Lenovon slim 7 läppärissä (omassa siis 4700u) on bitlocker home käyttiksessä. Ostettu dnalta joten ei mikään firmahankinta todellakaan. Tosi tuo taisi olla windows 10, joten ehkä tuossa ero. Dual boottissa kun linux pääkäyttiksenä niin jakaminen MS tilille on ihan järkevä varmuuskopio, kun avainta saa aika tasaisesti syöttää. Toki windows puolella on lähinnä Kian päivityssofta että saa vähän vanhempaan plugariautoon uutta karttaa ja softaa sisään (2021 malli).

 

[pumptsipum]

Se on se kun käyttäjille on uskoteltu joku kauhukuva jostain murtovarkaista jotka pöllivät datat kotoasi. Kannettavissa tietokoneissa tuo voi edes jotenkin puoltaa paikkaansa, mutta torni-PC:ssä on korkeampi todennäköisyys että rauta hajoaa ja tiedot menetetään salauksen vuoksi TAI hakkeri vie ne murtautumalla koneeseen ohjelmallisesti TAI viranomaiset tulevat hakemaan koneen talteen. Ulkopuolinen rosvo on paljon pienempi uhka kuin mikään näistä edes yhdessä.

 

[Suolameri]

Windows 11 Home -versiossa BitLocker ei ole käytettävissä, se löytyy ainoastaan Pro- ja Enterprise-versioista.

Juuri ostamassani läppärissä Windows Home oli pistänyt bitlockerin automaattisesti päälle ja salannut molemmat asemat (Recallia varten?). Kun koitin asetuksia katsella (varmuuskopioida avaimia yms.), tuli kehoitusta hommata Win Pro versio. Eli ideana tossa olisi nähtävästi kirjautua sillä online tilillä sisään ja mikrosoftilla olisi sitten ainoat kopioit salausavaimista siellä pilvessä?

 

[Arranger]

Bitlocker-avaimien tallentaminen pilveen on oma keskusteluaiheensa, mutta millä tavalla tuo varsinainen avainten luovuttaminen on edes uutinen? Kyllä samoin toimittaisiin (viimeistään oikeuden päätöksellä) muissakin maissa, jos kolmannella osapuolella on hallussaan jotain sellaista, jota voidaan käyttää rikoksen ratkaisemisessa.

 

[zepi]

Bitlocker-avaimien tallentaminen pilveen on oma keskusteluaiheensa, mutta millä tavalla tuo varsinainen avainten luovuttaminen on edes uutinen? Kyllä samoin toimittaisiin (viimeistään oikeuden päätöksellä) muissakin maissa, jos kolmannella osapuolella on hallussaan jotain sellaista, jota voidaan käyttää rikoksen ratkaisemisessa.

Apple on ainakin aikaisemmin kieltäytynyt oikeuden päätösten jälkeenkin puhelimien dekryptauksen avustamisessa.

Mutta tämä oli joskus aikaisemmin - nykytilanteesta ei tiedä.

 

[polarbear62]

Ei yllätä yhtään ettei MS voi luottaa. Jokainen voi vain arvella millaisia backdoor exploitteja MS ja Apple on antaneet Kiinalle kun molemmat firmat on niitä muutamia harvoja jenkkien teknologiafirmoja jotka saavat operoida ko. markkinalla.

 

[Raivo]

Ei yllätä yhtään ettei MS voi luottaa. Jokainen voi vain arvella millaisia backdoor exploitteja MS ja Apple on antaneet Kiinalle kun molemmat firmat on niitä muutamia harvoja jenkkien teknologiafirmoja jotka saavat operoida ko. markkinalla.

Käyppä hakee tokmannista vähän lisää foliota. Luulis että sä et käytä mitään ATKta noiden juttujen perusteella mutta täällä sitä vaan spammataan. Jos ne oikeuden päätöksellä antaa infot niin mitäs luottamusta rikottiin?

