微軟官方承認會向 FBI 等執法機構提供 Windows 11 裝置加密金鑰 (即 BitLocker 復原金鑰),微軟表示用戶最能決定如何管理自己的金鑰。早前福布斯發布報道稱,微軟響應 FBI 請求提供某台設備的密鑰供 FBI 解密數據,隨後微軟承認並給出回應,言外之意就是保存到微軟帳戶中的密鑰雖然方便不會丟失,但也存在洩露的風險,用戶應該自己決定離線還是在線保存密鑰。
微軟開發的私人加密機制 Microsoft BitLocker 會在執行加密操作時讓用戶選擇保存密鑰文字檔案或將其保存到微軟帳戶中,如果用戶在未來不慎丟失密鑰可以透過微軟帳戶的雲端獲取解密密鑰從而解密已經加密的硬碟資料。
而 Windows 11 預設啟用的裝置加密功能本質上也是使用 BitLocker 執行加密操作,在使用者登入微軟帳號的情況下,解密金鑰同樣會被預設儲存到使用者的微軟帳號中,可以透過微軟帳號檢視解密金鑰。
不過現在用戶繼續選擇將金鑰保存到微軟帳戶可能需要仔細考慮,因為微軟官方已經承認會向 FBI 等執法機構提供保存在微軟雲端的設備解密金鑰,只要執法機構能夠提供有效的證明。
美國媒體福布斯早前發布的報道稱,美國聯邦調查局聯繫微軟索要某台設備的解密密鑰,這台設備牽涉到美國關島某起涉及欺詐新冠疫情期間失業補助資金的案件,微軟接到 FBI 的執法協助後同意請求並提供目標設備的設備解密密鑰,FBI 密鑰後得以解密設備獲取犯罪團伙的更多數據。
微軟官方發言人查爾斯張伯倫在發給《富比士》的聲明中表示:
雖然裝置加密金鑰的復原機制提供便利,但也存在著被其他未經授權的人存取的風險,因此微軟認為客戶最能決定如何管理他們的金鑰。 (原文:While key recovery offers convenience, it also carries a risk of unwanted access, so Microsoft believes customers are in the best position to decide… how to manage their keys)
這句話的意思其實是保存到雲端雖然不會遺失但可能會被執法機構獲取,用戶應該自己考慮如何保存密鑰,如果選擇保存到微軟那就應該預見這些密鑰有可能會被微軟洩露給執法機構的風險。
微軟發言人也補充說,FBI 每年大概會向微軟發起 20 次索取 Microsoft BitLocker 恢復金鑰的請求,但其中大多數請求都是無法滿足的,因為這些加密金鑰並未上傳到微軟帳戶保存到雲端。
這倒不是說大部分用戶都不願意將設備金鑰保存到微軟帳戶,而是有可能會被 FBI 追查的人想必也知道密鑰保存到雲端的風險,所以這些用戶可能本身在執行加密前就已經規避上傳到雲端的操作。
相反,絕大多數 Windows 11 用戶的裝置恢復金鑰都是保存在微軟雲端的,畢竟大多數用戶都是一般用戶並不清楚金鑰保存在雲端的風險,甚至這些用戶都不知道 Windows 11 已經預設啟用裝置加密功能。
還有個值得關注的就是設備上傳的恢復金鑰竟然沒有加密,也就是至少對微軟來說這些恢復金鑰都是明文的隨時可以查看,儘管洩漏風險很低但微軟配合執法機構提供金鑰同樣存在風險。
建議:
裝置加密功能會影響系統效能,但優點在於如果你的裝置遺失例如筆記型電腦遺失後被人拆出硬碟,由於資料已經被加密因此別人最多格式化硬碟,不能直接讀取硬碟中的資料。
因此我們的建議是對於專業用戶建議開啟設備加密功能並且將密鑰保存在自己的其他設備或列印出來備用,除非頻繁搬家否則也沒必要將密鑰保存在微軟帳戶中。
對於非專業用戶,設備加密功能導致的各種問題層出不窮,最大的問題就是有時保存在微軟帳戶中的密鑰無法恢復 (情況比較複雜),這種情況下還不如直接禁用設備加密功能防止自己被鎖在門外。
先前就出現過多起用戶沒有恢復金鑰導致資料遺失的案例,原因包括但不限於系統並非本人安裝、目前使用的帳戶是後來添加的、壓根沒有登入帳戶等等,與其如此不如直接停用裝置加密。
有關停用裝置加密的方法請參閱藍點網路先前發布的圖文教學:[指南] 如何停用 Windows 11 裝置加密和 BitLocker 硬碟加密 如何建立不加密的系統
