Názory k článku
Microsoft předal FBI šifrovací klíče k BitLockeru

To je ale překvapení.

Otazka je, zda mel Microsoft jinou moznost, kdyz klice prokazatelne drzi.

Pokud si nekdo klice uklada do MS cloudu, musi s tim pocitat. Odobne jako kdyz telefonujes. Nebo ukladas penize do banky. Nebo mas nejaky majetek.

MP

Jakou architekturu si navrhli, takovou mají.

spíše jim to bylo "velmi naléhavě doporučeno"

...teďse ještě zbavit těch nespolupracujících individuí, co používají truecrypt nebo veracrypt... a dodělat to nařízení o zpřístupnění komunikace WhatsAppu tady v eu...a na hranicích radějí vyžadovat hesla do mobilu a sociálních sítí...

Nebo jit cestou jinych statu, kde je neposkutnuti klice k sifrovanym datum uzivatelem de facto brano jako dostatecny podklad pro presumpci viny.

MP

Ale to platí obecně. Jediná data, která se nedají odevzdat, nebo ještě hůř zneužít, jsou ta, která prostě nemají (protože jsem je nepustil). A to v podstatě bez ohledu na nějaká ujednání o ochraně osobních údajů nebo zákonné ochrany.

Je to jen otázka motivace. A ta se může objevit u korporací, které cestou na vrchol zapomněly na morálku, stejně jako u hackerů nebo vlád.

27. 1. 2026, 09:41 editováno autorem komentáře

Když vám FBI zaklepe na dveře, už moc na výběr nemáte. Že to navrhli tak, aby k těm klíčům měli přístup, a ještě to uživatelům nutili (pro běžného uživatele je hodně těžké rozjet Windows bez online účtu), už je chyba čistě Microsoftu.

Tak kluce bilockeru nieje potrebne nahravat do cloudu, je to iba jedna z moznosti - i ked predvolena.
Nemyslim ze za tym bol zly umysel zo strany MS, poznam ludi ktorym sa kluce ulozene v liveid hodili ked im vyrobca updatol bios a windowsi si pytali kluc od bitlockeru, bez zalohy v konte by dosli o data. Ano malo ich napadnut urobit si zalohu kluca niekde, ale vacsinu ludi to skratka nenapadne.
Ono je to tazke, ked kluce zalohujes zaklope ti FBI, ked nezalohujes ofrflu ta zakznici ze dosli o data.
Windowsi by default zalohuju okem klucov bitlockeru aj historiu browsera, hesla a ak si povolite tak aj subory na ploche a dokumenty....
Trochu ma udivuje ze si niekto pripoji komp do cloudu a potom sa divi ze sa mu niekto iny (FBI) dostane k jeho udajom...

Ano, kdo si nezazálohoval klíče ručně nebo nenastavil MS Account, který zálohuje by default do cloudu, tak o data přišel. Hned 2 updaty BIOSu notebooku Dell poškodily klíče v BIOSu.

Tak pořád se ty klíče dají ze strany Microsoftu zálohovat se zero-knowledge architekturou, jak to dělá Apple.

Najnovsie je aj default na ukladanie dokumentov do cloudu...

Teoreticky, protože nejprve se musím ptát sám sebe, zda mohu Microsoftu a volbě důvěřovat. V enterprise sféře snad ještě ano, protože míra kontroly zůstává, nicméně platí to i pro jednotlivce? Skutečně mám věřit, že si to nezálohuje sám, bez vědomi? Stejně tak se ptám, co ten vnucený a zcela nekontrolovatelný Copilot vlastně všechno prohrabal a poslal ven, protože až příliš pozdě jsem ho drapnul Wiresharkem a vypráskal ven. Kdybych měl jinou možnost (nechme stranou hádky, nebo geniální "nápady"), dávno jsem pryč. Vyrazil bych je ze dveří naprosto stejně, jako jsem to udělal s Avastem.