 

[m000]

Jos ne oikeuden päätöksellä antaa infot niin mitäs luottamusta rikottiin?

Kyllähän siinä asiakkaan/käyttäjän ja mikkisoftan välistä luottamusta rikotaan, ellei erikseen eksplisiittisesti ja selkeästi mainittu että näin tulevat toimimaan.

 

[polarbear62]

Käyppä hakee tokmannista vähän lisää foliota. Luulis että sä et käytä mitään ATKta noiden juttujen perusteella mutta täällä sitä vaan spammataan.

Nyt on aika häiriintynyt kommentti. Se että täysin oikeutetusti kritisoidaan jenkkien big techien toimintaa käyttäjän luottamuksen murtamisesta ei tarkoita etteikö voisi käyttää mitään digitaalisia palveluita tai tuotteita. Jos kaikki ajattelisi tuollalailla niin meitä kairattaisiin entistäkin pahemmin tietosuojan ja yksityisyyden osalta.

Tee toki aivan vapaasti mitä haluat, mutta itse välttelen tällaisia firmoja ja heidän palveluita aina kun kohtuudella pystyn.

Jos ne oikeuden päätöksellä antaa infot niin mitäs luottamusta rikottiin?

Microsoftilla ei tulisi olla mitään mahdollisuutta avata käyttäjän koneen tai pilvessä olevan tallenustilan kryptausta. Sen tulisi olla vain kyseisen käyttäjän avattavissa riippumatta oikeuden päätöksistä ja riippumatta siitä mitä kyseinen käyttäjä on tehnyt.

Onnea vain kaikille jotka meinaa käyttää sitä Windows Recall ominaisuutta jossa AI nappaa screenshotin joka X sekuntti ja lukee sen sisällön. Eiköhän ole vain ajan kysymys kun tulevaisuudessa AI huomaa mitä torrentteja latailet ja lähettää MS:n kautta todisteita tekijänoikeusinkvisitioille.

 

[user9999]

Piti tarkistaa miten tuon on Apple toteuttanut.
MacOS Tahoessa Filevault recovery key löytyy passwords sovelluksesta tai FileVaultin asetuksista.

Spoileri: Passwords

Salasanat suojattu iCloud Standard ja Advanced Data Protection tapauksissa.
Data Category: Passwords and Keychain
Encryption: End-to-end
Key storage: Trusted devices

iCloud data security overview - Apple Support

iCloud uses strong security methods, employs strict policies to protect your information, and leads the industry in using privacy-preserving security technologies like end-to-end encryption for your data.

support.apple.com

About end-to-end encrypted data
End-to-end encrypted data can be decrypted only on your trusted devices where you’re signed in to your Apple Account. No one else can access your end-to-end encrypted data — not even Apple — and this data remains secure even in the case of a data breach in the cloud. If you lose access to your account, only you can recover this data, using your device passcode or password, recovery contact, or recovery key.

Apple doesn't have the encryption keys needed to help you recover your end-to-end encrypted data.

 

[Obi-Lan]

Ei siinä paikallisessa salauksessa itsessään varmaan mitään erityisiä takaovia ole kun viranomaisten piti pyytää purkuavainta Microsoftilta joka taas ilmeisesti säilyttää ne pilvessä luettavassa muodossa eikä ole tehnyt mitään zero knowledge toteutuksia. Datat todennäköisesti pitää luovuttaa siinä muodossa kun ne yleensä on, Protonkin joutunut luovuttelemaan IP logeja ym kun kukaan järkevä palveluntuottaja ei ota syytettä asiakkaan puolesta.

Tuohon taas varmaan päädytty kun suurin osa tavallisista ihmisistä tuppaa unohtamaan salasanoja, joskus aiemmassa firmassa kokeiltiin ekoja kertoja TrueCrypt levyn salausta, kesälomien jälkeen sai asentaa useita koneita uudelleen kun salasanat oli ehtinyt unohtua kuukauden aikana.

