- Microsoft впервые официально передала ключи BitLocker по ордеру ФБР в рамках расследования мошенничества на Гуаме.
- Ключи восстановления BitLocker автоматически сохраняются в облаке Microsoft, что дает компании юридическую возможность выдавать их правоохранительным органам.
- В отличие от Microsoft, Apple реализовала систему хранения ключей FileVault так, что даже по ордеру они технически не могут раскрыть данные пользователей.
В январе 2026 года был зафиксирован прецедент, когда Microsoft по законному ордеру ФБР предоставила ключи восстановления BitLocker, что позволило ведомству расшифровать данные на ноутбуках, изъятых в деле о мошенничестве с пособиями по безработице (UEA fraud) на Гуаме. Это впервые официально подтверждает, что шифрование диска в Windows не гарантирует полной защиты от государственного вмешательства, поскольку ключи восстановления автоматически сохраняются в облаке Microsoft при входе в систему под аккаунтом Microsoft.
С технической стороны ключи BitLocker при синхронизации с сервисами OneDrive или Azure хранятся в базе данных компании. Это сделано для удобства пользователей: в случае потери пароля восстановить доступ к диску можно через службу поддержки Microsoft без дополнительных затрат и сложностей. Однако с юридической точки зрения это означает, что компания по действующему законодательству обязана предоставить ключи правоохранительным органам при наличии соответствующего ордера. Согласно официальным данным, Microsoft выходит на сотрудничество в таких случаях примерно 20 раз в год, однако прежде подобные факты не афишировались публично.
Эксперты подчёркивают, что пользователи, желающие обеспечить максимальную приватность, должны самостоятельно контролировать хранение ключей шифрования — например, удалять их из облачных сервисов Microsoft и создавать резервные копии локально или использовать альтернативные инструменты, такие как Veracrypt. Неподконтрольное хранение ключей в облаке фактически делегирует доступ к вашим данным юридическому и техническому департаменту компании.
Для сравнения, система Apple FileVault реализована иным образом, который исключает возможность доступа к ключам восстановления даже при наличии закона и судебных решений. Ключи зашифрованы и хранятся в аппаратных модулях безопасности (HSM), доступ к которым защищён как криптографически, так и физическими ограничениями. Ключевым моментом является то, что пароль пользователя никогда не передается на сервер в открытом виде, а протокол Secure Remote Password нами предотвращает его раскрытие. Кроме того, аппаратные модули имеют жёсткий лимит на попытки ввода пароля и способны уничтожить ключи в случае превышения допустимых попыток, что делает невозможным их принудительное извлечение. Более того, для повышения безопасности Apple уничтожила административные карты доступа, которые позволили бы изменить прошивку модулей.
Таким образом, Microsoft выбрала подход «удобства и доступности» для пользователей и администраторов, жертвуя при этом некоторой степенью автономии и приватности. Apple, напротив, поставила во главу системы невозможность доступа к данным даже при законных требованиях со стороны правоохранительных органов.
Резюмируя, пользователям BitLocker стоит помнить о том, что их ключи восстановления могут быть выданы по судебному запросу, если они хранятся в облаке Microsoft, и предпринимать меры по их локальному хранению. Те, кто стремится к максимальной защите данных, могут рассмотреть использование альтернативных систем шифрования с архитектурой, исключающей прямой доступ к ключам со стороны производителя.
