日前震惊社会的「张文随机伤人案」,除了案情本身,侦查过程中关于其笔电的侦查细节也引发热议。最初报导指出,张文的 ASUS 笔电因微软的 BitLocker 加密保护而无法破解,但后续警方在官方帮助下成功「破解」,让外界对资安防线感到忧虑。
但随后令人傻眼的是:ASUS 官方又发声明澄清:该台笔电其实根本「未开启加密功能」,让 BitLocker 到底能不能安全保护隐私资料成为一个讨论热点。
微软:BitLocker 金钥可应法规要求交给执法单位
就在事件过去没多久,微软 (Microsoft) 昨(24)天巧合的承认,在符合法律命令时会把 Windows 11 的 BitLocker 恢复金钥交给执法单位。
这项说法源自 2025 年初 FBI 在关岛办案时,透过法院搜索票直接向微软索取金钥并成功解锁嫌犯笔电。事件显示,只要在设定新电脑时使用微软帐户登入,加密钥匙就可能已经备份到云端,让政府取得资料变得前所未见的容易。
FBI 关岛案揭开序幕
2025 年,FBI 调查一宗利用疫情诈领失业援助金的案件。探员没有费力破解密码,而是递交搜索票给微软。公司依令交出 BitLocker 金钥,硬碟当场解锁,证据到手。微软稍后证实,每年约接到 20 份同类请求。
虽然数量不多,但意味合法后门确实存在。
金钥备份机制如何运作?
根据《Windows Central 》报导,使用者在新机设定阶段若登入微软帐户,系统会自动开启 BitLocker,并把 48 位数的恢复金钥同步至微软云端。微软发言人 Charles Chamberlayne 表示:
这是一项安全功能,避免使用者忘记密码而丧失资料。
问题在于,金钥是以微软员工与法院可读的形式储存,而非端对端加密。Windows Central 评论称,这种作法对隐私是一场「噩梦」,因为任何合法要求都能让第三方直接取得钥匙。
用户能做什么?
对于币圈用户来说,对隐私与安全的要求相对的高。如果你不想把金钥留在云端,你可以采取以下行动:
检查备份: 登入
account.microsoft.com/devices,检查并删除已备份到云端的 BitLocker 金钥。改用本地帐户: 在 Windows 11 改用本地帐户登入,避免自动同步金钥。
群组原则设定: 透过专业版 Windows 的群组原则,禁止金钥上传至微软伺服器。
当然,这么做的代价是: 若你忘记密码且未自行妥善保存金钥,资料将永远无法救援,请自行评估风险。
与微软不同的选择
对照之下,苹果在 2016 年圣贝纳迪诺枪击案时,曾拒绝协助 FBI 解锁;另外 Meta 虽然会将加密金钥储存在云端,但采用零知识架构,并在伺服器端对金钥进行加密,因此只有用户才能存取这些金钥。