 

[Purple]

Aika monelle taitaa riittää, että jos läppäri katoaa niin menee edes viikko tavan ihmisellä (raudalla) murtaa salaus. Ehtii tuossa ajassa vaihtamaan tärkeimmät salasanat yms.

 

[moukula]

Itse olen ymmärtänyt että joka ikinen Windows 11 Home edition mikä on aktivoitu "normaalisti" internetin kanssa varmuuskopioi avaimet Microsoftin palvelimelle.

Normaalisti (tai jos on hyvät käytännöt) jos joku salasana tallennetaan palveluntarjoajan palvelimelle, niin se kryptataan ja suolataan niin perusteellisesti, että vaikka se palvelin korkattaisiin ja varkaat saisivat sieltä levydumpin itselleen, niin nekään eivät saa niitä salasanoja auki. Jos mikkisofta pitää salasanat/salausavaimet palvelimillaan siinä muodossa että järjestelmänvalvojat saavat ne sieltä selkokielisenä luettua, niin ollaan kyllä vaarallisilla vesillä.

 

[Arranger]

Apple, kuten Microsoftkaan, ei tarjoa työkaluja salausten purkamiseen. Lukee Microsoftillakin ihan julkisesti. Microsoft myös ilmoittaa, ettei jaa Microsoftin avaimia (= lue, yrityksen omia). Toteaa sen sijaan, että asiakkaat voivat halutessaan säilöä avaimensa Microsoftin pilveen halutessaan, tosin vähän rivien välistä ilmaisee, että kannattanee pitää omassa tallessa.

Tiedon luovuttamisessa oikeuden päätöksellä ei ole mitään uutta ja ihmeellistä. Ei, vaikka yrityksellä ja asiakkaalla olisi millainen keskinäinen sopimus. Lainsäädäntö on varmasti kaikissa moderneissa maissa (mutu) tällaisten sopimusten yläpuolella.

Toistan; luovuttaminen ei ole uutinen. Se on, että ihmiset säilöö avaimensa pilveen.

 

[McBlade]

Home-versioissa käytössä voi olla "Device Encryption" joka ainakin aikaisemmin vaati, että käytössä on myös MS-tili ennen kuin se aktivoituu juuri salausavainten varmuuskopiointia varten: Device Encryption in Windows - Microsoft Support

Itse uutinen ei kyllä pitäisi olla minkään tason yllätys kenellekkään, toki firmat luovuttavat tietoja mitä niillä on jos oikeus määrää. Toki voi miettiä, että onko järkeä se, että Microsoftilla on asiakkaan salausavaimet siinä muodossa, että saavat ne luettua, mutta veikkaan, että tässä mennään helppous edellä: olisi varmaan vieläkin enemmän valituksia, että "Windows tuhosi mun valokuvat" kun käyttäjät unohtavat salasanansa ja Microsoft toteaa, että ei voi mitään. Ne joiden uhkakuviin kuuluu viranomaiset eikä vain satunnaiset varkaat tms. kannattaa katsoa jotain muita vaihtoehtoja salausavainten säilytykseen Microsoftin (tai minkä muunkaan) pilven sijaan.

Juuri näinhän tuo menee, Windows 11 Homessa salausta ei voi käsin ohjata, avaimet menee MS:n palvelimille tuon Device Encryptionin mukaan. Windows 11 Pro:ssa myös jos asentaa ja kirjautuu MS-tilillä. Pro:ssa tuota avainten tallennuspaikkaa voi halutessaan kuitenkin vaihtaa, ja tallentaa vaikka usb-tikulle kuten aiemmissa windowseissa editiosta riippumatta oli mahdollista, kun ne eivät pakottaneet sitä MS-tiliä.

Tässä hieman ajankohtaista ohjetta miten Win11 Pro:ssa menetellä:

How to encrypt your PC's disk without giving the keys to Microsoft

Storing recovery keys with Microsoft allows the company to unlock your disk.

arstechnica.com