No tohle je bohužel právě jeden z funkčních rozdílů mezi Windows Home a Professional/En­terprise edicemi.
Ten první má pouze "Device Encryption", což je ořezaný BitLocker, který ukládá klíče buď jen do TPM (v případě použití bez MS účtu) a tedy nemáte žádnou možnost obnovy (konec, pokud odejde deska resp. CPU) nebo do TPM se zálohou klíče pro obnovu u MS.
U těch vyšších edicí se dá zapnout BitLocker plný, který po zašifrování podporuje zálohování klíče úplně offline (fleška, papír) nebo do AD (rozšířené schéma se speciálním child objektem pro počítač v doméně).

Tohle už je známé docela dlouho. Device Encryption existuje přes 10 let, plný BitLocker s tou integrací do AD pak už skoro 20.
Bral jsem to vždycky tak, že první zabrání přečtení disku, když někdo ukradne zařízení nebo ho zapomenete ve vlaku. Ale silové složky si podle dané jurisdikce můžou vynutit klíče pro obnovu, což je ta situace "FBI zaklepe na dveře." Upřímně jsem nepochyboval o opaku.
U té plné varianty máte klíče pod kontrolou.

Takže mě osobně spíš vadí, jak blbě a komplikovaně tohle celé MS komunikuje. A samozřejmě také podle mě nezvládli ten rollout u posledních verzí Windows 11, kdy udělali Device encryption opt-out a lidem na pozadí zašifrovali disky.
Přitom se to celé dalo vysvětlit na pár odstavců s výhodami/nevýhodami každého řešení (nešifrovat, DE, plný BitLocker). Windows se komplikovaně ptají a tlačí hromadu kravin a takhle podstatnou věc úplně pominou.
Tímhle by si podle mě zachovali trochu víc důvěry, dali by uživatelům volbu a pokud by to udělali chytře, tak by ještě mohli prodat a udělat nezanedbatelné množství in-place upgradů na Windows Professional.

Teď jde o to, jestli to je chyba nebo záměr. Micro$oftu muselo být úplně jasné, že taková věc může nastat a taky jednou nastane. Ale (opět, nepřekvapivě) mu na soukromí uživatelů absolutně nezáleží - ale to víme už hodně dlouho, vzhledem k tomu, co všechno do svého "OS" cpe.

Obávám se, že to, že je to zálohované a uživatel ke klíčům má celkem snadný přístup (což implikuje, že k nim má přístup i Microsoft), vyřešilo řádově víc problémů, než kolik jich to způsobilo tím, že ty klíče mohou být vydány FBI.

Řešení, že uživatel musí mít ještě nějaký další klíč, kterým se k záloze dostane, sice zvýší bezpečnost a zajistí, že se ke klíčům nedostane ani Microsoft – ale způsobí, že se k nim nedostane ani spousta uživatelů. Protože jim můžete při vygenerování klíčů psát horem dolem, že si mají záložní klíče někam bezpečně uložit, ale stejně je spousta uživatelů buď vůbec neuloží, nebo je ztratí.

Nejméně problémů by bylo, když by tam to šifrování šlo uživatelsky vypnout, nebo dokonce opt-out při instalaci. V naprosté většině případů jsem viděl situaci, jak lidi ztratili data (samozřejmě jejich chyba, že nezálohovali). Chránit data jde i uživatelsky nějakou aplikací, která zašifruje jen nějakou složku. Pak člověk může pracovat pohodlně se systémem a speciální heslo zadat jen pro vybrané věci.

To jiste jirsak, a proto jsou po webu kilometry clanku na tema jak miliony bfu prisli o vsechna svoje data (opakovane), protoze kdyz jim nenastartujou ty widle "chranene" tema 4ma cislicema ... tak zadnej jinej login k tomu MS uctu nemaji.

Ne to se vubec opakovane po widloaktualizacich nestalo ... lol.

Normalni sifrovac ma klice na mediu (treba dva) a dalsi pripadne na dalsim mediu. Aha, presne takhle to dela treba vecacrypt, nebo luks ...

A co vic, nekteri bfu dokonce i chapou, ze kdyz jim umre ten HW tak co na nem maj je trapu, ale rozhodne nechapou, ze o vsechno prijdou proto, ze se jim nainstalovala aktualizace.

