MS, FBI के अनुरोध पर Windows PC डेटा एन्क्रिप्शन keys उपलब्ध कराता है

 (windowscentral.com)
3 पॉइंट द्वारा GN⁺ 2026-01-25 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Windows 11 में Microsoft account लिंक करना अनिवार्य है, जिसके कारण BitLocker encryption key अपने-आप cloud में backup हो जाती है
  • Microsoft ने पुष्टि की है कि वैध कानूनी आदेश होने पर वह FBI को यह key उपलब्ध कराता है, जिससे PC डेटा को decrypt कर एक्सेस किया जा सकता है
  • वास्तव में 2025 में Guam में unemployment benefit fraud जांच के दौरान FBI ने Microsoft से BitLocker key लेकर एक device unlock किया था
  • Microsoft का कहना है कि उसे हर साल लगभग 20 key requests मिलती हैं, लेकिन अधिकांश मामलों में key cloud में upload नहीं होती, इसलिए जवाब देना संभव नहीं होता
  • यह भी कहा गया है कि upload की गई keys cloud side पर encrypted स्थिति में नहीं रहतीं, जिससे user privacy risk बड़ा हो जाता है

Windows 11 की account संरचना और BitLocker key backup

  • Windows 11 में Microsoft account का उपयोग default रूप से अनिवार्य किया जाता है, और इस account से BitLocker recovery key अपने-आप जुड़ जाती है
    • account लिंक करते समय बिना किसी अलग setting के key Microsoft cloud में store हो जाती है
    • यह feature इस तरह बनाया गया है कि unlock समस्या आने पर user अपना डेटा recover कर सके
  • user इस feature को disable करके key को local storage में रख सकता है, लेकिन default रूप से यह cloud upload पर सेट रहता है

FBI के अनुरोध पर encryption key उपलब्ध कराने के मामले

  • Microsoft ने Forbes को दिए आधिकारिक बयान में पुष्टि की कि वैध कानूनी आदेश होने पर वह FBI को BitLocker key देता है
    • यह key Windows device के डेटा को decrypt कर एक्सेस करने में सक्षम बनाती है
  • Forbes की रिपोर्ट के अनुसार, 2025 की शुरुआत में Guam में चल रही unemployment benefit fraud जांच के दौरान FBI ने Microsoft से key लेकर device तक पहुंच हासिल की
    • उस device की BitLocker key cloud में stored थी

Microsoft का रुख और सालाना अनुरोधों का पैमाना

  • Microsoft के प्रवक्ता Charles Chamberlayne ने कहा, “key recovery सुविधाजनक है, लेकिन इससे अनचाहे access का जोखिम रहता है, और customers को खुद तय करना चाहिए कि वे इसे कैसे manage करना चाहते हैं”
  • Microsoft ने बताया कि उसे FBI से हर साल लगभग 20 BitLocker key requests मिलती हैं
    • हालांकि, अधिकांश मामलों में key cloud में upload नहीं होती, इसलिए उसे उपलब्ध कराना संभव नहीं होता

अन्य tech कंपनियों से तुलना

  • Apple ने law enforcement agencies के अनुरोध पर भी encrypted data तक access देने से इनकार करने के उदाहरण दिए हैं
    • पहले FBI ने जब iPhone backdoor देने की मांग की थी, तब Apple ने उसे सार्वजनिक रूप से ठुकराया था
  • Meta जैसी कुछ कंपनियां Zero-Knowledge संरचना का उपयोग करती हैं, ताकि server side पर भी keys देखी न जा सकें

privacy चिंताएं और user के कदम

  • Microsoft cloud में upload की गई BitLocker keys server-side encryption के बिना store की जाती हैं, इसलिए privacy उल्लंघन का जोखिम मौजूद है
  • user यह Microsoft account website पर जाकर देख सकता है कि उसकी device key Microsoft server पर stored है या नहीं
    • उसी page पर key को delete करने का विकल्प भी दिया जाता है
  • लेख में इस स्थिति को “privacy nightmare” कहा गया है और ज़ोर दिया गया है कि users को cloud backup पर दोबारा विचार करना चाहिए

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2026-01-25
Hacker News टिप्पणियाँ

  • लेख का शीर्षक भ्रामक है
    दरअसल Forbes लेख में साफ़ लिखा है कि Microsoft सिर्फ मांगे जाने पर key नहीं देता, बल्कि केवल वैध कानूनी आदेश(valid legal order) मिलने पर ही देता है
    law enforcement की साधारण request को ठुकराया जा सकता है, लेकिन कानूनी आदेश को ठुकराने पर आपराधिक सज़ा हो सकती है
    फिर भी यह तथ्य कि Microsoft के पास डिफ़ॉल्ट रूप से user keys तक पहुँच हो सकती है, एक बड़ी security vulnerability को दर्शाता है

