Az FBI tavaly bírósági végzéssel fordult a Microsofthoz, hogy BitLockerrel titkosított adatokat tudjanak elérni, méghozzá három laptopon, amelyeket egy nyomozás során foglaltak le. Az ügy egy Guamhoz köthető, a COVID-os munkanélküli támogatásokkal kapcsolatos lehetséges csalás miatt indult, és a The Verge összefoglalója szerint a vállalat teljesítette a megkeresést.
Hirdetés
A történet azért keltett nagyobb visszhangot, mert a nagy techcégek az elmúlt években látványosan igyekeztek távol tartani a hatóságokat a felhasználói titkosítási kulcsoktól, a 2016-os Apple kontra FBI iPhone-ügy pedig a mai napig hivatkozási alap. Ehhez képest most a Microsoft a Forbesnak megerősítette: „érvényes jogi megkeresés” esetén biztosítják a BitLocker-helyreállító kulcsokat.
[+]
A cég szóvivője, Charles Chamberlayne a The Verge-nek azt mondta, a Microsoft törvényileg köteles kiadni azokat a kulcsokat, amelyek a vállalat szerverein vannak tárolva. A magyarázat szerint a felhasználók dönthetnek úgy, hogy a titkosítási kulcsot lokálisan, a Microsoft által nem hozzáférhető helyen tárolják (például papírra felírva vagy egy USB kulcson, titkosítva), de választhatják a Microsoft felhőjét is – utóbbi kényelmi okból jellemző, mert megkönnyíti a kulcs (és így az adatok) helyreállítását például jelszóvesztés vagy gépcsere után. A vállalat ugyanakkor elismerte: ez a helyreállíthatóság együtt jár azzal a kockázattal, hogy „nem kívánt hozzáférés” is előfordulhat.
A gyakorlatot Ron Wyden oregoni szenátor bírálta, „felelőtlennek” nevezve, ha cégek „titokban” adják át a felhasználók titkosítási kulcsait. Adatvédelmi szervezetek – köztük az ACLU – pedig arra figyelmeztetnek, hogy az ilyen esetek precedenst teremthetnek, és visszaélésre is lehetőséget adhatnak. Az ACLU jogásza, Jennifer Granick a Forbesnak úgy fogalmazott: a mostani helyzet azt az elvárást is erősítheti, hogy más országok – akár vitatott emberi jogi háttérrel – hasonlóan igényt tarthatnak ügyféladatokhoz vezető kulcsokra.
A tanulság röviden: ha a BitLocker-helyreállító kulcs a felhőben van, akkor egy jogszerű hatósági megkeresés esetén a szolgáltató – legalábbis a Microsoft állítása szerint – ki tudja adni. Aki ennek lehetőségét minimalizálná, annak a kulcsok helyi, szolgáltatótól független tárolása ad nagyobb kontrollt, cserébe kevesebb „önmentő” kényelmi funkcióval.
