微軟首次向FBI提供BitLocker加密密鑰，引發隱私擔憂

 

 

 

去年，美國聯邦調查局(FBI)向微軟發出搜查令，要求提供恢復密鑰以解鎖存儲在三臺筆記本電腦上的加密數據。關島的聯邦調查人員相信這些設備中保存的證據有助於證明某些人蔘與了竊取該島新冠失業援助資金的陰謀。

這些數據使用BitLocker加密，這是在許多現代Windows電腦上自動啓用的軟件，用於保護電腦硬盤上的所有數據。BitLocker對數據進行加密，只有擁有密鑰的人才能解碼。

用戶可能將密鑰存儲在自己擁有的設備上，但微軟也建議BitLocker用戶將密鑰存儲在其服務器上以方便使用。雖然這意味着如果用戶忘記密碼或多次登錄失敗導致設備被鎖定，他人可以訪問他們的數據，但也使他們容易受到執法機構的傳票和搜查令的影響。

在關島的案件中，微軟將加密密鑰交給了調查人員。

微軟向福布斯確認，如果收到有效的法律命令，它確實會提供BitLocker恢復密鑰。"儘管密鑰恢復提供了便利性，但它也帶來了不必要的訪問風險，因此微軟認爲用戶最適合決定……如何管理自己的密鑰，"微軟發言人查爾斯·奇姆伯萊恩說道。

他表示，公司每年收到大約20次關於BitLocker密鑰的請求，在很多情況下，用戶並未在雲端存儲密鑰，因此微軟無法提供幫助。

"如果蘋果能做到，如果谷歌能做到，微軟也應該能做到。"約翰斯·霍普金斯大學助理教授Matt Green

這是華盛頓雷德蒙德公司首次有記錄地向執法機構提供任何加密密鑰。早在2013年，一名微軟工程師曾表示，他曾被政府官員要求在BitLocker中安裝後門，但他拒絕了這些請求。

參議員羅恩·懷登對福布斯發表聲明說，科技公司以一種允許他們祕密移交用戶加密密鑰的方式發貨"是極其不負責任的"。

"允許ICE或其他特朗普支持者祕密獲取用戶的加密密鑰，意味着他們可以訪問該用戶整個數字生活，這會危及用戶及其家人的個人安全和隱私，"他補充道。

這不是美國獨有的問題。美國公民自由聯盟(ACLU)的監視與網絡安全顧問詹妮弗·格蘭尼克指出，一些人權記錄不佳的外國政府也要求科技巨頭如微軟提供數據。"在雲端遠程存儲解密密鑰可能非常危險，"她說。

執法機構經常要求科技巨頭提供加密密鑰、實施後門訪問或以其他方式削弱其安全性。但其他公司則拒絕了這些請求。蘋果尤其多次被要求提供其雲服務或設備上的加密數據。在2016年一場備受關注的對決中，蘋果公司反對聯邦調查局(FBI)要求其協助打開屬於加州聖貝納迪諾恐怖襲擊者的手機。最終，聯邦調查局找到了一位承包商對iPhone進行破解。

隱私和加密專家告訴福布斯，微軟應該爲消費者個人設備和數據提供更強的保護措施。蘋果公司擁有類似的FileVault和Passwords系統，而Meta的WhatsApp消息應用也允許用戶在應用內備份數據並在雲端存儲密鑰。然而，這兩家公司也允許用戶將密鑰存儲在一個加密的雲端文件中，使得執法機構請求密鑰變得毫無意義。據稱，它們從未向執法機構移交過任何形式的加密密鑰。

"這屬於用戶私人的數據和私人電腦，他們選擇了保存訪問權限的架構。他們絕對應該像用戶自己的東西一樣對待這些數據，"約翰斯·霍普金斯大學信息安全研究所的密碼學家兼助理教授Matt Green說道。

"如果蘋果能做到，如果谷歌能做到，微軟也應該能做到。微軟是唯一還沒有這樣做的公司，"他補充道。"這有點奇怪……其中的教訓是，如果你掌握了密鑰，最終執法機構遲早會找上門。"

格蘭尼克擔心，如果調查人員獲得BitLocker加密的數據訪問權限，聯邦調查局可以獲取的信息範圍會非常廣泛。"密鑰讓政府能夠訪問超出大多數犯罪時間範圍的數據，包括硬盤上的所有內容，"她說。"然後我們必須相信調查人員只會查找與授權調查相關的信息，而不會利用這個意外的機會隨意翻查。"

在關島案件中，法院記錄顯示搜查令已成功執行。被告夏莉莎·滕尼奧(Charissa Tenorio)的律師表示，檢察官向她提供的信息包括來自其客戶的電腦數據，並提到了微軟向聯邦調查局提供的BitLocker密鑰。該案件仍在進行中。

格林和格蘭尼克都表示，微軟可以讓用戶將密鑰存儲在一個像U盤這樣的硬件設備上，這可以作爲備份或恢復密鑰。微軟確實允許這一選項，但並不是Windows電腦上BitLocker的默認設置。

如果沒有微軟提供的加密密鑰，聯邦調查局將難以從這些電腦中獲取任何有用的數據。根據福布斯對歷史案例的回顧，BitLocker的加密算法曾證明對執法機構試圖入侵設備是完全無法破解的。2025年初，一名來自ICE國土安全調查局的法醫專家在法庭文件中寫道，他的機構"不具備破解使用微軟BitLocker或任何其他加密方式的設備的法醫工具。"在之前的某個案件中，聯邦調查人員通過發現嫌疑人將密鑰存儲在未加密的驅動器上而獲取了密鑰。

現在，既然FBI和其他機構瞭解微軟會像關島案件那樣遵守搜查令，他們很可能提出更多關於加密密鑰的請求，格林說道。"我的經驗是，一旦美國政府習慣了擁有這種能力，就很難再將其去除。"