    • लगता है तुमने इसे काफ़ी बारीकी से नहीं पढ़ा। ऐसे वाक्य हमेशा बहुत सावधानी से लिखे जाते हैं, इसलिए क्या नहीं कहा गया है यह पढ़ना ज़्यादा ज़रूरी है
      “legal order” एक बहुत व्यापक अवधारणा है, जिसमें administrative subpoena से लेकर judicial warrant तक सब शामिल हो सकते हैं। साधारण “request” का कोई कानूनी बल नहीं होता
      कहा गया है कि Microsoft को साल में लगभग 20 requests मिलती हैं और वह उनमें से 9 से कम पर जवाब देता है। Apple को ज़्यादा requests मिलती हैं और वह ज़्यादा बार जवाब देता है (Apple transparency report)
      यह भी अजीब है कि Forbes लेख में दिखाया गया Microsoft spokesperson दरअसल एक external crisis communications consultant है
    • Microsoft कई legal jurisdictions में काम करता है, इसलिए मामला जटिल हो जाता है
      कुछ देश दावा करते हैं कि उनका घरेलू क़ानून पूरी दुनिया पर लागू होता है। ऐसी स्थिति में Microsoft अगर हर देश की मांगें पूरी करना चाहता है, तो कुछ देशों के साथ कानूनी अलगाव की ज़रूरत पड़ेगी
    • ध्यान रहे कि “legal order” का मतलब “warrant(वारंट)” नहीं है
      कुछ सरकारी एजेंसियाँ यह दावा करती हैं कि उनकी internal guidelines उन्हें warrant के बिना भी नागरिकों को गिरफ़्तार·नज़रबंद करने की अनुमति देती हैं
    • इस बात की कोई गारंटी नहीं कि FBI अपराधी नहीं होगी, और Microsoft employees पर भी पूरी तरह भरोसा नहीं किया जा सकता
    • Microsoft का यह कदम तकनीकी आवश्यकता नहीं बल्कि कानूनी बचाव की तैयारी था
      अगर सच्चा end-to-end encryption लागू किया गया होता, तो law enforcement की मांग पर बस “यह संभव नहीं है” कहा जा सकता था

  • encryption architecture की बहस से अलग, यह समझना मुश्किल है कि कोई क्यों सोचे कि Microsoft कानूनी request ठुकरा सकता है
    अगर क़ानूनन सबूत पेश करने की मांग की जा सकती है, तो फिर ऐसा क़ानून कैसे बनाया जा सकता है कि “contractual obligation” की वजह से अनुपालन न किया जाए?

    • Microsoft users से encryption key को cloud पर upload करने से पहले consent ले सकता था
      लेकिन Windows setup के दौरान Microsoft account का इस्तेमाल लगभग मजबूर किया जाता है, और key अपने-आप upload हो जाती है
    • ऐसे मामलों में साधारण subpoena नहीं बल्कि warrant की मांग होनी चाहिए
    • Windows 11 local account को हटाता है और डिफ़ॉल्ट रूप से keys Microsoft को भेजता है
      LUKS जैसे सिस्टम में ऐसा नहीं होता, और यह एक security failure है
      इरादा शायद यह है कि user password भूल जाए तो recovery आसान हो, लेकिन नतीजे में यह ऐसा ढांचा बन जाता है जिसका कोई भी दुरुपयोग कर सकता है
    • user password से BitLocker key को encrypt करने जैसे दूसरे तकनीकी विकल्प काफ़ी हैं

  • असली स्वतंत्रता की शुरुआत सुरक्षित ढंग से सोच पाने की जगह से होती है
    surveillance society फैलने पर लोग खुलकर सोचना या बोलना छोड़ देते हैं
    “छिपाने को कुछ नहीं है तो चिंता कैसी” जैसी दलील उलटे स्वतंत्र सोच को कमजोर करती है
    राज्यसत्ता पर लंबे समय में भरोसा नहीं किया जा सकता, और encryption technology स्वतंत्र विचार की रक्षा का मुख्य साधन है

    • मैं भी उस भावना को समझता हूँ। एक legal immigrant के रूप में मैंने सिर्फ़ मज़ाक में मिले election T-shirt की फोटो iCloud में देखकर भी सोचा था कि क्या इसे delete कर दूँ
      डर था कि सीमा पर कोई यह फोटो देखकर मुझे नुकसान पहुँचा सकता है
      ऐसी self-censorship जमा होती जाती है और आज़ादी खत्म होने लगती है। यह मानो सोवियत दौर में लौटने जैसा लगता है

