Microsoft kijkt mee bij versleutelen Windows 10, waarschijnlijk

Het scherm van Windows 10

Het blokkenscherm van Windows 10

Zo zie je maar weer wat voor een kluns ik ben. De klokkenluidersstek the Intercept heeft een verhaal over het versleutelen van teksten op je Windows 10-machine en dat die mogelijkheid standaard aan staat, maar ik wist van niks. Omdat het bij Windows 10 onduidelijk is wat Microsoft tijdens het bijwerken van de programmatuur allemaal uitvreet, wist ik ook niet dat Microsoft misschien ook de de decodeersleutel van mijn computer heeft gekopieerd. Dat meldt althans the Intercept. Verder op een manier om het een en ander weer in veilige banen te leiden (oftewel hoe naai ik de naaier)

“De gouden standaard bij versleuteling, is versleuteling van begin tot het einde waarvan alleen jij de decodeersleutel hebt”, zegt kryptoloog Matthew Green van de John Hopkins-universiteit. “Natuurlijk helpt het als je ergens een kopie van die sleutel hebt of van je wachtwoord en die zou je bij een bedrijf op een server kunnen stallen, maar die sleutels overhandigen aan een bedrijf als Microsoft verandert de veiligheid van een versleuteld systeem fundamenteel.” Microsoft zegt dat het het bedrijf gaat om de Window-ers waarbij de boel in de soep loopt. Zonder decodeersleutel zouden die gegevens verloren zijn. Vandaar.
Nadat je Windows 10 hebt geïnstalleerd of je computer met Windows 10 in gereedheid hebt gebracht, kan je je aanmelden bij Microsoft en de sleutel vernietigen die Microsoft heeft. Of dat afdoende is, is de vraag. Apple geeft je wel de mogelijkheid te kiezen om de sleutel al of niet bij Apple te stallen. In BitLocker bood Microsoft die mogelijkheid wel. Je kunt de decodeersleutel ook op een usb-stick opslaan of op papier. Microsoft is niet de enige opbergplaats.

De kwestie is afwijkend voor de verschillende versies van Windows 10: Home, Pro, Enterprise. Bij Home is de versleuteling standaard en wordt de sleutel op een aparte beveiligde chip opgeslagen, die in alle nieuwe pc’s in ingebouwd. Pro en Enterprise hebben die apparaatversleuteling ook, maar tevens BitLocker. Beide systemen doen hetzelfde (versleutelen), maar BitLocker is instelbaar. Als je Windows 10 gebruikt en je computer heeft die codechip, dan wordt je harde schijf automatisch versleuteld en de decodeersleutel wordt naar Microsoft gestuurd. Als je op een universiteit of een bedrijf met Windows werkt, dan gaat die decodeersleutel naar de systeembeheerder, maar het systeem heeft geen mogelijkheid dat tegen te houden. Als je geen gebruik maakt van Microsoft of van een domein, maar alleen ‘lokaal’ werkt, dan wordt er niks versleuteld, zo stelt the Intercept. Home-gebruikers hebben niks te kiezen en Pro en Enterprise-gebruikers hebben een keuze, maar pas nadat de sleutel al is verstuurd naar de Microsoft-servers.

Ontdoen

Als je de boel wilt rechtzetten ga je naar de Microsoft-stek, waar je je kunt aanmelden met dezelfde gebruikersnaam en hetzelfde wachtwoord als op je computer (of ander Windows-apparaat). Daar zie je de opgeslagen sleutels. Daarmee is Microsoft (of iedereen die in het systeem kan komen) in staat je computer te decoderen, tenminste, als er fysiek contact is tussen Microsoft en je computer (of anderszins). Hier kun je de sleutel vernietigen, maar het is natuurlijk handig die eerst ergens vast te leggen (op een stuk papier, bijvoorbeeld).
Als je geen decodeersleutels krijgt te zien, dan is óf je schijf niet versleuteld óf Microsoft heeft geen kopie (dat moet je dan maar geloven). Microsoft belooft dat een vernietigde sleutel ook echt vernietigd wordt, ook kopieën. Mijn vraag is dan of die sleutel bij een volgende bijwerking van de programmatuur niet gewoon weer gekopieerd wordt.
Als je gevoelige informatie op je computer hebt staan, dan is het handig om een nieuwe sleutel aan te maken, die je, uiteraard niet naar Microsoft stuurt. Dat is een hoop gedoe, omdat je eerste je hele harde schijf moet decoderen en weer coderen, maar zo dat je wordt gevraagd wat je met de sleutel wilt doen. Dat kan dus alleen met Pro en Enterprise en niet met Home. De Home-gebruikers kunnen een duurdere versie van Windows nemen of een ander versleutelingssysteem gebruiken zoals het te kopen BestCrypt of het ‘open’ programma  VeraCrypt, maar dat laatste werkt slecht als je de hele schijf wil versleutelen. Met Pro en Enterprise kun je de boel opnieuw organiseren en coderen via BitLocker (dus).

Bron: the Intercept

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.