Microsoft cung cấp khóa mã hóa dữ liệu Windows PC khi FBI yêu cầu

 (windowscentral.com)
3 điểm bởi GN⁺ 2026-01-25 | 1 bình luận | Chia sẻ qua WhatsApp
  • Windows 11 bắt buộc liên kết tài khoản Microsoft, khiến khóa mã hóa BitLocker tự động được sao lưu lên đám mây
  • Microsoft xác nhận sẽ cung cấp khóa này cho FBI nếu có lệnh pháp lý hợp lệ, cho phép giải mã và truy cập dữ liệu trên PC
  • Trên thực tế, trong quá trình điều tra gian lận trợ cấp thất nghiệp tại Guam năm 2025, đã có trường hợp FBI nhận khóa BitLocker từ Microsoft để mở khóa thiết bị
  • Microsoft cho biết họ nhận khoảng 20 yêu cầu cung cấp khóa mỗi năm, nhưng phần lớn không thể phản hồi vì khóa không được tải lên đám mây
  • Có chỉ trích rằng khóa đã tải lên tồn tại ở phía đám mây trong trạng thái không được mã hóa, làm dấy lên rủi ro lớn đối với quyền riêng tư của người dùng

Cấu trúc tài khoản trên Windows 11 và sao lưu khóa BitLocker

  • Windows 11 ép sử dụng tài khoản Microsoft làm mặc định, và khóa khôi phục BitLocker được tự động gắn với tài khoản này
    • Khi liên kết tài khoản, khóa sẽ được lưu trên đám mây của Microsoft mà không cần thiết lập riêng
    • Đây là tính năng được thiết kế để người dùng có thể khôi phục dữ liệu khi gặp sự cố mở khóa
  • Người dùng có thể tắt tính năng này và lưu khóa trong bộ nhớ cục bộ, nhưng mặc định vẫn là tải lên đám mây

Trường hợp cung cấp khóa mã hóa khi FBI yêu cầu

  • Trong tuyên bố chính thức với Forbes, Microsoft xác nhận rằng họ sẽ cung cấp khóa BitLocker cho FBI nếu có lệnh pháp lý hợp lệ
    • Khóa này cho phép giải mã và truy cập dữ liệu trên thiết bị Windows
  • Theo bài viết của Forbes, trong cuộc điều tra gian lận trợ cấp thất nghiệp diễn ra tại Guam vào đầu năm 2025, FBI đã nhận khóa từ Microsoft và truy cập thành công thiết bị
    • Thiết bị đó có khóa BitLocker được lưu trên đám mây

Lập trường của Microsoft và quy mô yêu cầu hằng năm

  • Người phát ngôn của Microsoft, Charles Chamberlayne, cho biết: “Khôi phục khóa thì tiện lợi nhưng cũng có nguy cơ bị truy cập ngoài ý muốn, và khách hàng nên tự quyết định cách thức quản lý”
  • Microsoft cho biết họ nhận khoảng 20 yêu cầu khóa BitLocker từ FBI mỗi năm
    • Tuy nhiên trong phần lớn trường hợp, khóa không được tải lên đám mây nên không thể cung cấp

So sánh với các công ty công nghệ khác

  • Apple từng từ chối cho cơ quan thực thi pháp luật truy cập dữ liệu được mã hóa
    • Trước đây, khi FBI yêu cầu cung cấp backdoor cho iPhone, Apple đã công khai từ chối
  • Một số công ty như Meta sử dụng cấu trúc zero-knowledge, mã hóa để ngay cả phía máy chủ cũng không thể nhìn thấy khóa

Lo ngại về quyền riêng tư và hành động của người dùng

  • Khóa BitLocker được tải lên đám mây của Microsoft được lưu mà không có mã hóa phía máy chủ, nên tồn tại nguy cơ xâm phạm quyền riêng tư
  • Người dùng có thể kiểm tra liệu thiết bị của mình có đang lưu khóa trên máy chủ Microsoft hay không tại trang web tài khoản Microsoft
    • Trang này cũng cung cấp tùy chọn xóa khóa
  • Bài viết mô tả tình huống này là “cơn ác mộng về quyền riêng tư”, đồng thời nhấn mạnh rằng người dùng nên cân nhắc lại việc sao lưu lên đám mây

Bài viết liên quan

1 bình luận

 
GN⁺ 2026-01-25
Ý kiến trên Hacker News

  • Tiêu đề bài viết gây hiểu lầm
    Thực tế, Forbes ghi rõ rằng Microsoft không đơn thuần cung cấp khóa khi được yêu cầu, mà chỉ cung cấp khi nhận được lệnh pháp lý hợp lệ (valid legal order)
    Microsoft có thể từ chối yêu cầu thông thường từ cơ quan thực thi pháp luật, nhưng nếu từ chối lệnh pháp lý thì có thể bị xử lý hình sự
    Tuy vậy, việc Microsoft mặc định có thể truy cập khóa của người dùng vẫn là một lỗ hổng bảo mật nghiêm trọng

    • Có vẻ bạn chưa đọc kỹ. Những câu chữ kiểu này luôn được viết rất cẩn trọng, nên điều quan trọng hơn là đọc ra những gì không được nói đến
      “legal order” là một khái niệm rất rộng, từ trát đòi hành chính cho đến lệnh khám xét tư pháp. Còn “request” đơn thuần thì không có hiệu lực pháp lý
      Microsoft cho biết mỗi năm nhận khoảng 20 yêu cầu và phản hồi dưới 9 trường hợp. Apple nhận nhiều yêu cầu hơn và cũng phản hồi thường xuyên hơn (Báo cáo minh bạch của Apple)
      Việc người phát ngôn Microsoft xuất hiện trong bài Forbes lại là một tư vấn viên truyền thông khủng hoảng bên ngoài cũng khá kỳ lạ
    • Vấn đề trở nên phức tạp vì Microsoft hoạt động trong nhiều khu vực tài phán pháp lý khác nhau
      Một số quốc gia cho rằng luật của họ có hiệu lực trên toàn thế giới. Trong tình huống như vậy, để Microsoft có thể đáp ứng mọi yêu cầu từ các nước, sẽ cần có sự tách biệt pháp lý với từng quốc gia cụ thể
    • Cần lưu ý rằng “legal order” không đồng nghĩa với “warrant”
      Một số cơ quan chính phủ cho rằng theo hướng dẫn nội bộ, họ có thể bắt giữ hoặc giam giữ công dân mà không cần lệnh khám xét
    • Không có gì đảm bảo FBI không có người phạm pháp, cũng như nhân viên Microsoft không thể được tin tưởng tuyệt đối
    • Động thái lần này của Microsoft không phải là nhu cầu kỹ thuật mà là một biện pháp phòng ngừa pháp lý
      Nếu họ áp dụng mã hóa đầu cuối thực sự, thì có thể đơn giản trả lời cơ quan thực thi pháp luật rằng “không thể”

  • Bỏ qua tranh cãi về kiến trúc mã hóa, tôi không hiểu tại sao lại nghĩ Microsoft có thể từ chối yêu cầu pháp lý
    Nếu pháp luật có thể buộc nộp bằng chứng, thì làm sao lại có thể tạo ra một quy định kiểu “vì nghĩa vụ hợp đồng nên có thể không tuân thủ”?

    • Microsoft lẽ ra có thể yêu cầu người dùng đồng ý trước khi tải khóa mã hóa lên đám mây
      Nhưng trong quá trình thiết lập Windows, họ ép dùng tài khoản Microsoft và tự động tải khóa lên
    • Trong trường hợp này nên yêu cầu warrant chứ không chỉ là subpoena đơn thuần
    • Windows 11 loại bỏ tài khoản cục bộ và mặc định gửi khóa cho Microsoft
      Với các hệ thống như LUKS thì điều này không xảy ra, và đây là một thất bại bảo mật
      Có lẽ mục tiêu là giúp khôi phục dễ hơn khi người dùng quên mật khẩu, nhưng kết quả lại là một cấu trúc mà bất kỳ ai cũng có thể lạm dụng
    • Hoàn toàn có đủ các phương án kỹ thuật khác, chẳng hạn mã hóa khóa BitLocker bằng mật khẩu của người dùng

  • Tự do thực sự bắt đầu từ một không gian mà ta có thể suy nghĩ một cách an toàn
    Khi xã hội giám sát lan rộng, con người không còn có thể thoải mái suy nghĩ hay bày tỏ nữa
    Lập luận “nếu không có gì để giấu thì không sao” thực ra lại làm teo tóp khả năng tư duy tự do
    Quyền lực nhà nước về dài hạn là thứ không thể tin cậy, và công nghệ mã hóa là công cụ cốt lõi để bảo vệ tư duy tự do

    • Tôi cũng hiểu cảm giác đó. Là một người nhập cư hợp pháp, tôi từng chỉ vì nhìn thấy một bức ảnh áo thun bầu cử nhận được như trò đùa trong iCloud mà phải nghĩ xem có nên xóa không
      Tôi sợ ai đó ở cửa khẩu nhìn thấy tấm ảnh ấy rồi gây bất lợi cho mình
      Khi kiểu tự kiểm duyệt này tích tụ lại, tự do sẽ biến mất. Cảm giác như quay lại thời Liên Xô

  • Không phải để bênh Microsoft, nhưng với người dùng phổ thông thì thiết lập mặc định có thể là hợp lý
    Dù vậy, người dùng phải có quyền từ chối lưu khóa trên đám mây (opt-out) ngay từ đầu
    Trên Intel Panther Lake, BitLocker dự kiến sẽ được tăng tốc hoàn toàn bằng phần cứng trên SoC chuyên dụng, nên các điểm yếu của mã hóa toàn bộ ổ đĩa (FDE) sẽ giảm bớt
    Nhưng vẫn còn nhiều chỗ cần cải thiện

    • Trong lúc thiết lập, cho phép tùy chọn lưu khóa khôi phục trực tuyến
    • Cho phép chọn FDE dựa trên TPM hoặc dựa trên mật khẩu
    • Đổi KDF sang thuật toán memory-hard
    • Bỏ giới hạn PIN 20 ký tự và cho phép kết hợp chữ cái + số
    • Kích hoạt mã hóa tham số TPM
    • Nhưng cũng có ý kiến lo ngại chip Intel có thể chứa backdoor

  • Khi có yêu cầu pháp lý, Microsoft không còn lựa chọn nào khác ngoài đáp ứng
    Thiết kế của BitLocker ngay từ đầu đã nhằm cho phép doanh nghiệp quản lý thiết bị từ xa
    Ví dụ khi nhân viên bị sa thải hoặc làm mất laptop, công ty phải có khả năng mở khóa trực tiếp
    Cấu trúc như vậy không phải mới, và họ phản hồi mọi yêu cầu từ chính phủ theo cùng một cách, dù là FBI, Trung Quốc hay châu Âu

    • Có khả năng các cơ quan của Mỹ sẽ có ảnh hưởng lớn hơn trong việc tiếp cận dữ liệu toàn cầu

  • Nếu ai đó bị bắt, cảnh sát có thể dùng warrant để khám xét nhà
    Vậy dữ liệu số có nên được cho phép truy cập ở mức tương đương với chứng cứ vật lý hay không?
    Sự khác biệt giữa “yêu cầu” và “lệnh pháp lý”, cùng với cách diễn giải luật không thống nhất tại Mỹ, là trọng tâm của tranh cãi
    Trong không gian số, có cần quyền riêng tư tuyệt đối không, hay nên có một điểm cân bằng ở giữa?

    • Nhân tiện thì subpoena là lệnh triệu tập, không phải lệnh khám xét
    • Một “nhà nước giám sát thiện chí” có thực sự xấu không? Nếu mục tiêu là ngăn ngừa tội phạm, thì có thể an toàn công cộng quan trọng hơn quyền riêng tư

  • Nếu người dùng không trực tiếp dùng mật khẩu hoặc thiết bị khóa để mở khóa ổ đĩa, thì bí mật đó đang tồn tại ở một nơi nào khác
    Điều đó có nghĩa là bên thứ ba có khả năng truy cập
    Vấn đề là người dùng không nhận thức rõ điều đó

  • Theo Third Party Doctrine (học thuyết bên thứ ba), Microsoft thậm chí có thể cung cấp dữ liệu mà không cần lệnh pháp lý
    Đây chỉ là thông lệ và hoàn toàn có thể thay đổi bất cứ lúc nào
    Trong thực tế khi chúng ta dùng vô số dịch vụ của bên thứ ba hằng ngày, học thuyết này nên bị bãi bỏ
    (Wiki về Third-party doctrine)

    • Nhưng trong trường hợp BitLocker, vẫn có nghi vấn liệu có thể coi người dùng đã tự nguyện cung cấp thông tin hay không

  • Tiêu đề bài viết viết là “cung cấp khi được yêu cầu”, nhưng nội dung thực tế là “cung cấp khi có lệnh pháp lý hợp lệ
    Nói cách khác, đây chỉ là clickbait

    • Điểm cốt lõi là Microsoft đang giữ khóa của người dùng và có nghĩa vụ phải cung cấp khi cần
    • Tình huống lý tưởng là Microsoft được thiết kế theo cách mà về mặt kỹ thuật họ không thể cung cấp khóa
    • Cũng có ý kiến cho rằng cách diễn đạt “được yêu cầu” bản thân nó không có vấn đề gì

  • Khuyên dùng VeraCrypt (veracrypt.io)

    • Tiền thân của nó là TrueCrypt từng đột ngột ngừng phát triển và khuyến nghị chuyển sang BitLocker, nhưng đến nay vẫn còn nhiều nghi vấn về bối cảnh phía sau
    • Có người nói ngày tồi tệ của Microsoft là ngày tốt lành của Linux rồi chia sẻ liên kết đến nhiều bản phân phối
      Linux Mint, Ubuntu, Arch Linux, Kali Linux, Fedora