Microsoft подтвердила Forbes, что по судебному приказу может передавать ФБР ключи восстановления BitLocker. Это не слух и не домыслы из соцсетей: факт следует из материалов дела и из комментария компании. При этом важная деталь, которую теряют многие заголовки, звучит так: Microsoft может помочь только тогда, когда ключ восстановления оказался в ее облаке. Если ключ туда не загружался, передавать просто нечего.
Поводом для обсуждения стало расследование на Гуаме. Федеральные агенты искали доказательства по делу о хищениях в рамках программы Pandemic Unemployment Assistance. На трех ноутбуках был включен BitLocker, и ФБР запросило у Microsoft ключи восстановления. По документам дела, Microsoft передала ключи 10 февраля 2025 года, после чего следователи получили доступ к данным на устройствах. Это один из первых публично известных случаев, когда такой запрос был выполнен.
Когда Microsoft может выдать ключ, а когда нет
BitLocker сам по себе не делает облако обязательным. Вопрос в том, где хранится ключ восстановления.
Если вы используете учетную запись Microsoft и шифрование устройства включено автоматически, ключ часто сохраняется в аккаунте. Именно в этом случае Microsoft может предоставить его по судебному приказу. Пользователь сам может увидеть такие ключи через страницу aka.ms/myrecoverykey, войдя в свой аккаунт.
Если же ключ хранится физически, на флешке или на распечатке, то Microsoft его не имеет. То же самое, если ключ сохранен локально и не выгружался в облако. В корпоративной среде есть третий вариант: ключи могут храниться в Azure AD организации, то есть доступ к ним контролирует уже не Microsoft как сервис для частных лиц, а администраторы вашей компании, но по судебному запросу этот контур тоже может быть задействован.
В этом и заключается главная развилка. Утверждение Microsoft по сути простое: компания выполняет судебный приказ, если ключ у нее есть. И это не равно тому, что Microsoft хранит ключи всех пользователей.
Представитель Microsoft Чарльз Чемберлейн в комментарии Forbes сформулировал позицию так.
Microsoft предоставит ключи восстановления BitLocker при наличии действительного судебного приказа. Восстановление ключа удобно, но несет риск нежелательного доступа, и пользователи лучше всех способны решить, как управлять своими ключами.
Компания также утверждает, что получает около 20 запросов в год от ФБР на ключи BitLocker, но большинство запросов невозможно выполнить, потому что ключи не были загружены в облако. Это как раз тот момент, который стоит держать в голове, прежде чем делать выводы о тотальном доступе к шифрованию.
Для обычного пользователя эта история не про слабость BitLocker как криптографии. Это про модель использования. Шифрование защищает данные, пока ключ находится под вашим контролем. Если ключ лежит в облаке, появляется юридический путь, по которому доступ к нему может получить правоохранительный орган. Microsoft подчеркивает, что речь идет только о судебном приказе, а не о запросе по телефону.Есть и технический нюанс, который объясняет, почему BitLocker вообще запрашивает ключ. Экран восстановления часто появляется, когда система видит изменение условий загрузки. Например, если отключен Secure Boot. Сообщение на экране восстановления в таких случаях прямо говорит, что ключ нужен, потому что Secure Boot был отключен. Это нормальный механизм защиты от подмены загрузки, но он означает, что при физическом доступе к устройству вероятность попадания в режим восстановления выше.
Отдельный вопрос, который часто задают пользователи: можно ли уменьшить зависимость от облачного хранения ключа. Здесь ответ практический. Если вы хотите, чтобы ключ не оказался в облаке, его нужно хранить физически и не сохранять в учетной записи Microsoft. Это может быть флешка или распечатка, но с понятным риском: потеряли ключ и восстановить доступ будет сложнее. Для некоторых сценариев добавляют еще один уровень защиты, например требование PIN при включении, чтобы даже при наличии ключа восстановления доступ к диску не превращался в одну кнопку.
В комментариях к истории звучит и политическая критика. Сенатор Рон Вайден заявил:
Технологические компании не должны строить продукты так, чтобы шифрование можно было обойти втайне от пользователя, и что доступ к ключам дает правоохранителям полный доступ к цифровой информации человека. Это не юридический факт, а оценка, но она хорошо показывает, почему тема вызывает эмоциональную реакцию.
Скандал не в том, что BitLocker сломан. Скандал в том, что многие пользователи не знают, где хранится их ключ восстановления. Пока ключ у вас, облако не помогает следователям. Но если он оказался в аккаунте Microsoft, появляется возможность законного доступа по судебному приказу. И это уже не вопрос криптографии, а вопрос настроек, привычек и понимания, как именно устроена защита на вашем устройстве.