Ma to uplne jednoduche reseni - pri prvni bootu pridat screen s vyberem, jak nakladat s klici.
- zaloha u MS
- vytiskni
- uloz na USB MSD
- nic

Fer, jasne a jednoduse vyreseno.

Presne, Uz jsem ve sve kariere na podobne requesty jako Data Director v jedne nejmenovane spolecnosti co mela centralu v US odpovidal. Request je to celkem brutalni a je celkem jasne, ze se na to musi kladne odpovedet, proto mi to take pravni oddeleni predalo abych zajistil data o ktera si ona instituce zazadala. A mimochodem, ta jejich zadost ma vpriloze papir s vyslovnym narizenim/schva­lenim soudu s poznamkou co se stane pokud zadosti nebude vyhoveno. Spolecnost pro kterou jsem pracoval takovym zadostem vyhovela, protoze byli formulovany jako vysetrovani prani spinavych penez/financovani terorismu. Chtel bych videt kohokoli na teto diskuzi, kdo by odporoval a delal vytacky.

A přesně kvůli tomu děláme architekturu takovou, abychom neměli k dispozici nic, co by po nás mohlo být požadováno.

Případně to vrazíme do HSM, jak to nedávno udělal Twitter s chatem (Juicebox protocol rozhozenej na 2/3 HSMka - ač útok injectnutý javascriptem proti aktivnímu uživateli bude triviální, zpětně se dostat k datům bez PINU nepůjde).

Jinak je zajímavý, že tohle jde, ale došlápnout si na Metu která vědomě vydělává peníze na scam reklamě, to "nejde".

Pokud to ma clovek prezvykane od pravniku a je jen "prehazovaci opica" bez jakkekoliv zasadni rozhodovaci pravomoci, tak vyjma sporu zájmu ci potencialnimu svedceni proti osobam blizkym (kde bych to předal kolegovi) nevidím důvod proč bych to nepředal kdyz je to moje práce.
Vy primarni riziko nepředani stejně ve většině případů neponesete. Nese ho management. A to i v pripade ze data která musí dle zákonů sbírat se "ztratila". Vy nesete max. to co po vas firma bude vymáhat. Coz je obvykle drobek v porovnani s tou firmou. Jo a nějakých pár let bych necestoval do lovišť oranžového muže.

Od oktobra 2025 nemozne:

Local-only commands removal: We are removing known mechanisms for creating a local account in the Windows Setup experience (OOBE). While these mechanisms were often used to bypass Microsoft account setup, they also inadvertently skip critical setup screens, potentially causing users to exit OOBE with a device that is not fully configured for use. Users will need to complete OOBE with internet and a Microsoft account, to ensure device is setup correctly.

https://blogs.windows.com/windows-insider/2025/10/06/announcing-windows-11-insider-preview-build-26220-6772-dev-channel/

Řekl bych, že to spíš byla volba než chyba ... malý rozdíl ale stejně ;)

Ja si myslim, ze mrkvosoft dela dobre. Kdyby klice nebyly v cloudu, tak bezny uzivatel by si klice nezalohoval, a pak by o data mohl prijit i pri beznych pocitacovych problemech. Proti beznym zlodejum je bitlocker asi v pohode. A proti policii - nezbyva nez doufat ze na bezneho obcana nezakleknou.
Ti kteri by se mohli obavat i statu delim na dve skupiny. 1. kriminalniky - pak je dobre ze mrkvosoft klice vydal. 2. lide s pocestnym zajmem jdoucim proti statu (politik, novinari) - tem kterym hrozi ze by stat nejednal spravne, tak jim nezbyva nez si nastudovat moznosti zasifrovani dat.

Jedine co by mikrosoft mel zlepsit je pri instalaci jasna obrazovka ktera napise velmi jednoduchymi a jasnymi slovy tohle: "Zazalohujem vam klice v cloudu, ale budeme mit pristup. Anebo si zalohujte data sami ale my vas nebudem moct zachranit".

(Jo, daly by se najit jeste nejake dalsi mezni a hranicni pripady, ale tam uz jen plati ze holt uzivatel taky musi neco umet. No a pokud dojde na policejni stat, pak neni o cem mluvit, to musi mit kazdy vlastni sifru a bezny franta uzivatel je v pytli, ale tam porad jeste USA nejsou.)

