6 maart 2006
Ondanks alle geruchten heeft Microsoft duidelijk gemaakt (althans voor het grote publiek; wat er werkelijk afgesproken wordt is uiteraard nog maar eens de vraag) dat het niet wenst in te gaan op alle eisen van overheden om een ‘achterdeur’ te creren in Windows Vista om de ingebouwde BitLocker Drive Encryption te omzeilen. De BitLocker-encryptie is bedoeld om de data op de door een Windows Vista-besturingssysteem gemaakte partities te versleutelen en te beschermen tegen verlies of diefstal. Dit alles op basis van het bericht van de BBC dat de Britse overheid in overleg was met de softwaremaker over de mogelijkheden van een zogenaamde ‘backdoor’. Die zou het de overheid, en vooral justitie, makkelijker maken om toegang te krijgen tot de gegevens onder het nieuwe besturingssysteem. In principe handelt het om een extra ‘backdoor’ aangezien in de Verenigde Staten wetgeving bestaat die encryptiesystemen op basis van onafhankelijke sleutels toegankelijk maken voor de overheid, indien noodzakelijk.
Niels Ferguson, een van de ontwikkelaars en cryptologen van Microsoft, liet op zijn weblog zijn reactie op de geruchten: ‘The suggestion is that we are working with governments to create a back door so that they can always access BitLocker-encrypted data. Over my dead body’. Microsoft is uiteraard in overleg met verschillende overheden, maar dat gaat dan met name over het toepassen van BitLocker voor eigen security-doeleinden. Een achterdeur inbouwen in encryptie-software is onacceptabel, omdat het de deur openzet voor allerlei crackers die op basis van dat stuk software allerlei onaangename acties kunnen uitvoeren. Een ‘backdoor’ is immers een methode om de gangbare authenticatiemethode te omzeilen om toegang te krijgen tot een computer zonder dat de gebruiker daar iets vanaf weet. Back doors are simply not acceptable’, zo schrijft Ferguson. ‘The official line from high up is that we do not create back doors. And in the unlikely situation that we are forced to by law we’ll either announce it publicly or withdraw the entire feature. Besides, they wouldn’t find anybody on this team willing to implement and test the back door’. En verder: ‘We are of course talking to various governments; we want them to buy Vista and use BitLocker for their own security. We get the typical questions you always get: ease of use, performance, security, etc. We also get questions from law enforcement organizations. They foresee that they will want to read BitLocker-encrypted data, and they want to be prepared. Like any security technology BitLocker has its avenues of attack and law enforcement should know about them. For example, if they search a house and find a computer, they should also take all USB thumb drives, as these might contain a BitLocker key. This information is not secret; our users need to have the same information when they make the security vs. convenience tradeoff of choosing a key-protection option (TPM only, USB key, TPM + USB key, etc.) We plan on having a KB article with the details when Vista ships’. In de blogosphere heeft het bericht niet echt enthousiasme gewekt. In een reactie op een blog-melding schrijft Zanphar: ‘Windows itself is a complete backdoor, I only use it for simple stuff like playing games, programming, word processing and other various tasks. But otherwise, I prefer UNIX for other case scenarios’.