Nieuwe Windows 10-computers beschikken over ingebouwde schijfversleuteling die standaard staat ingeschakeld als gebruikers met hun Microsoft-account inloggen, maar in dit geval wordt de herstelsleutel om de schijf te ontsleutelen in de cloud bewaard. Daarvoor waarschuwt The Intercept.
"De gouden standaard in schijfversleuteling is end-to-end-encryptie, waar alleen de gebruiker zijn schijf kan ontsleutelen. Dit is wat de meeste bedrijven gebruiken en het lijkt goed te werken", zegt Matthew Green, cryptografieprofessor aan de Johns Hopkins Universiteit. "Er zijn zeker gevallen waarbij het handig is om een back-up van je sleutel of wachtwoord te hebben. In die gevallen kun je ervoor kiezen om een bedrijf de informatie te laten bewaren. Maar het overhandigen van je sleutels aan een bedrijf als Microsoft verandert de beveiligingseigenschappen van een schijfversleutelingssysteem."
Zodra de encryptiesleutels zich op de servers van Microsoft bevinden is het voor gebruikers onduidelijk wat ermee gebeurt. Een aanvaller zou het Microsoft-account van de gebruiker kunnen hacken en zo de herstelsleutel in handen kunnen krijgen. Maar ook een hack van Microsoft is mogelijk, of een verzoek van opsporingsdiensten om gegevens van de gebruiker. "Je computer is op dat moment net zo veilig als de database met sleutels die in het bezit is van Microsoft, wat inhoudt dat het kwetsbaar is voor hackers, buitenlandse overheden en mensen die Microsoftmedewerkers kunnen afpersen", aldus Green.
Microsoft stelt in een reactie dat als een computer in de herstelmodus gaat en gebruikers geen toegang tot de herstelsleutel hebben, alle data op de computer voor altijd ontoegankelijk worden. Aan de hand van onderzoek onder klanten is er daarom gekozen om automatisch een back-up van de herstelsleutel te maken. Daarbij kan de herstelsleutel alleen worden gebruikt als er fysiek toegang tot de computer is. Gebruikers kunnen er echter voor kiezen om hun herstelsleutel in de cloud via deze pagina te verwijderen.
Op de vraag of dit voldoende is antwoordt Green misschien, als Microsoft geen back-ups maakt. "Maar is het lastig om dat te garanderen. En voor mensen die zich niet bewust van het risico zijn, lijkt opt-out riskant." Het gaat hier trouwens niet om de Bitlocker-schijfversleuteling, maar de schijfversleuteling die standaard in alle Windows 10-versies aanwezig is en wordt geactiveerd als de computer over een Trusted Platform Module beschikt en de gebruiker met een Microsoft-account inlogt. Systemen waarbij de gebruiker lokaal inlogt worden niet versleuteld.
Bron: Security.nl