О пользе bitlocker

А где ты, лоровец, хранишь бэкапы ключей шифрования?

Вот же зачем так на грубость нарываться, а?

Оказывается

2026 год, на планете нашествие Зорких Глазьев.

Это (бэкап ключа битлокера в учётку микрософта) известное задокументированное на ресурсе микрософта сразу же поведение.

США, конечно, хотя тут нет полной уверенности, так как вскрытый кейс произошел на широко известном в узких кругах острове Гуам

https://www.xda-developers.com/microsoft-reportedly-giving-bitlocker-keys-law-enforcement/

Charles says that Microsoft gets 20 encryption key requests a year

Это все здорово, но Гуам не входит в состав США. Хотя администрация там американская

А где ты, лоровец, хранишь бэкапы ключей шифрования?

В межушном нервном узлу.

Там рядом (и не только) много что не входит в состав США, но фактически входит :)

Гуам же вообще особняком в этих «много что».

Ну ты же понимаешь, что главный источник профита винды - энтерпрайз и госорганизации. А там не потерять случайно инфу (потому что кто-нибудь забыл пароль) важнее, чем не дать прочитать её властям. А для хомячков это больше реклама, плюс защита от самых простых сценариев (кража устройства гопником).

А где ты, лоровец, хранишь бэкапы ключей шифрования?

В разных местах, на одном компе ключи от / просто лежат в /boot/keys и зашиты в initramfs, чтобы не вводить пароль. Ключи от несистемных дисков в /root/.keys/ чтобы на старте их монтировать. Бекапы в яндекс диске в зашифрованном виде.

На третьем ключей не заводил, просто пароль в keepassxc

Для таких заказчиков характерно(?) наличие а) домена, который мог бы хранить ключи; б) развернутых систем бэкапа. То есть аргументация так себе

Польза от битлокера в том, что хомят нащёлкает без осознания, а потом приходит в сервис и платит стопятьсот денег за восстановление «очень важных данных».

А сервис может с этим помочь?

Восстанавливают или нет - хз, но приносят.

Это (бэкап ключа битлокера в учётку микрософта) известное задокументированное на ресурсе микрософта сразу же поведение.

Интересно, Windows 11 можно установить штатным образом, не сливая ключ в аккаунт мелкомягких? Оно же входа в учетку хочет при установке.

Но статья сильно похожа на завуалированную рекламу битлокера, что типа если не делать бекап ключа в учётку микрософта, то и ничего. Если сделал - можно удалить оттуда. А даже если и нет, то 20 запросов за год - это немного и видимо только из-за каких-то совсем плохишей, но ты юзер, ведь не плохиш, да.

широко известном в узких кругах острове Гуам

Чем он известен помимо военно-морской базы? Территория США, где конституция действует ограничено?

Секрет Полишинеля раскрыт! Оказывается, проприетарные системы шифрования подконтрольны создателям! Никогда такого не было, и вот опять!

Ею и известен, а так же периодическими визитами американских стратегов на нее. А потом у местных появляется запрос про 3 зашифрованных ноутбука. Наверное совпало

https://habr.com/ru/news/988432/

В современных сборках Windows 11 процесс OOBE настроен просто: вы логинитесь под Microsoft Account, и система молча бэкапит ваши ключи BitLocker в облако — OneDrive или Azure. Для пользователя это выглядит как «удобство», а для юристов Microsoft — как данные, подпадающие под Stored Communications Act.

В отличие от Apple, которая архитектурно лишила себя возможности читать ключи пользователей, Microsoft выбрала путь наименьшего сопротивления и головных болей.

Может тебе ещё и ключи от…

Ах да.

Ну а если понимать, как работают в АНБ (по рассказам Сноудена), то и решения суда, если нужно, не потребуется. Там у них наверняка в каждой корпе из FAANG сидит свой человек с доступом к ключам. Официально как сотрудник этих корп, естественно. И эти люди просто более морально стойкие, чем предатель Сноуден.

После того, как корпы внедрили себе зонды типа Краудстрайк (в т.ч. и на Линукс-машинах, ага Уася!), даже откровения Сноудена и доступ к ключам битлокера уже не кажутся сенсацией.

Корпы с определенного уровня живут по наднациональным понятиям, в которых национальные законы - это всего лишь формальности, которые приходится соблюдать. Использование спецслужбами США данных корпоративного пользователя без его ведома стоит в списке угроз гораздо ниже, чем кража корпоративным пользователем коммерческой тайны корпорации.

Тут же надо понимать, что даже в Энтерпрайзе могут появиться свои предатели, которые не за бабло, а правды ради решат нанести ответный удар по этому Энтерпрайзу. Поэтому всё таки базовые средства защиты типа HSM, скорее всего, не содержат бэкдоров от производителя.

Другое дело, что битлокер и винда, естественно, не являются базовыми средствами защиты безопасности.

Нигде, потому что не пользуюсь шифрованием.

Поехали дальше. Допустим, мы не корпоративный пользователь, а просто хотим сохранить свои данные, ну там типа пароли от всяких кошельков, записанные открытым текстом, и лежащие прямо в папке Documents.

Или пароль от почтового ящика электронной почты. Но тогда как бы целевая аудитория злоумышленников резко сокращается до дворовой шпаны, которая может пользоваться готовыми программами по книге «Хакинг и Крэкинг», но у которых ни при каком раскладе нет выхода на серьезных уважаемых людей из MS.

Тогда битлокер вполне себе годный инструмент защиты.

Интересно, Windows 11 можно установить штатным образом, не сливая ключ в аккаунт мелкомягких? Оно же входа в учетку хочет при установке.

Pro и Enterprise можно, home только с бубном.

После того, как корпы внедрили себе зонды типа Краудстрайк (в т.ч. и на Линукс-машинах, ага Уася!), даже откровения Сноудена и доступ к ключам битлокера уже не кажутся сенсацией.

Между прочим, сейчас наверное чуть менее, чем любое подобное ПО, любой антивирус, если у них есть функция автоматической отсылки дампов/хэшей для проверки на чего-то там, стоит считать зондами.

Pro и Enterprise можно, home только с бубном.

Не знаю про Enterprise, но и Pro и Home требуют бубна. Во всяком случае, не предусмотрено штатно. Если погуглить, то вроде официально все версии теперь требуют создания аккаунта MS.

В общем и целом - да. Но зависит от ИТ политики конторы. Т.к. в вин11 уже есть антивирус от MS, то на всяких нортонах экономят, типа нафиг не нужно.

но и Pro и Home требуют бубна

С версиями Pro и выше для обхода ограничения достаточно указать при настройке, что ОС будет использоваться для работы или учёбы, а затем выбрать опцию, что компьютер находится в домене сети. Home да, только бубен.

Хотя я чёт давно уже винду не ставил, может что и изменилось.

bitlogger

Бутлегер

А где ты, лоровец, хранишь бэкапы ключей шифрования?

На Яндекс-диске, тов. Майор!

Недавно в фирме у брата пытался сделать полный бэкап шифрованного диска bitlocker - никто не смог это сделать. Почему? Ни acronis ни парагон. Это запрет m$?