Dit is waarom de codering van Windows 8.1 de FBI niet doet schrikken
De FBI is niet blij met de nieuwste versies van iOS en Android die standaard gebruikmaken van codering. James Comey, regisseur van het FBI, heeft zowel Apple als Google laten stralen. Microsoft wordt nooit genoemd - maar Windows 8.1 maakt standaard ook gebruik van codering.
De FBI lijkt zich geen zorgen te maken over de standaard "apparaatcodering" van Windows 8.1. De codering van Microsoft werkt een beetje anders - Microsoft heeft de sleutels en kan ze aan de FBI overhandigen.
Waarom de FBI tegen Apple en Google is
FBI-directory James Comey heeft gezegd dat Apple en Google "een zwart gat voor wetshandhaving creëren". Codering "dreigt ons allemaal naar een zeer donkere plaats te leiden", aldus de FBI.
De nieuwste versies van iOS van Apple en Android van Google coderen de opslag van een smartphone of tablet automatisch standaard. Voorheen was dit slechts een optie die de meeste gebruikers niet konden inschakelen. Vanwege de manier waarop codering werkt, kan alleen iemand die de sleutel kent, deze decoderen en toegang krijgen tot de niet-versleutelde bestanden. Als Apple of Google een bevel hebben ontvangen - of een soort van geheime 'nationale beveiligingsbrief' - zouden ze de bestanden niet kunnen decoderen, zelfs als ze dat zouden willen. Ze hebben niet de coderingssleutel. (Een nationale beveiligingsbrief is een geheime order die een "niet-openbaarmakingsvereiste" kan bevatten, waardoor de persoon die de nationale beveiligingsbrief ontving, er nooit over zou kunnen praten voor de rest van zijn leven onder bedreiging van een strafrechtelijke vervolging.)
Dit is het belangrijkste probleem voor de FBI-codering die voorkomt dat dieven toegang krijgen tot uw gegevens nadat ze uw apparaat hebben gestolen. De FBI wil echter een manier hebben om Apple of Google te dwingen toegang te verlenen tot de gecodeerde gegevens. Met andere woorden, ze willen dat Apple en Google beschikken over een sleutel die ze kunnen gebruiken om toegang te krijgen tot de gecodeerde gegevens.
Windows 8.1's Device Encryption geeft Microsoft een sleutel
Nieuwe Windows 8.1-apparaten worden standaard met "apparaatcodering" geleverd. Dit is anders dan de BitLocker-versleutelingsfunctie, die alleen beschikbaar is in duurdere professionele edities van Windows en niet standaard is ingeschakeld.
Als u een ondersteund apparaat hebt, wordt de opslag van het apparaat vooraf gecodeerd geleverd, maar wordt een lege coderingssleutel gebruikt. Wanneer u zich aanmeldt met een Microsoft-account, wordt de codering geactiveerd en wordt een herstelsleutel geüpload naar de servers van Microsoft. (Als u zich aanmeldt bij een domein, wordt de herstelsleutel geüpload naar Active Directory Domain Services, zodat uw bedrijf of school deze heeft in plaats van Microsoft.) Als u een lokaal account gebruikt, kunt u de apparaatcodering niet inschakelen.
Met andere woorden, apparaatencryptie kan alleen worden gebruikt als u een herstelsleutel uploadt naar de servers van Microsoft (of naar de domeinserver van uw organisatie). Als een dief je apparaat heeft gestolen, kunnen ze geen toegang krijgen. Als wetshandhaving echter een bevel (of een geheime nationale beveiligingsbrief) naar Microsoft zou sturen, zou Microsoft worden gedwongen om de overheid uw herstelsleutel te geven..
Dit is precies wat de FBI wil van Apple en Google - ze willen dat ze een herstelsleutel bijhouden die ze kunnen vrijgeven. Apple en Google duiken erin, maar Microsoft heeft de FBI al gegeven wat ze wilden.
Microsoft kan andere redenen hebben, maar ...
Dit is het niet allemaal over het bieden van een achterdeur voor de FBI. Gemiddelde Windows-gebruikers die hun wachtwoord vergeten, kunnen een herstelsleutel krijgen van hun Microsoft-account door een wachtwoordreset te doorlopen. Ze hoeven alleen maar naar http://windows.microsoft.com/recoverykey te gaan en in te loggen met hetzelfde Microsoft-account - een procedure voor accountherstel gebruiken als ze het wachtwoord niet kunnen onthouden. Normaal gesproken kan codering niet worden omzeild. Als een gebruiker zijn wachtwoord is vergeten, verliest hij de toegang tot alle bestanden op zijn computer. Microsoft lijkt dit onaanvaardbaar te vinden.
