微软为联邦调查局解锁BitLocker加密引发隐私争议

如果你认为使用微软的BitLocker加密能够百分百保护数据安全，那就需要重新考虑了。去年，微软据报向FBI提供了加密密钥，用于解锁在欺诈起诉案中被指控的Windows用户的笔记本电脑。

这起政府案件声称关岛的被告人欺诈性地领取了疫情失业救济金，据Forbes报道，这代表了微软提供BitLocker密钥的首个公开已知案例。

BitLocker是Windows安全系统，可以加密存储设备上的数据。它支持两种模式：设备加密模式（旨在简化安全性）和BitLocker驱动器加密高级模式。

对于任一模式，当从活跃的微软账户设置服务时，微软"通常"会将BitLocker密钥备份到其服务器。微软在其文档中解释："如果你使用微软账户，BitLocker恢复密钥通常会附加到该账户，你可以在线访问恢复密钥。"

对于受管设备情况类似。微软表示："如果你使用的是由工作单位或学校管理的设备，BitLocker恢复密钥通常由组织的IT部门备份和管理。"

微软提供了将密钥存储在其他地方的选项。客户可以选择"保存到USB闪存驱动器"、"保存到文件"或"打印恢复密钥"，而不是选择"保存到你的微软账户"。

但微软鼓励客户将密钥托付给它，因为只要能在线访问账户，就可以恢复密钥，这实际上让微软成为了数字门卫。然而，在这种情况下，客户不再完全控制对其数据的访问权限。

苹果提供类似的设备加密服务FileVault，配合其iCloud服务。iCloud服务也提供简易模式"标准数据保护"和"iCloud高级数据保护"。

使用标准数据保护时，苹果持有iCloud数据的加密密钥，但有一些例外（如密码和钥匙串）。使用高级数据保护时，公司仅持有iCloud邮件、联系人和日历的密钥。

苹果和微软等公司都会遵守他们认定为合法的政府信息要求。但他们无法提供自己不控制的密钥。

苹果在其执法指南中明确表示："苹果存储的所有iCloud内容数据在服务器位置都经过额外加密。对于苹果可以解密的数据，苹果将加密密钥保留在其美国数据中心。苹果不接收或保留客户端到端加密数据的加密密钥。"

但BitLocker的情况并非如此，如果客户在设置期间允许，微软可能有权访问客户端到端加密数据的加密密钥。

微软解释说它不向政府提供自己的加密密钥，但对于客户密钥并未做出同样承诺。

微软在其执法指导中表示："我们不向任何政府提供我们的加密密钥或破解加密的能力。在大多数情况下，我们的默认做法是微软安全存储客户的加密密钥。即使是我们最大的企业客户通常也更愿意我们保管他们的密钥以防止意外丢失或盗窃。然而，在许多情况下，我们也为消费者或企业提供保管自己密钥的选项，在这种情况下微软不保留副本。"

根据微软最新的政府客户数据请求报告（涵盖2024年7月至12月），该公司收到了来自全球执法组织的128项请求，其中77项来自美国当局。在此期间，只有四项请求导致内容披露，其中三项在巴西，一项在加拿大。

微软告诉Forbes，它每年收到约20项BitLocker密钥请求，如果客户未将密钥托付给微软进行云存储，它无法提供这些密钥。

电子前沿基金会高级技术专家Erica Portnoy表示："微软在这里在隐私和可恢复性之间做出权衡。我猜测这是因为他们更专注于商业用例，在商业环境中数据丢失比微软或政府获取数据更糟糕。但通过做出这种选择，他们使产品不太适合有更高隐私需求的个人和组织。这向维权组织和律师事务所发出了明确信息：微软不是为你们构建产品的。"

Q&A

Q1：BitLocker是什么？它有哪些加密模式？

A：BitLocker是Windows安全系统，可以加密存储设备上的数据。它支持两种模式：设备加密模式（旨在简化安全性）和BitLocker驱动器加密高级模式。微软通常会将BitLocker密钥备份到其服务器。

Q2：微软会向政府提供BitLocker加密密钥吗？

A：会的。如果用户选择将BitLocker密钥保存到微软账户，微软可能会向执法部门提供这些密钥。据报告，微软每年收到约20项BitLocker密钥请求。但如果用户选择自己保管密钥，微软就无法提供。

Q3：如何避免微软获取我的BitLocker加密密钥？

A：用户可以选择将密钥存储在其他地方，而不是保存到微软账户。可选择"保存到USB闪存驱动器"、"保存到文件"或"打印恢复密钥"。这样微软就不会保留密钥副本，也无法向第三方提供。