  • मैं Microsoft का बचाव नहीं कर रहा, लेकिन आम users के नज़रिए से default setting तार्किक लग सकती है
    फिर भी users को शुरुआत में cloud key storage को opt-out करने का विकल्प मिलना चाहिए
    Intel Panther Lake में BitLocker को dedicated SoC पर पूरी hardware acceleration मिलने वाली है, इसलिए full disk encryption(FDE) की कुछ कमज़ोरियाँ घटेंगी
    लेकिन अभी भी सुधार की गुंजाइश है

    • setup के दौरान online recovery key storage को optional बनाना
    • TPM-based या password-based FDE में से चुनने का विकल्प
    • KDF को memory-hard algorithm में बदलना
    • PIN limit(20 characters) हटाकर letters+numbers combination की अनुमति देना
    • TPM parameter encryption को enable करना
    • लेकिन कुछ लोग Intel chips में backdoor होने की आशंका भी जताते हैं

  • कानूनी request आने पर Microsoft के पास मानने के अलावा विकल्प नहीं है
    BitLocker की design ही ऐसी है कि enterprise remote तरीके से devices manage कर सके
    क्योंकि अगर किसी employee को नौकरी से निकाला जाए या laptop खो जाए, तो company को खुद unlock कर पाना चाहिए
    यह ढांचा नया नहीं है, और FBI हो, China हो या Europe, हर government request पर एक जैसा लागू होता है

    • यह संभव है कि अमेरिकी एजेंसियों का global data access पर ज़्यादा प्रभाव हो

  • अगर किसी को गिरफ़्तार किया जाता है, तो police warrant लेकर घर की तलाशी ले सकती है
    क्या digital data पर भी physical evidence जितनी ही पहुँच की अनुमति होनी चाहिए?
    “request” और “legal order” की भाषा का फर्क, और अमेरिका के भीतर क़ानूनी व्याख्या में असंगति, यही विवाद का केंद्र है
    digital दुनिया में क्या पूरी privacy protection ज़रूरी है, या कोई बीच का रास्ता होना चाहिए, यह सोचने वाली बात है

    • संदर्भ के लिए, subpoena हाज़िरी का आदेश है, search warrant नहीं
    • क्या “benevolent surveillance state” वास्तव में बुरा है? अगर मकसद crime prevention है, तो शायद public safety को privacy से ऊपर रखा जा सकता है

  • अगर user disk unlock करते समय password या key device का सीधे इस्तेमाल नहीं करता, तो वह secret कहीं और मौजूद है
    यानी किसी third party के पास पहुँच होने की संभावना है
    समस्या यह है कि users को अक्सर इस तथ्य का साफ़ एहसास नहीं होता

  • Third Party Doctrine के अनुसार Microsoft कानूनी आदेश के बिना भी data दे सकता है
    यह सिर्फ़ एक प्रथा है, और कभी भी बदल सकती है
    ऐसी दुनिया में जहाँ हम रोज़ाना अनगिनत third-party services का उपयोग करते हैं, इस सिद्धांत को खत्म किया जाना चाहिए
    (Third-party doctrine wiki)

    • लेकिन BitLocker के मामले में यह सवाल है कि क्या user ने जानकारी स्वेच्छा से दी भी मानी जा सकती है

  • लेख का शीर्षक कहता है “request पर दिया जाता है”, लेकिन असली सामग्री कहती है “वैध कानूनी आदेश होने पर दिया जाता है
    यानी शीर्षक सिर्फ़ clickbait है

    • असली मुद्दा यह है कि Microsoft user keys अपने पास रखता है, और ज़रूरत पड़ने पर उन्हें देने के लिए बाध्य है
    • आदर्श स्थिति यह होगी कि Microsoft सिस्टम को इस तरह design करे कि वह तकनीकी रूप से keys दे ही न सके
    • कुछ लोगों की राय है कि “मांगे जाने पर” जैसी अभिव्यक्ति अपने-आप में ग़लत नहीं है

  • VeraCrypt की सिफ़ारिश की गई (veracrypt.io)

    • इसके पूर्ववर्ती TrueCrypt को अचानक बंद कर दिया गया था और BitLocker पर जाने की सिफ़ारिश की गई थी, जिसके पीछे की पृष्ठभूमि आज भी सवालों में है
    • यह कहते हुए कि Microsoft का बुरा दिन Linux का अच्छा दिन है, कई distributions के links भी साझा किए गए
      Linux Mint, Ubuntu, Arch Linux, Kali Linux, Fedora