Vlákno názorů k článku
Microsoft předal FBI šifrovací klíče k BitLockeru od Bez Podezdívky - To je ale překvapení.

To je ale překvapení.

Otazka je, zda mel Microsoft jinou moznost, kdyz klice prokazatelne drzi.

Pokud si nekdo klice uklada do MS cloudu, musi s tim pocitat. Odobne jako kdyz telefonujes. Nebo ukladas penize do banky. Nebo mas nejaky majetek.

MP

Jakou architekturu si navrhli, takovou mají.

spíše jim to bylo "velmi naléhavě doporučeno"

...teďse ještě zbavit těch nespolupracujících individuí, co používají truecrypt nebo veracrypt... a dodělat to nařízení o zpřístupnění komunikace WhatsAppu tady v eu...a na hranicích radějí vyžadovat hesla do mobilu a sociálních sítí...

Ale to platí obecně. Jediná data, která se nedají odevzdat, nebo ještě hůř zneužít, jsou ta, která prostě nemají (protože jsem je nepustil). A to v podstatě bez ohledu na nějaká ujednání o ochraně osobních údajů nebo zákonné ochrany.

Je to jen otázka motivace. A ta se může objevit u korporací, které cestou na vrchol zapomněly na morálku, stejně jako u hackerů nebo vlád.

27. 1. 2026, 09:41 editováno autorem komentáře

Když vám FBI zaklepe na dveře, už moc na výběr nemáte. Že to navrhli tak, aby k těm klíčům měli přístup, a ještě to uživatelům nutili (pro běžného uživatele je hodně těžké rozjet Windows bez online účtu), už je chyba čistě Microsoftu.

Tak kluce bilockeru nieje potrebne nahravat do cloudu, je to iba jedna z moznosti - i ked predvolena.
Nemyslim ze za tym bol zly umysel zo strany MS, poznam ludi ktorym sa kluce ulozene v liveid hodili ked im vyrobca updatol bios a windowsi si pytali kluc od bitlockeru, bez zalohy v konte by dosli o data. Ano malo ich napadnut urobit si zalohu kluca niekde, ale vacsinu ludi to skratka nenapadne.
Ono je to tazke, ked kluce zalohujes zaklope ti FBI, ked nezalohujes ofrflu ta zakznici ze dosli o data.
Windowsi by default zalohuju okem klucov bitlockeru aj historiu browsera, hesla a ak si povolite tak aj subory na ploche a dokumenty....
Trochu ma udivuje ze si niekto pripoji komp do cloudu a potom sa divi ze sa mu niekto iny (FBI) dostane k jeho udajom...

Ano, kdo si nezazálohoval klíče ručně nebo nenastavil MS Account, který zálohuje by default do cloudu, tak o data přišel. Hned 2 updaty BIOSu notebooku Dell poškodily klíče v BIOSu.

Tak pořád se ty klíče dají ze strany Microsoftu zálohovat se zero-knowledge architekturou, jak to dělá Apple.

No tohle je bohužel právě jeden z funkčních rozdílů mezi Windows Home a Professional/En­terprise edicemi.
Ten první má pouze "Device Encryption", což je ořezaný BitLocker, který ukládá klíče buď jen do TPM (v případě použití bez MS účtu) a tedy nemáte žádnou možnost obnovy (konec, pokud odejde deska resp. CPU) nebo do TPM se zálohou klíče pro obnovu u MS.
U těch vyšších edicí se dá zapnout BitLocker plný, který po zašifrování podporuje zálohování klíče úplně offline (fleška, papír) nebo do AD (rozšířené schéma se speciálním child objektem pro počítač v doméně).

Tohle už je známé docela dlouho. Device Encryption existuje přes 10 let, plný BitLocker s tou integrací do AD pak už skoro 20.
Bral jsem to vždycky tak, že první zabrání přečtení disku, když někdo ukradne zařízení nebo ho zapomenete ve vlaku. Ale silové složky si podle dané jurisdikce můžou vynutit klíče pro obnovu, což je ta situace "FBI zaklepe na dveře." Upřímně jsem nepochyboval o opaku.
U té plné varianty máte klíče pod kontrolou.

Takže mě osobně spíš vadí, jak blbě a komplikovaně tohle celé MS komunikuje. A samozřejmě také podle mě nezvládli ten rollout u posledních verzí Windows 11, kdy udělali Device encryption opt-out a lidem na pozadí zašifrovali disky.
Přitom se to celé dalo vysvětlit na pár odstavců s výhodami/nevýhodami každého řešení (nešifrovat, DE, plný BitLocker). Windows se komplikovaně ptají a tlačí hromadu kravin a takhle podstatnou věc úplně pominou.
Tímhle by si podle mě zachovali trochu víc důvěry, dali by uživatelům volbu a pokud by to udělali chytře, tak by ještě mohli prodat a udělat nezanedbatelné množství in-place upgradů na Windows Professional.

Teď jde o to, jestli to je chyba nebo záměr. Micro$oftu muselo být úplně jasné, že taková věc může nastat a taky jednou nastane. Ale (opět, nepřekvapivě) mu na soukromí uživatelů absolutně nezáleží - ale to víme už hodně dlouho, vzhledem k tomu, co všechno do svého "OS" cpe.

Obávám se, že to, že je to zálohované a uživatel ke klíčům má celkem snadný přístup (což implikuje, že k nim má přístup i Microsoft), vyřešilo řádově víc problémů, než kolik jich to způsobilo tím, že ty klíče mohou být vydány FBI.

Řešení, že uživatel musí mít ještě nějaký další klíč, kterým se k záloze dostane, sice zvýší bezpečnost a zajistí, že se ke klíčům nedostane ani Microsoft – ale způsobí, že se k nim nedostane ani spousta uživatelů. Protože jim můžete při vygenerování klíčů psát horem dolem, že si mají záložní klíče někam bezpečně uložit, ale stejně je spousta uživatelů buď vůbec neuloží, nebo je ztratí.

Nejméně problémů by bylo, když by tam to šifrování šlo uživatelsky vypnout, nebo dokonce opt-out při instalaci. V naprosté většině případů jsem viděl situaci, jak lidi ztratili data (samozřejmě jejich chyba, že nezálohovali). Chránit data jde i uživatelsky nějakou aplikací, která zašifruje jen nějakou složku. Pak člověk může pracovat pohodlně se systémem a speciální heslo zadat jen pro vybrané věci.

To jiste jirsak, a proto jsou po webu kilometry clanku na tema jak miliony bfu prisli o vsechna svoje data (opakovane), protoze kdyz jim nenastartujou ty widle "chranene" tema 4ma cislicema ... tak zadnej jinej login k tomu MS uctu nemaji.

Ne to se vubec opakovane po widloaktualizacich nestalo ... lol.

Normalni sifrovac ma klice na mediu (treba dva) a dalsi pripadne na dalsim mediu. Aha, presne takhle to dela treba vecacrypt, nebo luks ...

A co vic, nekteri bfu dokonce i chapou, ze kdyz jim umre ten HW tak co na nem maj je trapu, ale rozhodne nechapou, ze o vsechno prijdou proto, ze se jim nainstalovala aktualizace.

Ma to uplne jednoduche reseni - pri prvni bootu pridat screen s vyberem, jak nakladat s klici.
- zaloha u MS
- vytiskni
- uloz na USB MSD
- nic

Fer, jasne a jednoduse vyreseno.