Felhasználók titkos kulcsait adta át a Microsoft, te lehetsz a következő?
A Microsoft bevallotta, hogy hozzáférést adott az FBI-nak a BitLocker által védett adatok feloldására alkalmas titkosítási kulcsokhoz. Az ügy hatalmas port kavart, a felhasználók az adataikat féltik – ennyi volt a titkosításnak?
Felhasználók titkos kulcsait adta át a Microsoft az FBI-nak
Tavaly év elején az FBI házkutatási paranccsal állított be a Microsofthoz, amelyben három laptopon tárolt titkosított adatok feloldásához tartozó helyreállítási kulcsokat kérték. A guami szövetségi nyomozók úgy vélték, hogy az eszközök olyan bizonyítékokat tartalmaznak, amelyek segíthetnek bizonyítani egy, a COVID-időszak alatti nagyszabású pénzmosási akciót.
Az adatok titkosítását a BitLocker végezte, de a Microsoft megőrzi a technikai képességet a titkosítási kulcsok helyreállítására, amikor a felhasználók azokat a Microsoft-fiókjukba mentik – ez a funkció alapértelmezés szerint számos Windows-rendszeren engedélyezett. A nyomozók ezért fordultak a techóriáshoz, ahol végül átadták a titkosított kulcsokat.
A Microsoft hangsúlyozta, hogy nem hoztak létre „hátsó ajtót”, és nem gyengítették a BitLocker titkosítását, így az egyedi eset nem érinti a többi felhasználó biztonságát. Szerintük csupán egy törvényes kérésnek tettek eleget a mentett biztonsági kulcsok átadásával. A vállalat közölte, hogy ilyen, jogilag előírt és törvény hatálya alá eső esetekben a jövőben is hasonlóképpen járhatnak el, ami elsőre megnyugtatónak hangzik, valójában azonban komoly és veszélyes precedenst teremtett.
Érdekelhet: Veszélyes fegyver van a Microsoft kezében, ami ellehetetlenítheti a Bitcoin-fejlesztést
A vállalat évente körülbelül 20 BitLocker-kulcsra vonatkozó kérelmet kap, amelyek sok esetben azoktól a felhasználóktól érkeznek, akik nem tárolták a felhőben a kulcsaikat, de elvesztették a fizikai hozzáférést. Ezekben az esetekben a Microsoft nem tudott segíteni.
„A kulcsok helyreállítása kényelmes megoldás, de egyúttal a nem kívánt hozzáférés kockázatával is jár. A Microsoft úgy véli, hogy a felhasználók tudják a legjobban eldönteni, hogyan kezeljék kulcsaikat.”
– mondta Charles Chamberlayne, a Microsoft szóvivője.
Veszélyes példát mutatott a Microsoft, jogosan félhetnek a felhasználók
Az eset olyan precedenst teremtett, amely megerősítette a szélesebb körű iparági megosztottságot. Míg az Apple-hez hasonló vállalatok erősebb alapértelmezett titkosítás felé mozdultak el, amely még a saját hozzáférésüket is korlátozza a felhasználói adatokhoz, addig a Microsoft megközelítése a vállalati kezelhetőséget helyezi előtérbe. Elemzők szerint ez komoly aggodalmakat vet fel a magánélet védelmére összpontosító fogyasztók körében.
A szabályozó hatóságok és a bűnüldöző szervek számára az eset a jog és az „igazság” győzelmét igazolja. Az átlagfelhasználónak szerintük nincs oka aggodalomra, hiszen aki bizonyítottan bűnöző és illegális tevékenységben vesz részt, azt miért is kellene a titkosításnak megvédenie az igazságszolgáltatással szemben? A helyzet azonban ennél jóval bonyolultabb, ugyanis a magánélet védelme és a széles körű biztonság közötti határ könnyen elmosódhat, különösen egy mindent maga alá gyűrő állam vagy hatóság terjeszkedése idején.
Nem mondtak igent az adatok átadására, hackereket bérelt fel a hatóság
A bűnüldöző szervek gyakran kérik együttműködésre a nagyvállalatokat, hogy azok titkosítási kulcsokat vagy szabad hozzáférést biztosítsanak számukra. Az Apple-t 2016-ban az FBI azzal kereste meg, hogy adjon hozzáférést egy 14 embert meggyilkoló terrorista telefonjához. A vállalat ezt a magánélet védelmére és a titkosítás fontosságára hivatkozva megtagadta, válaszul az FBI végül egy hacker alvállalkozó felbérlésével törte fel az érintett iPhone-t.
Az ACLU felügyeleti és kiberbiztonsági tanácsadója, Jennifer Granick megjegyezte, hogy az emberi jogok terén megkérdőjelezhető országok is kérnek adatokat olyan technológiai óriásoktól, mint a Microsoft. Szerinte a kulcsok tárolása rendkívül kockázatos lehet. Számos felhasználó egyetért, mivel az ember alkotta törvények nem tudják biztositani a magánszférát, ezért a visszaélések szinte folyamatosak.
Kapcsolódó: Az új európai irányelv véget vethet a privát kriptovaluta-tranzakcióknak