Megint tele van a sajtó a Windows 10-zel és a Microsofttal, ismét rémhírek jelennek meg, miszerint a Windows a felhőben tárolja a meghajtó visszaállítási kulcsát, ami többek szerint bizonyára "hatalmas biztonsági kockázat".
Tényleg az?
Kezdjük ott, hogy miről van szó. Mint tudjuk, a meghajtónk titkosítható és ebben a Windows is segít nekünk úgy, hogy lekódolja azt és előállít két kulcsot: egy kódolási (encryption) kulcsot és egy visszaállítási (recovery) kulcsot. Ezek ketten így párban vannak, előbbi a titkosításért, utóbbi pedig ennek a visszájáért felel. Az utóbbi kulcsot normál esetben vagy a lemezen (látni fogjuk, hogy ez messze nem a legjobb ötlet), vagy valami más helyen tároljuk, a Windows pedig, amennyiben a lehetőség engedélyezve van (és alapértelmezés szerint ez be van kapcsolva) és Microsoft fiókkal jelentkeztünk be, a visszaállítási kulcsot a OneDrive fiókunkba is feltölti. Emiatt indult el újra rémhírek sorozata, azt azonban nem nagyon tárgyalták, hogy miért nem jelent akkora biztonsági kockázatot, ha a OneDrive-fiókunkban van egy másolat erről a bizonyos kulcsról.
Először is, hogy működik ez a titkosítás? A dolog lényege, hogy ha titkosítottuk egy meghajtó tartalmát, akkor azt a visszaszerzési kulcs külön használata nélkül csak azon a gépen és operációs rendszeren érhetjük el, amelyiken a titkosítást végeztük. Ha a meghajtót egy másik gépbe helyezzük, vagy másik operációs rendszerről próbáljuk meg elérni, csak a visszaállítási kulcs segítségével fog sikerülni. Nos, sok esetben a kulcs használatára inkább akkor van szükség, ha a gépet nem tudjuk elindítani és valahogy menteni szeretnénk, ami menthető. Mivel mondjuk egy alaplapi hiba esetén azt valószínűleg ki kell cserélni, így lényegében egy másik gépről kell elérni a lemezt. De ha mi csak a lemezen tároltuk a kulcsot, akkor mi lesz? Nos, nem túl sok esélyünk van a tartalom visszaszerzésére - tegyük hozzá, hogy ez nyilván nem lehetetlen, de elég sok erőfeszítést fog igényelni. Ha viszont ott van a felhőben, azaz valahol, amit mindig elérhetünk, akkor onnan mi könnyedén lekérhetjük és újra hozzáférhetünk a lemez tartalmához.
Megjegyzés: Windows 10-en kétféle titkosítást találhatunk: a Bitlockert és az InstantGo (Connected Standby) alapút. A kettő közül a Bitlocker nem érhető el a Home változatban, ez a Microsoft titkosító csomagja, míg az InstantGo egy olyan hardveres funkció, ami ahhoz szükséges, hogy a Windows alapvető eszköztitkosítását (a gyengébbiket) használhatjuk.
Na és ez miért nem jelent biztonsági kockázatot? Ott van az interneten! Egy ok miatt: ha valaki meg akarja szerezni a lemez tartalmát, vagy annak egy részét, ugyan szüksége lesz a kulcsra, de a lemez nélkül semmihez sem fog hozzáférni. Tehát: egyrészt valahogyan szert kell tennie a mi meghajtónkra, másrészt meg be kell jutnia a Microsoft fiókunkba (amit már régóta kétlépcsős azonosítással is védhetünk), amihez az említett biztonsági beállítás mellett a telefonunkat is meg kell szereznie (és jó esetben előbb valahogy azt is fel kell oldania). Ez elég sok munkával jár, nem? Van, aki ilyenkor felhozza azt a példát, hogy "mi van akkor, ha kémprogram van a gépemen?". Nos, akkor teljesen mindegy, hogy titkosítottuk-e a meghajtót, mert az operációs rendszer, ha már el van indítva, akkor titkosítatlanul fogja látni a fájlokat, hiszen gondoljunk bele, mekkora lassulást tudna előidézni, ha minden fájlt egyenként külön dekódolni kéne hozzáféréskor. Az, hogy a kulcs a felhőben tárolódik, egy átlagembernek tökéletesen megfelel, hiszen neki csak megkönnyíti egy meghibásodás esetén a tartalom visszaszerzését, aki meg tudatosan helyezi el a kulcsait (tehát nagyon is jól tudja, hogy mit csinál), az vagy nem a Windows által biztosított titkosítást használja, vagy egyszerűen kikapcsolja a kulcs felhőben való tárolását és ő maga teszi el olyan helyre, ahol szerinte nagyobb biztonságban van. Ugyanezek vonatkoznak arra is, ha a Microsoftnak kötelessége lenne kiadni a kulcsot pl. egy kormányhoz kapcsolódó szervezetnek: a meghajtót akkor is meg kell szerezniük. Itt hozzátennénk, hogy a Microsoft eddig is figyelmeztette a felhasználókat, ha arra utaló jelet talált, hogy valaki megpróbálta feltörni fiókját, most pedig külön azért is figyelmeztetni fog, ha ezt egy kormányközeli szervezet próbálja meg (mint ahogy a Facebook is teszi).
Összegezve a dolgot: lehet, hogy nem ez a leges-legtökéletesebb megoldás, de sokkal könnyebbé teszi a meghajtó tartalmának visszaszerzését azok számára, akik nem profik a titkosítás témakörében, így nekik legalább nem kell azzal foglalkozniuk, hogy valahonnan máshonnan előteremtsék a visszaszerzési kulcsot.
Ha valaki szeretné megtudni, hogy a Windows tárol-e visszaszerzési kulcsot a felhőben, az ezen a linken megtudhatja és ha szeretné, töröltetheti is OneDrive fiókjából.