Maar dit is allemaal een beetje raar. Er is geen manier om apparaatversleuteling in te schakelen zonder ergens een herstelsleutel te uploaden - zelfs geen verborgen Power User-optie. Dit is zeer ongebruikelijk voor codering - Android en iOS doen het zeker niet op deze manier. BitLocker biedt een back-up van uw herstelsleutel voor uw Microsoft-account, maar dit onderdeel is niet verplicht. Het is een van de vele verschillende manieren om een back-up van uw herstelsleutel te maken, in tegenstelling tot de standaard apparaatencryptie.
Zelfs als we de wetshandhavingstoegang negeren, wordt de codering zwakker. Iemand zou het proces voor het opnieuw instellen van het wachtwoord in uw Microsoft-account kunnen doorlopen om toegang te krijgen tot uw gecodeerde bestanden. We hebben eerder gezien dat mensen procedures voor het opnieuw instellen van wachtwoorden misbruikten met trucs voor social engineering om toegang te krijgen tot de accounts van andere mensen. Het is gewoon minder veilig.
Rechtshandhaving kan alles, hoe dan ook
Als de FBI toegang wil krijgen tot sms-berichten en telefoontjes, kunnen ze die krijgen van de mobiele providers. Als de FBI toegang wil krijgen tot e-mails, berichten op sociale media en bestanden die zijn opgeslagen in cloudopslag, kunnen ze deze krijgen door contact op te nemen met de bijbehorende webservices - ja, zelfs Google en Apple zouden moeten reageren en gebruikersgegevens moeten overhandigen.
De VS en andere landen hebben zelfs enorme geheime databases met logs van wie wie heet. Ze proberen zelfs al het verkeer op internet te volgen en deze in een database te plaatsen, zodat ze later kunnen worden opgevraagd.
Ongeacht welke gevoelige gegevens worden beschermd via codering is waarschijnlijk elders beschikbaar. Zelfs met iOS en Android zijn apparaten zo ingesteld dat ze gegevens uploaden naar Apple's iCloud- en Google-verschillende services. Die geüploade gegevens kunnen van hun servers worden opgehaald met een bevel of nationale beveiligingsbrief.
Een wet aannemen als het zo belangrijk is
Er is een manier voor de FBI om deze backdoors ook daadwerkelijk te krijgen - de overheid zou gewoon een lage mandating backdoors voor wetshandhaving moeten doorgeven. Momenteel is het implementeren van encryptie zonder backdoors voor wetshandhaving volledig legaal in de VS. De FBI gaf het opgeven van zo'n wet zelfs op:
"De F.B.I. heeft een onderdeel van zijn oorspronkelijke voorstel verlaten, dat vereist dat bedrijven die de versleuteling van de berichten van gebruikers faciliteren altijd een sleutel hebben om ze te ontcijferen als ze bij een rechterlijk bevel worden aangeboden. Critici hadden de beschuldiging geuit dat een dergelijke wet achterdeurtjes voor hackers zou creëren. Het huidige voorstel zou het mogelijk maken dat diensten die berichten volledig tussen gebruikers coderen, blijven werken, zeiden ambtenaren. "
Als het zo gevaarlijk is om versleuteling toe te staan zonder een achterdeur, waarom heeft de FBI het dan opgegeven? Waarschijnlijk omdat ze weten dat ze zouden verliezen. Maar als de huidige retoriek van de FBI iets is dat voorbijgaat, zouden we kunnen zien dat zo'n wet weer vorm krijgt.
Over het algemeen is apparaatversleuteling nog steeds een nuttige functie in Windows. Het versleutelen van bestanden maar de toegang van de FBI toestaan is nog steeds een verbetering ten opzichte van het niet versleutelen van die bestanden. De codering voorkomt op zijn minst dat dieven toegang krijgen. Laten we het niet over minnen: woordenversleuteling is goed. Het is beter dan het complete gebrek aan standaardversleuteling dat Windows heeft geboden, zelfs met deze bezorgdheid.
De middelen van Microsoft om wetshandhaving toegang te geven tot gecodeerde bestanden zijn echter iets dat onder de radar is gevlogen. Dit is met name relevant als we zien dat Apple en Google ingaan en weigeren om deze geheime toegang in te schakelen. Apple en Google kunnen wetshandhavers geen toegang geven tot uw gecodeerde gegevens, maar Microsoft wel.
Image Credit: Dave Newman op Flickr, Mark Fischer op Flickr