Eater
FBI omzeilt “ondoordringbare” encryptie met BitLocker-sleutels van Microsoft
Microsoft heeft bevestigd dat het samenwerkt met wetshandhavingsinstanties zodra het een geldige gerechtelijke beschikking of dagvaarding ontvangt, zelfs tot het punt dat het BitLocker-herstelcodes aan deze instanties verstrekt. Forbes bracht deze informatie naar buiten naar aanleiding van een federaal fraudeonderzoek in Guam, waarbij de FBI erin slaagde drie versleutelde laptops te ontgrendelen die in verband staan met een COVID-19 werkloosheidssteunaanvraag, door gebruik te maken van door Microsoft geleverde sleutels.
De Redmond-gigant gaf aan jaarlijks ongeveer 20 aanvragen voor BitLocker-sleutels te ontvangen. Het is geen nieuwe informatie dat Microsoft voldoet aan wettelijke verzoeken van de overheid en sleutels overhandigt die binnen de eigen cloudinfrastructuur zijn opgeslagen. Dit is echter de eerste keer dat officieel is bevestigd dat het bedrijf sleutels heeft overgedragen aan federale onderzoekers.
Voor wie hier niet mee bekend is: BitLocker-encryptie staat standaard aan op de meeste moderne Windows-pc’s en versleutelt harde schijven om gegevens te beschermen. Windows adviseert gebruikers regelmatig hun 48-cijferige herstelcodes te back-uppen naar een Microsoft-cloudaccount. Door deze keuze behoudt Microsoft technische toegang tot deze sleutels, waardoor ze beschikbaar zijn voor wetshandhavingsinstanties als daarom wordt gevraagd.
In de zaak in Guam gebruikte de FBI de sleutels die zij van Microsoft ontvingen om de encryptie te omzeilen, die federale forensische experts eerder omschreven als “ondoordringbaar”. Uit gerechtelijke documenten blijkt dat instanties zoals Homeland Security Investigations (HSI) niet over de middelen beschikten om BitLocker te kraken zonder de specifieke herstelcodes.
De beslissing van Microsoft om sleutels aan wetshandhavers te verstrekken staat in contrast met concurrenten als Apple en Meta, die gebruikmaken van zero-knowledge-architecturen waarbij herstelcodes end-to-end versleuteld zijn of lokaal op het apparaat van de gebruiker worden opgeslagen. Dit betekent dat deze bedrijven niet kunnen voldoen aan dergelijke verzoeken, zelfs niet onder een dagvaarding.
Juridische experts verwachten nu dat er meer verzoeken van wetshandhavingsinstanties voor BitLocker-sleutels worden ingediend, nu Microsoft’s naleving publiekelijk bekend is. Gebruikers die niet willen dat Microsoft hun sleutels opslaat, kunnen hun accounts controleren via account.microsoft.com/devices/recoverykey. Daar kunnen zij zien of hun sleutels in de cloud worden bewaard. Voor meer veiligheid wordt aanbevolen sleutels lokaal op te slaan, bijvoorbeeld op een fysieke USB-stick of op papier, zodat men de volledige controle houdt over versleutelde gegevens.
