Klucz odzyskiwania funkcji BitLocker to specjalny klucz, który można
utworzyć podczas pierwszego włączenia szyfrowania dysków funkcją
BitLocker na każdym z szyfrowanych dysków. Klucz odzyskiwania pozwala na
uzyskanie dostępu do komputera, jeśli dysk z zainstalowanym systemem
Windows (dysk z systemem operacyjnym) został zaszyfrowany funkcją
BitLocker, a podczas uruchamiania komputera funkcja ta np. wykryła warunek
uniemożliwiający odblokowanie dysku. Funkcja szyfrowania BitLocker w Windows 10 jest wbudowana i domyślnie włączona. Niestety nie ma sposobu na to, aby podczas instalacji Windows 10 i pierwszego logowania się na konto Microsoft zapobiec wysyłaniu klucza odzyskiwania BitLocker na serwery Microsoft. Zdrowy rozsądek podpowiada nam, że jedynym podmiotem, który powinien ten klucz posiadać jesteśmy wyłącznie my sami, czyli użytkownicy tej funkcji. Microsoft przyjął jednak inaczej, mając co do tego odmienne zdanie. Jak zauważa The Intercept w swoim artykule z dnia wczorajszego, Microsoft w swoim najnowszym systemie operacyjnym Windows 10 przesyła kopię klucza odzyskiwania funkcji Bitlocker na serwery Microsoft, bez powiadamiania o tym fakcie użytkownika. Wysyłanie klucza realizowane jest, gdy na naszej stacji roboczej korzystamy z konta Microsoft, a nie z konta użytkownika lokalnego. Z jednej strony jest to forma ratunku w przypadku utraty przez nas takiego klucza, z drugiej strony każdy może sobie odpowiedzieć na poniższe pytanie:
Czy byłby w stanie przekazać duplikaty kluczy do swojego domu firmie, która go zaprojektowała lub wybudowała?
Dlaczego możemy się martwić, że Microsoft posiada "nasz" klucz?
- jeśli ktoś przejmie lub włamie się na nasze konto Microsoft, będzie posiadać dostęp do naszego klucza odzyskiwania, tym samym do naszych zaszyfrowanych danych;
- nieuczciwy pracownik Microsoft z dostępem do kont użytkowników Microsoft ma dostęp do kluczy szyfrowania;
- jeśli Microsoft zostanie zhakowany, hakerzy mogą uzyskać dostęp do kluczy odzyskiwania użytkowników;
- agencje rządowe lub organy ścigania mogą przesłać zapytanie do firmy Microsoft o udostępnienie naszego klucza odzyskiwania - jeśli nie macie nic poważnego na sumieniu nie musicie się obawiać ;)
Korzystam z funkcji BitLocker oraz konta Microsoft na stacji roboczej Windows 10, jak żyć?
Microsoft umożliwia użytkownikowi usunięcie klucza odzyskiwania BitLocker ze swoich serwerów, poprzez zalogowanie się na stronie:
Aby się zalogować, wpisujemy dane uwierzytelniające analogicznie jak podczas logowania do konta Microsoft na stacji roboczej (tak, Microsoft ma dostęp do naszych danych uwierzytelniających). Po zalogowaniu pojawi się lista kluczy odzyskiwania przypisana do konta, z możliwością pobrania na naszą stację oraz ich usunięcia. Oczywiście usunięcie klucza odzyskiwania z naszego konta Microsoft nie gwarantuje nam usunięcia go z serwerów Microsoft. Dlatego też możemy posunąć się do jeszcze jednego kroku. Możemy zaszyfrować funkcją BiLocker dysk na nowo (funkcja ta dostępna jest niestety tylko dla użytkowników Windows 10 w edycji Pro lub Enterprise) Co nam to da? Podczas ponownego szyfrowania możemy już wybrać, czy nasz klucz odzyskiwania ma być przesłany na serwery Microsoft:
 |
| Okienko z wyborem metody kopii zapasowej klucza BitLocker (źródło: https://theintercept.com) |
Wybierając opcję zapisu do pliku, nasz klucz odzyskiwania nie będzie przesłany na serwery Microsoft.
Gdy pisaliśmy artykuł związany z dostosowaniem prywatności w Windows 10, jak pamiętacie odradzaliśmy korzystanie z konta Microsoft:
Gdy pisaliśmy artykuł związany z dostosowaniem prywatności w Windows 10, jak pamiętacie odradzaliśmy korzystanie z konta Microsoft:
Ponadto zawsze możemy skorzystać z innych rozwiązań szyfrujących, np. Veracrypt czy też BestCrypt i tą opcję polecamy najbardziej.
Na koniec zacytujemy słowa profesora kryptografii Uniwersytetu Johna Hopkinsa, Matthew Greena:
"Your computer is now only as secure as that database of keys held by Microsoft, which means it may be vulnerable to hackers, foreign governments, and people who can extort Microsoft employees."
Źródło:
https://theintercept.com
https://thehackernews.com
http://windows.microsoft.com
Na koniec zacytujemy słowa profesora kryptografii Uniwersytetu Johna Hopkinsa, Matthew Greena:
OdpowiedzUsuńKomputer jest tak bezpieczny, jak tej bazy danych kluczy przechowywanych przez Microsoft, co oznacza, że może to być narażone na ataki hakerów , obcych rządów i ludzi , którzy mogą wymuszają pracowników firmy Microsoft
naucz się pisać gamoniu
OdpowiedzUsuńDlatego najlepiej korzystać z konta lokalnego, albo domenowego w przypadku Pro, o ile serwer z domeną posiadamy. Być może zablokowanie listy hostów telemetrycznych microsoft (krąży po internecie) na firewallu w routerze też zda egzamin.
OdpowiedzUsuńAleż zawrót d..y! A kto z trzeźwych ludzi jeszcze wierzy w poufność MS czy jakąkolwiek ochronę danych czy anonimowość?! Puknijcie się wreszcie w czoło!
OdpowiedzUsuńBardzo ciekawy i interesujący artykuł.
OdpowiedzUsuńPrzydatne !
OdpowiedzUsuńartykuł znacząco wpłynął na czynności jakie wykonałem - tuż po zakupie komputera z zainstalowanym windowsem.
(wyłączenie domyślnie zainstalowanego bitlockera i ...)
Co jeśli nie zakładałem konta Microsoft? Mój klucz nie jest nigdzie przechowywany
OdpowiedzUsuńPolecam wyłączyć wszystkie aktualizacje odrazu po zakupie laptopa z zainstalowanym windows 10
OdpowiedzUsuńWindows 10?? a moze napiszcie ze uefi..to caly jeden wielki klucz do ktorego dostep ma zdalnie intel przez pxe zdalne logowanie..przy wylaczonym/wlaczonym systemie.
OdpowiedzUsuńkomputery tylko z i przed 2011 roku..wszystko potem to bez uzyteczny szrot.