Kde má Microsoft můj recovery key z BitLockeru? Opravdu v cloudu?

Možná byste si měli ověřit, jestli svůj recovery key nemáte nevědomky uložený v cloudu. A případně si pořídit nový a ohlídat, aby opět nebyl v cloudu.

Je to taková trochu zmatečná záležitost. Při uvedení Windows 10 se řešilo, že Microsoft ukládá recovery key pro šifrování disku na své servery, tedy lépe řečeno k vašemu účtu od Microsoftu. Tehdy se od tvrzení, že „to dělá automaticky a vždy“ došlo k tomu, že to udělá poté, co odkliknete, že to tak chcete udělat. Na výběr totiž je uložení na USB klíčenku, vytištění a uložení k vašemu účtu (do cloudu).

Intercept ale v prosinci přišel s RECENTLY BOUGHT A WINDOWS COMPUTER? MICROSOFT PROBABLY HAS YOUR ENCRYPTION KEY, kde poněkud zmateně míchá dohromady několik věcí. Následně vznikla panika, protože výskyt recovery klíče (umožňujícího v případě problémů překonat šifrování) u někoho jiného může být vážný problém.

Celé je to složité v tom, že klíč skutečně může být uložený ve vašem cloudovém účtu, ale má to řadu podmínek. Zejména tu, že musíte šifrování disku přes BitLocker používat. Pak tu, že jste mohli něco takového odkliknout. A teoreticky, ale to stále není jasné, se tam může dostat automaticky.

POZNÁMKA: Ve FAQ k BitLockeru najdete „Jestliže jste klíč ze svého online účtu Microsoft omylem smazali a chcete ho opět uložit, musíte přimět systém Windows, aby obnovovací klíč automaticky zálohoval. Můžete toho docílit pouze tak, že přepnete na místní účet a poté zpět na účet Microsoft.“ Což čistě teoreticky znamená, že váš recovery key se skutečně může ocitnout automaticky v cloudu.

Ověřit si, jestli váš klíč je v cloudu uložený, můžete snadno. Na onedrive.live.com/recoverykey najdete přehled všech uložených klíčů. A také možnost je smazat. Pokud se už ovšem dostal někam „ven“, tak je smazání s otazníkem. A měli byste si případně ohlídat, aby nový klíč už ven nešel.

Co je ještě dobré vědět:

  • Obnovovací klíč se v online úložišti u vašeho účtu ocitne jenom u počítačů nepřipojených k doméně. Pokud je počítač v doméně, tak recovery key má přístupný správce domény.
  • Počítač používaný pouze s lokálním účtem nebude mít recovery key kam uložit.
  • Šifrování ve Windows je závislé na výskytu TPM (Trusted Platform Module) čipu, pokud váš počítač takový nemá, tak žádné šifrování aktivováno nebylo (a ani ho snadno nemůžete mít, ale lze si ho pořídit),
  • V cloudu možná najdete klíč, aniž byste měli BitLocker aktivní.
  • Velmi pravděpodobně se tohle všechno netýká Home verzí Windows (Pro, Enterprise ano).
  • BitLocker není novinka ve Windows 10, takže tohle vše se týká i Windows 8/8.1

BitLocker najdete v Ovládacích Panelech jako Nástroj BitLocker Drive Encryption. Snadno tam můžete zjistit i to, že recovery key v cloudu existuje, ale žádný z disků není šifrovaný a nikdy jste ho ani šifrovaný neměli. Což je, když už to vezmeme čistě prakticky, případ mého notebooku. BitLocker aktivní není a nikdy nebyl, přesto je v cloudu uložený recovery key. 

BitLocker není a nebyl aktivní. Přesto existuje recovery key

BitLocker není a nebyl aktivní. Přesto existuje recovery key

POZOR: Pokud používáte BitLocker a šifrujete disk, je zachování obnovovacího klíče (recovery key) nesmírně důležité. A nemůžete si ho schovat v počítači, protože pokud se z nějakého důvodu počítač uzamkne, budete potřebovat právě recovery key k tomu, abyste se na disk dostali (Windows vám stejně zabrání si ho uložit na šifrovaný disk). Recovery key bude užitečný i v okamžiku, kdy si nevzpomenete na heslo, kterým jste zabezpečili (například) šifrovaný externí disk.

EBF16

Ve výše uvedeném článku od Interceptu tvrdí, že Microsoft šifruje disky automaticky. Což je opět s řadou otazníků. BitLocker, což je plně šifrovaný disk, musíte za normálních okolností v klasickém počítači zapnout. Mé znalosti, ale tohle je těžko ověřitelné s jistotou, říkají, že automaticky se ve Windows 8 šifrovalo na Windows RT a Windows Phone. Možné to je u tabletů, ale žádná dokumentace, která by to jasně potvrzovala, k nalezení není (ale pohled na můj tablet s Windows 10 potvrzuje, že šifrování zapnuté je).

Žádný z mých počítačů (majících TPM) šifrovaní automaticky aktivované nemá. Ale nedivil bych se, kdyby šifrování bylo aktivní u laptopů – stejně jako tablety se tyhle kousky železa dají snadno ztratit či vám je může někdo ukrást. Ale nezapomeňme, viz výše, že Windows Home by se tohle všechno vůbec nemělo týkat.

6 názorů Vstoupit do diskuse
poslední názor přidán 5. 1. 2016 19:44