Hele, jednou to dostane FBI, podruhé to leakne kriminálníkům, když někdo ten cloud prokopne...

Zero knowledge je pro tyhle věci snad základ.

Jo, ta data nejsou perfektne chranena. Ale proti zlodejovi co BFU vytrhne tasku na letisti to uplne staci. Pokud ma nekdo fakt citliva data, tak si je proste musi chranit lip (nebo jeho IT mu to musi zaridit). Pro bezne BFU s fotkama z dovolene ktere beztak strka na facebook to je dostatecne dobre.

> Proti beznym zlodejum je bitlocker asi v pohode.

No to právě bohužel není.

Ale no tak... Kdo chce, tak si v Bitlockeru nastaví PIN a pak se to teprve dá nazvat šifrováním.

Primární je ale zamyslet se nad účelem

defaultní Bitlocker bez PINu - můžu poslat disk na reklamaci

Bitlocker s PINem - ochrana před ztrátou/ukradením zařízení

Obnovovací heslo v cloudu do toho sice háže vidle, ale stejně tam si můžeš obnovovací heslo vytisknout a můžou ho u tebe najít při domovní prohlídce (soudně povolené, obdobně jako v popisovaném případu).

> Kdo chce, tak si v Bitlockeru nastaví PIN a pak se to teprve dá nazvat šifrováním.

Našel jsem, že ten PIN jsou jenom čísla? To nezní jako něco co by se používalo jako heslo pro samotnou výrobu klíče - nebo pokud ano, tak to nebude silné.

dajú sa povoliť aj nečíselné znaky, ja ho tak používam

Pokud nějaké HSM (třeba lite verze v podobě TPM čipu) dokáže zajistit jen omezený počet pokusů, a je to odolné proti rozebrání/odbrou­šení/rtg/... tak i ten PIN bezpečný je.

"> Proti beznym zlodejum je bitlocker asi v pohode.

No to právě bohužel není."

No ak by to bolo take trivialne, asi by sa s tym chalpi z FBI neparali pol roka....

27. 1. 2026, 22:18 editováno autorem komentáře

Jak sem psal vejs, 99,999% bfu vubec netusi, jak se k tomu ms uctu dostat, kdyz jim nenastartujou ty widle, ktery je prinutily ho zalozit. Vlastne ani netusej, ze nejakej ms ucet maj.

Resil sem to v desitkach pripadu zcela osobne. A vsem sem samozrejme ten ms ucet zrusil.

Vzhledem k tomu, že všechny vaše komentáře v diskusích jsou o tom, že vám vůbec nic nefunguje, bylo by překvapivé, kdybyste zrovna v tomhle případě napsal, že to funguje. Akorát váš komentář neříká nic o funkčnosti dané technologie, ale jen o vás. Vypadá to, že vkládat komentáře na Rootu je to jediné, co vám funguje.

No BFU zapomene vsechno. Ale behem instalace windows mi prislo dost jasne naznacene ze to vytvori ucet.

Tak si ty bfu kolem sebe obejdi a zeptej se jich, jestli v tech widlich pouzivaji lokalni nebo ms ucet. Klidne se vsadim, ze odpovedet ti nebude umet ani jeden.

V nejlepsim pripade si mozna velmi matne pamatujou, ze to po nich neco chtelo a jinou moznost nemeli, tak tam neco zadali a neco (nejspis) odsouhlasili ... kdo by ty kilometry nesmyslu, navic typicky v cizim jazyce, cet.

Znam par BFU, a jedna si stezovala ze zadny ucet u Mrkvosoftu nechce. A o cem to vypovida? O nicem.
Jo, odklikaj to. A proto si myslim, ze to mrkvosoft dela dobre, protoze pak prijdes ty a o tom uctu vis a pomuzes jim, ne? Akorat mi pak nedochazi proc jsi jim ten ucet zrusil?

