Hlavní navigace

Kde má Microsoft můj recovery key z BitLockeru? Opravdu v cloudu?

Daniel Dočekal 30. 12. 2015

Možná byste si měli ověřit, jestli svůj recovery key nemáte nevědomky uložený v cloudu. A případně si pořídit nový a ohlídat, aby opět nebyl v cloudu.

Je to taková trochu zmatečná záležitost. Při uvedení Windows 10 se řešilo, že Microsoft ukládá recovery key pro šifrování disku na své servery, tedy lépe řečeno k vašemu účtu od Microsoftu. Tehdy se od tvrzení, že „to dělá automaticky a vždy“ došlo k tomu, že to udělá poté, co odkliknete, že to tak chcete udělat. Na výběr totiž je uložení na USB klíčenku, vytištění a uložení k vašemu účtu (do cloudu).

Intercept ale v prosinci přišel s RECENTLY BOUGHT A WINDOWS COMPUTER? MICROSOFT PROBABLY HAS YOUR ENCRYPTION KEY, kde poněkud zmateně míchá dohromady několik věcí. Následně vznikla panika, protože výskyt recovery klíče (umožňujícího v případě problémů překonat šifrování) u někoho jiného může být vážný problém.

Celé je to složité v tom, že klíč skutečně může být uložený ve vašem cloudovém účtu, ale má to řadu podmínek. Zejména tu, že musíte šifrování disku přes BitLocker používat. Pak tu, že jste mohli něco takového odkliknout. A teoreticky, ale to stále není jasné, se tam může dostat automaticky.

POZNÁMKA: Ve FAQ k BitLockeru najdete „Jestliže jste klíč ze svého online účtu Microsoft omylem smazali a chcete ho opět uložit, musíte přimět systém Windows, aby obnovovací klíč automaticky zálohoval. Můžete toho docílit pouze tak, že přepnete na místní účet a poté zpět na účet Microsoft.“ Což čistě teoreticky znamená, že váš recovery key se skutečně může ocitnout automaticky v cloudu.

Ověřit si, jestli váš klíč je v cloudu uložený, můžete snadno. Na onedrive.live.com/recoverykey najdete přehled všech uložených klíčů. A také možnost je smazat. Pokud se už ovšem dostal někam „ven“, tak je smazání s otazníkem. A měli byste si případně ohlídat, aby nový klíč už ven nešel.

Co je ještě dobré vědět:

  • Obnovovací klíč se v online úložišti u vašeho účtu ocitne jenom u počítačů nepřipojených k doméně. Pokud je počítač v doméně, tak recovery key má přístupný správce domény.
  • Počítač používaný pouze s lokálním účtem nebude mít recovery key kam uložit.
  • Šifrování ve Windows je závislé na výskytu TPM (Trusted Platform Module) čipu, pokud váš počítač takový nemá, tak žádné šifrování aktivováno nebylo (a ani ho snadno nemůžete mít, ale lze si ho pořídit),
  • V cloudu možná najdete klíč, aniž byste měli BitLocker aktivní.
  • Velmi pravděpodobně se tohle všechno netýká Home verzí Windows (Pro, Enterprise ano).
  • BitLocker není novinka ve Windows 10, takže tohle vše se týká i Windows 8/8.1

BitLocker najdete v Ovládacích Panelech jako Nástroj BitLocker Drive Encryption. Snadno tam můžete zjistit i to, že recovery key v cloudu existuje, ale žádný z disků není šifrovaný a nikdy jste ho ani šifrovaný neměli. Což je, když už to vezmeme čistě prakticky, případ mého notebooku. BitLocker aktivní není a nikdy nebyl, přesto je v cloudu uložený recovery key. 

BitLocker není a nebyl aktivní. Přesto existuje recovery key

BitLocker není a nebyl aktivní. Přesto existuje recovery key

POZOR: Pokud používáte BitLocker a šifrujete disk, je zachování obnovovacího klíče (recovery key) nesmírně důležité. A nemůžete si ho schovat v počítači, protože pokud se z nějakého důvodu počítač uzamkne, budete potřebovat právě recovery key k tomu, abyste se na disk dostali (Windows vám stejně zabrání si ho uložit na šifrovaný disk). Recovery key bude užitečný i v okamžiku, kdy si nevzpomenete na heslo, kterým jste zabezpečili (například) šifrovaný externí disk.

Ve výše uvedeném článku od Interceptu tvrdí, že Microsoft šifruje disky automaticky. Což je opět s řadou otazníků. BitLocker, což je plně šifrovaný disk, musíte za normálních okolností v klasickém počítači zapnout. Mé znalosti, ale tohle je těžko ověřitelné s jistotou, říkají, že automaticky se ve Windows 8 šifrovalo na Windows RT a Windows Phone. Možné to je u tabletů, ale žádná dokumentace, která by to jasně potvrzovala, k nalezení není (ale pohled na můj tablet s Windows 10 potvrzuje, že šifrování zapnuté je).

Žádný z mých počítačů (majících TPM) šifrovaní automaticky aktivované nemá. Ale nedivil bych se, kdyby šifrování bylo aktivní u laptopů – stejně jako tablety se tyhle kousky železa dají snadno ztratit či vám je může někdo ukrást. Ale nezapomeňme, viz výše, že Windows Home by se tohle všechno vůbec nemělo týkat.

Našli jste v článku chybu?

30. 12. 2015 16:36

P2010 (neregistrovaný)

Za prve je treba rozlisovat (plny) BitLocker kde zadavate heslo a Device Encryption. BitLocker je k dispozici pouze na vyssich edicich nez Home https://technet.microsoft.com/en-us/library/dn306081.aspx#BKMK_Encryption

Ta "senzace" o ktere se zde pise se tyka Windows 8.1 a novejsich, vcetne Home verze http://windows.microsoft.com/en-gb/windows-8/using-device-encryption Pokud zarizeni splnuje podminky pro InstantGo (drive Connected Standby) a zaroven mate zrizeny Microsoft ucet (coz je zvlaste u …

5. 1. 2016 19:44

2ephyr (neregistrovaný)

Tak paranoiou to sice zavani, ale obcas neni na skodu.
Obecne klic v cizim drzeni povazuju za spatnou vec. Tim spis, kdyz to jednomu dela nekdo potichu za zady a poradne mu to nerekne, pak se nelze divit, ze je z toho "senzace ala bulvar".

K datum se da dostat i bez fyzickeho drzeni zarizeni, to bychom uz v dnesni dobe mohli vedet, ze Kefalin.

No a na zaver, obecne ta veta o co nejmene subjektech platit muze (a taky zavani paranoiou), ale zrovna u M$ bych rekl, ze mit toho od nich radsi co nej…


Vitalia.cz: Analýza letáků: Na co lákají do prodejen?

Analýza letáků: Na co lákají do prodejen?

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu