Microsoft cung cấp khóa khôi phục BitLocker cho FBI để mở khóa laptop của nghi phạm

 (techcrunch.com)
1 điểm bởi GN⁺ 2026-01-24 | 1 bình luận | Chia sẻ qua WhatsApp
  • Cục Điều tra Liên bang Mỹ (FBI) đã yêu cầu khóa khôi phục để mở khóa ổ cứng của 3 laptop được mã hóa bằng BitLocker, và Microsoft đã cung cấp các khóa này
  • BitLocker là tính năng mã hóa toàn bộ ổ đĩa được bật mặc định trên thiết bị Windows, vốn là công nghệ bảo mật nhằm ngăn truy cập ngoài chủ sở hữu
  • Tuy nhiên, khóa khôi phục mặc định được tải lên đám mây của Microsoft, nên cơ quan thực thi pháp luật có thể dùng chúng để giải mã các ổ đĩa đã mã hóa
  • Vụ việc lần này xảy ra trong quá trình điều tra liên bang nhằm vào các nghi phạm gian lận trợ cấp thất nghiệp thời đại dịch (PUA) ở Guam
  • Các chuyên gia mã hóa cảnh báo về nguy cơ khóa khôi phục lưu trên đám mây bị tấn công, đồng thời bày tỏ lo ngại về năng lực quản lý bảo mật của Microsoft

FBI yêu cầu và được cung cấp khóa khôi phục BitLocker

  • Trong quá trình điều tra vụ gian lận liên quan đến trợ cấp thất nghiệp thời đại dịch (PUA) ở Guam, FBI đã xin được lệnh yêu cầu Microsoft cung cấp khóa khôi phục để mở mã hóa cho 3 laptop của nghi phạm
    • Vụ việc được Forbes đưa tin đầu tiên, sau đó TechCrunch dẫn lại
    • Các cơ quan báo chí địa phương ở Guam là Pacific Daily NewsKandit News cũng đưa tin về việc ban hành lệnh này
  • Theo yêu cầu của FBI, Microsoft đã cung cấp khóa khôi phục BitLocker, qua đó cho phép giải mã dữ liệu đã mã hóa trên các laptop nói trên
  • Microsoft cho biết với Forbes rằng trung bình mỗi năm công ty nhận khoảng 20 yêu cầu khóa khôi phục từ các cơ quan điều tra

Cơ chế hoạt động mặc định của BitLocker và khả năng truy cập

  • BitLockertính năng mã hóa toàn bộ ổ đĩa được bật mặc định trên các máy tính Windows hiện đại, có tác dụng chặn truy cập dữ liệu khi thiết bị đang tắt hoặc bị khóa
  • Tuy nhiên, theo cấu hình mặc định, khóa khôi phục được tự động tải lên đám mây của Microsoft, vì vậy công ty và cơ quan thực thi pháp luật có thể dùng khóa đó để giải mã ổ đĩa đã mã hóa
  • Cấu trúc này vừa tăng cường bảo vệ dữ liệu người dùng, vừa để lại con đường mà doanh nghiệp và chính phủ có thể truy cập thông qua khóa khôi phục

Lo ngại của chuyên gia bảo mật

  • Nhà mật mã học Matthew Green của Đại học Johns Hopkins cảnh báo rằng nếu hạ tầng đám mây của Microsoft bị xâm nhập, khóa khôi phục có nguy cơ bị lộ cho kẻ tấn công bên ngoài
    • Ông nói thêm rằng trước đây Microsoft đã nhiều lần để lộ khóa trong các vụ tấn công có yếu tố chính phủ và các sự cố khác
    • Tuy vậy, để sử dụng khóa khôi phục, hacker vẫn cần quyền truy cập vật lý vào ổ cứng
  • Trong một bài đăng trên Bluesky, Green nói rằng “Đã là năm 2026 nhưng những lo ngại này đã được nêu ra từ rất lâu rồi”, đồng thời chỉ ra rằng những thất bại của Microsoft trong việc bảo vệ khóa của khách hàng ở mức độ gần như ngoại lệ trong ngành

Lập trường của Microsoft

  • Trước yêu cầu bình luận từ TechCrunch, Microsoft không đưa ra phản hồi ngay lập tức
  • Với Forbes, công ty chỉ giải thích rằng “đôi khi công ty cung cấp khóa khôi phục BitLocker cho cơ quan thực thi pháp luật”
  • Không có đề cập thêm nào về chính sách hay quy trình nội bộ

Hàm ý về quyền riêng tư và ngành công nghiệp

  • Việc doanh nghiệp nắm giữ khóa khôi phục hàm chứa khả năng xâm phạm quyền riêng tư của người dùng
  • Các chuyên gia cảnh báo rằng cấu trúc này có thể dẫn tới nguy cơ lộ dữ liệu trên diện rộng nếu bảo mật đám mây bị xâm phạm
  • Trường hợp này một lần nữa làm nổi bật bài toán cân bằng giữa độ tin cậy của công nghệ mã hóa và sự hợp tác với cơ quan thực thi pháp luật

Bài viết liên quan

1 bình luận

 
GN⁺ 2026-01-24
Ý kiến trên Hacker News

  • Trên Windows 11, BitLocker được bật mặc định, và nếu có liên kết với tài khoản Microsoft thì khóa khôi phục sẽ tự động được tải lên
    Vì vậy FBI có thể yêu cầu Microsoft cung cấp khóa thông qua lệnh khám xét
    Phần lớn người dùng thậm chí có thể không biết rằng mình đang dùng laptop đã được mã hóa
    Báo chí thường viết là “Microsoft đã giao khóa”, nhưng thực tế đây là nghĩa vụ pháp lý
    Với người dùng phổ thông, đây là một mặc định hợp lý để chống trộm và khôi phục dữ liệu
    Người dùng nâng cao chỉ cần đổi thiết lập để tự quản lý khóa

    • Nhưng để đổi thiết lập đó thì phải tắt BitLocker, tạo tài khoản cục bộ mới, xóa khóa hiện có khỏi OneDrive rồi mã hóa lại từ đầu
      Cách của Apple hợp lý hơn nhiều: hỏi ngay trong bước thiết lập ban đầu rằng có muốn lưu “khóa khôi phục vào iCloud” hay không
    • Chỉ cần tính năng đó tồn tại thì do nhầm lẫn, lỗi, thậm chí chỉ một hạt vũ trụ cũng có thể khiến khóa bị tải lên
      Trong những trường hợp như vậy, người dùng không nhận được bất kỳ dấu hiệu nào, dẫn tới lỗi im lặng khi thuộc tính bảo mật âm thầm thay đổi
    • Lúc nào cũng có người bênh vực các tập đoàn lớn
      Nhưng nghĩ đến chuyện Microsoft định kỳ chụp ảnh màn hình thì vẫn thấy bất an
    • Microsoft đã thiết kế hệ thống để lưu khóa dạng văn bản thuần trong đám mây
      Họ hoàn toàn có thể áp dụng mã hóa đầu cuối như trình quản lý mật khẩu, nhưng đã không làm vậy
      Chính quyết định đó đã tạo điều kiện cho cơ quan thực thi pháp luật truy cập
    • Dù người dùng từ chối tải lên, vẫn không có cách nào chắc chắn rằng khóa thật sự chưa bị tải lên
      Giờ nếu Microsoft muốn khôi phục lòng tin thì chỉ còn cách mã nguồn mở Windows

  • Trước đây với những tin kiểu này, bầu không khí thường phản đối mạnh hơn, còn bây giờ lại có nhiều phản ứng kiểu “chuyện hiển nhiên mà”
    Tôi nghĩ tình hình này xuất phát từ việc giới kỹ thuật thuận theo các yêu cầu của chính phủ
    Đây không phải vấn đề pháp luật mà là vấn đề trong thiết kế hệ thống bảo mật

    • Phần lớn bình luận vẫn mang tính phản đối, nhưng đôi khi có xu hướng chấp nhận luôn tiền đề của các bài báo câu view
      Trên thực tế, khi cơ quan thực thi pháp luật yêu cầu dữ liệu thì doanh nghiệp không thể từ chối và cuối cùng sẽ bị pháp luật ép buộc
    • Nhiều kỹ sư công nghệ hợp tác với chính phủ vì RSU, KPI và áp lực mưu sinh
      Con người thường chỉ hành động cho đến khi sự tiện nghi của bản thân bị đe dọa
    • Có ý kiến phản bác lập luận “đây là vấn đề thiết kế bảo mật”
      Trên thực tế, nhà nước đôi khi còn cấm cả mã hóa đầu cuối
      Có thể tham khảo trường hợp liên quan: Vì sao Apple vô hiệu hóa mã hóa E2E ở Anh
    • Chính phủ có thể thay đổi định nghĩa về khủng bố bất cứ lúc nào
      Đừng quên rằng công dân hôm nay có thể trở thành “mối đe dọa” của ngày mai
    • Chủ thể có vấn đề không phải lập trình viên cá nhân mà là doanh nghiệp

  • Tôi đang dùng mã hóa toàn bộ ổ đĩa trên Linux
    Quên khóa thì sao? Cứ tạo ổ mới rồi khôi phục từ bản sao lưu là được
    Microsoft hay chính phủ Mỹ không có cách nào truy cập được tệp của tôi
    Windows không phải hệ thống vì an toàn của người dùng mà là vì an ninh của một chính quyền độc đoán

    • Nhưng chỉ mã hóa toàn bộ đĩa (FDE) thôi thì vẫn chưa đủ
      Vẫn còn dễ tổn thương trước camera, keylogger, sửa đổi bootloader, tấn công cold boot và nhiều thứ khác
    • Cũng có người hỏi: “Nếu quên khóa sao lưu thì sao?”
      Cuối cùng, quản lý bản sao lưu cũng quan trọng chẳng kém việc mã hóa
    • Nếu có thể mã hóa ổ đĩa của tôi từ bên ngoài mà không cần sự cho phép của tôi, thì đó không phải mã hóa thật
      Nó chỉ là lãng phí chu kỳ CPU
    • Điều này gợi nhớ đến bộ truyện tranh nổi tiếng XKCD 538
    • Tôi đồng cảm với quan điểm “Quyền riêng tư không phải là tội ác