Spousta uživatelů si nedělá účet proto, že by ho chtěla a tušila, k čemu ho mají, ale proto, že je to v nějakým průvodci.
Stejně jako se na tlačítko "I Agree" nekliká a priori proto, že by člověk s něčím vědomě souhlasil, nebo dokonce chápal, s čím souhlasí, ale proto, že to tlačítko ho prostě pustí dál.
Taková je prostě praxe. Znám řadu BFU, kteří si udělali účet, protože "to po nich něco chtělo", ale jednak vůbec netuší, že nějaký účet mají a k čemu ho mají, a už vůbec netuší, že k němu taky dávali nějaké heslo a jaké. Zpravidla co nový telefon, to nový účet. A jakmile je vytvořený a uživatel se dostane k tomu, že "to konečně něco dělá", instantly se na nějaký účet zapomene.

Přesně, dnes je tzv. kvalifikovaný souhlas obvykle tvořen dvěma tlačítky, jedno <Souhlasím s podmínkami>, druhé <Odložit na později>. Pak stačí, aby se toto potvrzení zobrazilo tak 20x denně, a uživatel podmínku odsouhlasí, protože není jiná možnost, jak buzeraci zastavit.

Do ktorej kategórie spadá prokurátor na medzinárodnom trestnom súde, ktorého dal trump na sankčný zoznam a MS mu zablokoval všetko čo mal v cloude?

Teraz si položme otázku koľko pc v kritickej infraštruktúre používa MS? Podľa mna každý rozumne zmýšľajúci risk manažér by sa mal nad tým zamyslieť...

No tak to je snad jasne, ne? Prokurator na mezinarodnim soude by se ve svem zajmu nemel k jakemukoliv firemnimu softwaru ani priblizit, natoz cloudu. Presneji, prokurator na to asi odbornik nebyl, a tedy je chyba jeho IT oddeleni ze k necemu takovemu doslo.

Znam osobne cloveka, kterymu MS smazal ucet proto, ze mu nejdriv bez jeho vedomi postahoval do toho cmoudu jeho obrazky. A pricinou smazani byl obrazek PC mysi. Takovych lidi budou miliony.

Tak byt prokuratorm na medzinarodnom­trestnomsude dva krat zvazim ci nieco uploadnem na verejny cloud.
Verejny cloud uz zo svojej podstaty (ze je verjeny) nieje vhodny pre nazvyme to politicky exponovane osoby...

Taky ty uložený klíče mohly být šifrovány uživatelovým heslem. Problem solved.

To je super nápad. Ty klíče jsou zálohované pro případ, že uživatel heslo zapomene. Tak je tím samým heslem zašifrujeme, protože až bude potřebovat přístup k té záloze, na heslo si určitě zázračně vzpomene.

A kterým prosím? Tím prvním nebo tím posledním když jsem nucen heslo měnit co tři měsíce?

Fascinuje mě že tuhle blbost ještě někdo někde vyžaduje...

Neviem heslo je dost slaby clanok, ved roky sa snazime o paswordless...

Mít klíč chráněný (zašifrovaný) heslem a uložený na disku tak jak to má třeba LUKS, to je zabezpečené dobře, ale jde to vylepšit klíčem v TPM.

Tak se klíč nacpe do TPM, ale protože se na spoustu věcí jaksi nedá spolehnout, klíč se pro jistotu pošle i jinému subjektu na cloud, kde je chráněn jen heslem a jen částečně… a uživatel do toho ani nemá vidět, protože se to celé dělá aby to bylo lepší a bezpečnější a spolehlivější?

Nějak v tom ten přínos nevidím. Klíč se nemusel dávat do TPM (když z toho vyplývá potřeba ho poslat i kamsi na kdovíjak zabezpečený cloud) a bylo by to celé jednodušší a bezpečnější a spolehlivější.

Chápu to špatně?

Ak by bol kluc len v cloude a nedal by sa dfo TPM, tak by OS nenabootoval v pripade absencie pripojenia na Internet.

Ak by bol kluc len v cloude …

Když nebude ani v cloudu, ani v TPM, když bude jen na lokálním disku spolu s daty (kvalitně zašifrovaný heslem jak to má třeba LUKS), tak to bude fungovat?

