微软承认会向FBI等提供设备密钥(BitLocker云端恢复密钥) 称用户应当预见泄露风险

声明：该文章来自（蓝点网）版权由原作者所有，K2OS渲染引擎提供网页加速服务。

微软开发的私有加密机制 Microsoft BitLocker 会在执行加密操作时让用户选择保存密钥文本文件或将其保存到微软账户中，如果用户在未来不慎丢失密钥可以通过微软账户的云端获取解密密钥从而解密已经加密的硬盘数据。

而 Windows 11 默认启用的设备加密功能本质上也是使用 BitLocker 执行加密操作，在用户登录微软账户的情况下，解密密钥同样会被默认保存到用户的微软账户中，可以通过微软账户查看解密密钥。

不过现在用户继续选择将密钥保存到微软账户可能需要仔细考量，因为微软官方已经承认会向 FBI 等执法机构提供保存在微软云端的设备解密密钥，只要执法机构能够提供有效的证明。

美国媒体福布斯早前发布的报道称，美国联邦调查局联系微软索要某台设备的解密密钥，这台设备牵涉到美国关岛某起涉及欺诈新冠疫情期间失业补助资金的案件，微软接到 FBI 的执法协助后同意请求并提供目标设备的设备解密密钥，FBI 拿到密钥后得以解密设备获取犯罪团伙的更多数据。

微软官方发言人查尔斯张伯伦在发给福布斯的声明中表示：

虽然设备加密密钥的恢复机制提供便利，但也存在被其他未经授权的人访问的风险，因此微软认为客户最能决定如何管理他们的密钥。(原文：While key recovery offers convenience, it also carries a risk of unwanted access, so Microsoft believes customers are in the best position to decide… how to manage their keys)

这句话的意思其实就是保存到云端虽然不会丢失但可能会被执法机构获取，用户应该自己考虑如何保存密钥，如果选择保存到微软那就应该预见这些密钥有可能会被微软泄露给执法机构的风险。

微软发言人还补充说，FBI 每年大概会向微软发起 20 次索取 Microsoft BitLocker 恢复密钥的请求，但其中大多数请求都是无法满足的，因为这些加密密钥并未上传到微软账户保存到云端。

这倒不是说大部分用户都不愿意将设备密钥保存到微软账户，而是有可能会被 FBI 追查的人想必也知道密钥保存到云端的风险，所以这些用户可能本身在执行加密前就已经规避上传到云端的操作。

相反，绝大多数 Windows 11 用户的设备恢复密钥都是保存在微软云端的，毕竟大多数用户都是普通用户并不清楚密钥保存在云端的风险，甚至这些用户都不知道 Windows 11 已经默认启用设备加密功能。

还有个值得关注的就是设备上传的恢复密钥竟然没有加密，也就是至少对微软来说这些恢复密钥都是明文的随时可以查看，尽管泄露风险很低但微软配合执法机构提供密钥同样存在风险。

蓝点网的建议：

设备加密功能会影响系统性能，但优势在于如果你的设备丢失例如笔记本电脑丢失后被人拆出硬盘，由于数据已经被加密因此别人最多格式化硬盘，不能直接读取硬盘中的数据。

因此我们的建议是对于专业用户建议开启设备加密功能并且将密钥保存在自己的其他设备或者打印出来备用，除非频繁搬家否则也没必要将密钥保存在微软账户中。

对于非专业用户，设备加密功能导致的各种问题层出不穷，最大的问题就是有时候保存在微软账户中的密钥无法恢复 (情况比较复杂)，这种情况下还不如直接禁用设备加密功能防止自己被锁在门外。

此前就出现过多起用户没有恢复密钥导致数据丢失的案例，原因包括但不限于系统并非本人安装、当前使用的账户是后来添加的、压根没有登录过账户等等，与其如此不如直接禁用设备加密。

有关禁用设备加密的方法具体请看蓝点网此前发布的图文教程：[指南] 如何禁用 Windows 11 设备加密和 BitLocker 硬盘加密 如何创建不加密的系统

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/