  • Microsoft nói với Forbes rằng họ nhận khoảng 20 yêu cầu mỗi năm về việc cung cấp khóa khôi phục BitLocker
    Cách nói này khá thành thật, nhưng vì lý do đó tôi vẫn nghĩ chuyển sang Linux sẽ tốt hơn
    Nhất là nếu thường xuyên đi công tác nước ngoài thì càng nên như vậy
    Nếu đã cung cấp cho chính phủ Mỹ, khả năng cao là họ cũng đã cung cấp cho các chính phủ khác

    • Nhưng khi nhận lệnh pháp lý thì doanh nghiệp không có lựa chọn từ chối
    • Không thể khẳng định là đã cung cấp cho mọi chính phủ, nhưng xác suất đã cung cấp cho chính phủ khác là cao
    • Cũng có ý kiến cho rằng không nhất thiết phải chuyển sang Linux, chỉ cần tắt tính năng tải khóa lên là đủ

  • Với đa số người dùng, cấu hình mặc định của BitLocker là mức bảo mật hợp lý
    So với giám sát của chính phủ thì mất trộm laptop là mối đe dọa thực tế hơn nhiều
    Với người dùng doanh nghiệp, tải khóa lên không phải mặc định; cá nhân cũng có thể tắt nếu muốn

    • Trên thực tế, mất cắp hay thất lạc xảy ra thường xuyên hơn nhiều so với chính phủ nhắm tới bạn
      Sẽ tốt hơn nếu Microsoft thiết kế sao cho chính họ cũng không thể trực tiếp truy cập khóa, nhưng hiện tại như vậy vẫn còn tốt hơn là không có gì
    • Nhưng trong bối cảnh “chính phủ thù địch” đang ngày càng đến gần, thái độ chủ quan như vậy có thể rất nguy hiểm
      Nó lại gợi nhớ tới câu hỏi ngày xưa: “Nếu phát xít quay trở lại thì sao?”

  • UEFI và firmware có thể vẫn chấp nhận khóa của Microsoft thay vì khóa bảo mật do người dùng thay thế
    TPM cũng được bảo vệ bằng khóa do Intel hoặc AMD cung cấp, nên về lý thuyết vẫn tồn tại khả năng bên thứ ba truy cập
    Yubikey hay smart card cũng là phần cứng đóng, nên không thể xác minh hoạt động bên trong của chúng

  • Tôi coi trọng quyền riêng tư, nhưng trong vụ này thì đó là việc cung cấp dữ liệu có giới hạn theo lệnh khám xét hợp lệ
    Chỉ có thể truy cập khi họ đã nắm giữ ổ cứng vật lý
    So với những nỗ lực như Chat Control ở EU nhằm cho phép quét toàn bộ tin nhắn thì chuyện này hợp lý hơn nhiều

  • Có một ví dụ cho thấy điều gì xảy ra khi FBI không mở được laptop
    Vụ FBI xóa ổ cứng chứa số Bitcoin trị giá 345 triệu USD
    Lần tới họ có thể sao chép dữ liệu xong rồi xóa đi với lý do “giải mã thất bại”
    Trước đây từng có đặc vụ biển thủ Bitcoin, còn bây giờ biết đâu cấp trên sẽ trực tiếp đòi chia phần

  • Xét về quyền riêng tư, việc Microsoft tải khóa lên là một thiết kế gây lo ngại
    Nhưng cũng hẳn đã có hàng nghìn người dùng khôi phục được dữ liệu nhờ khóa khôi phục
    Sẽ tốt hơn nếu trong trình hướng dẫn cài đặt có màn hình lựa chọn rõ ràng như “Bạn có muốn mã hóa dữ liệu không?” và “Bạn có muốn có khả năng khôi phục không?”

  • Lại nghe câu “giờ mới thật sự là năm của Linux desktop
    Đây chính là lúc nên từ bỏ Windows

    • Tôi từng cố chuyển bố mẹ sang Linux, nhưng họ từ chối vì không có bản desktop của MS Office
      Tôi đã thử bản web, LibreOffice, OnlyOffice, thậm chí cả LaTeX, nhưng đều thất bại
      Bảo đổi sang macOS họ cũng không nghe
      Tôi ghét Office, nhưng bố mẹ tôi chỉ muốn “Microsoft Office xịn”
    • Nếu dùng Linux thì nên tránh họ Debian (Ubuntu/Mint)
      Từ “Stable” thực chất chỉ có nghĩa là cũ kỹ
      Tôi khuyên dùng Fedora — hoàn thiện tốt cho người dùng phổ thông mà không phức tạp như Arch