Je bezpečnější a spolehlivější mít ho zároveň v cloudu a zároveň v TPM, než ho mít pouze na lokálním disku?

Nieje problem, ved kluc k bitlockeru nemusite mat v TPM, mozete mat nastavene odomykanie bitlockeru heslom. Kluc do TMP sa dal by-default kvoli tomu ze ak je uzivatel nuteni davat si zakzadym nejake heslo vetsinou to sklzne bud k jednduchemu heslu, alebo papierkom pod klavstnicou ci na monitore a pod.

Ak mate nastarosti IT nejakej spolocnosti, tak si to v poho nastavite pre vybranych ludi / vsetkych cez GPO.
Navyse kluce na obnovu nemusite pchat do cludu, ale date si ich do vlastneho Active Directory, alebo basrs aj do onpremoveho SCCM.....

Není počátek problému, že to celé stojí na TPM a UEFI?

Chápete to špatně. Klíč je v TPM kvůli bezpečnosti. Cloud s tím vůbec nijak nesouvisí. Do cloudu se ten klíč zálohuje pro případ, že uživatel ztratí přístup k tomu primárnímu úložišti, typicky zapomene heslo.

Výchozí šifrování disku na domácím počítači slouží k tomu, aby se k datům nedostal zloděj, když ukradne notebook; aby se k nim nedostal nepoctivý technik v servisu; nebo aby se k nim nedostal další majitel, který koupí počítač nebo disk v bazaru. Není to ochrana proti silovým složkám státu – na to potřebujete především znalejší uživatele. Pokud by si zločinci posílali informace na korespondenčním lístku a drogy vozili v tašce v zavazadlovém prostoru svého auta, asi málokdo bude tvrdit, že pošta funguje špatně a auta jsou špatně zabezpečená.

Mel bych dotaz - nainstaloval jsem si notebook, bitlocker je pouzity, mam microsoft ucet, takze klice jsou zalohovane v cloudu. Je mozne je z toho cloudu odstranit? Nebo je jedina cesta notebook smazat a zakazat zalohu klicu do cloudu pri pristi instalaci?

Lepší otázka, i kdyby to šlo odstranit, věřil bys tomu?
A pokud věříš, tak věř i ted, že MS to kromě FBI nikomu nedá a FBI nemá důvod se o tebe zajímat a buď rád, že máš zálohu.

Odstranění je divná cesta. Ale nemusíte to celé instalovat znova – mělo by stačit vygenerovat nové klíče a ty zazálohovat jinam než do cloudu.

Jediny reseni je nepouzivat widle.

Pokud uz je z nejakyho duvodu pouzivat chces, tak v zadnym pripade nepouzivat k prihlasovani ms ucty.

A ano, musis to cely smazat a nainstalovat znova, a rozhodne nikdy nepouzivat jejich sifrovani disku (ani s lokalnim ucetem) protoze ten klic bude zcela jiste odvozenej od ID toho HW, takze i kdyz ho vygenerujes znova, bude klidne stejnej.

Pokud chces sifrovat disk, nainstaluj si veracrypt.

Ano ulozene kuce k bitlockeru si mozete z konta microsoft obstranit ( robi sa to v sprave zariadeni \ sprava klucov bitlocker)

Ak tejto metode neverite volil by som nasledovny postup:
- vypol sifrovanie bitlocker
- znova zapol sifrovanie (vygeneruje sa novy kluc) a ten by som si ulozil dnapr na USB a nasledne do keepasu napr.

Vybrat kam sa ulozi kluc sa vsak da myslim spravit iba v pro verzii Windowsov, ale tak zase co neurobit pre svoje data ;-)

Jen mi to připomnělo případ jednoho nelegálního úložiště, které mělo obsah synchonisovaný přes tři servery. Přišla na ně policie, servery vypnula a odvezla k analýze. Na základě soudního příkazu se dožadovali hesla - a strašně se divili, že je nikdo nezná, protože bylo náhodně vygenerované při bootu serveru. Dokud byl v provozu alespoň jeden z těch serverů, nebylo potřeba...
Nevyzradíte pouze to tajemství, které neznáte.