ABD’de geçen yılın başlarında FBI, Microsoft’a bir arama emri sunarak üç dizüstü bilgisayarda depolanan şifreli verilerin kilidini açmak için kurtarma anahtarlarını talep etti. Guam’daki müfettişler, bu cihazların adanın Covid işsizlik yardım programını yürüten kişilerin fonları çalmaya yönelik bir planın parçası olduklarını kanıtlamaya yardımcı olacak deliller içerdiğine inanıyordu. Veriler, birçok modern Windows bilgisayarda, sabit diskteki tüm verileri korumak için otomatik olarak etkinleştirilen BitLocker yazılımıyla korunuyordu. BitLocker, verileri yalnızca bir anahtara sahip olanların çözebileceği şekilde koruyor.
Kullanıcıların bu anahtarları sahip oldukları bir cihazda saklamaları mümkün ancak Microsoft kolaylık sağlaması için BitLocker kullanıcılarına anahtarlarını kendi sunucularında saklamalarını da öneriyor. Bu, kullanıcı parolasını unuttuğunda ya da tekrar tekrar başarısız giriş denemeleri cihazı kilitlediğinde verilere erişimi mümkün kılsa da aynı zamanda onları kolluk kuvvetlerinin celp ve arama emirlerine karşı savunmasız hale getirir.
Yasal karar çıktığında anahtarlar veriliyor
Guam davasında Microsoft, şifreleme anahtarlarını soruşturmacılara teslim etti. Microsoft, Forbes’a BitLocker kurtarma anahtarlarını geçerli bir yasal emir aldığında sağladığını doğruladı. Microsoft sözcüsü Charles Chamberlayne, “Anahtar kurtarma kolaylık sağlar, ancak istenmeyen erişim riski de taşır; bu nedenle Microsoft, müşterilerin anahtarlarını nasıl yöneteceklerine karar verme konusunda en iyi konumda olduklarına inanıyor” dedi.
Chamberlayne, şirketin yılda yaklaşık 20 BitLocker anahtarı talebi aldığını ve birçok durumda kullanıcının anahtarını bulutta saklamadığını, bu yüzden Microsoft’un yardımcı olmasının imkansız olduğunu söyledi. Guam davası, Washington eyaletinin Redmond kentinde bulunan şirketin kolluk kuvvetlerine herhangi bir şifreleme anahtarı sağladığı bilinen ilk vaka. 2013’te bir Microsoft mühendisi, hükümet yetkilileri tarafından BitLocker’a arka kapı yerleştirmesi için kendisine ulaşıldığını ancak bu talepleri reddettiğini iddia etmişti.
ABD’de tartışma yarattı
ABD Senatörü Ron Wyden, Forbes’a yaptığı açıklamada, “Teknoloji şirketlerinin, kullanıcıların şifreleme anahtarlarını gizlice teslim etmelerine olanak tanıyacak şekilde ürünler göndermesi açıkça sorumsuzluktur. ICE ya da diğer Trump yandaşlarının bir kullanıcının şifreleme anahtarlarını gizlice elde etmesine izin vermek, onlara o kişinin tüm dijital yaşamına erişim sağlamak anlamına gelir ve kullanıcıların ve ailelerinin kişisel güvenliğini ve emniyetini riske atar” dedi.
Bu sadece ABD’deki bir sorun değil. ACLU’da gözetim ve siber güvenlik danışmanı olan Jennifer Granick, insan hakları sicili tartışmalı yabancı hükümetlerin de Microsoft gibi teknoloji devlerinden veri talep ettiğine dikkat çekti. “Şifre çözme anahtarlarının uzaktan depolanması oldukça tehlikeli olabilir” dedi.
Diğer şirketler karşı çıktı
Kolluk kuvvetleri, teknoloji devlerinden düzenli olarak şifreleme anahtarları sağlamalarını, arka kapı erişimi uygulamalarını ya da güvenliği başka yollarla zayıflatmalarını istiyor. Ancak diğer şirketler bunu reddetti. Özellikle Apple, bulutunda ya da cihazlarında bulunan şifreli verilere erişim için defalarca talep aldı. 2016’da hükümetle yaşanan ve büyük yankı uyandıran bir karşılaşmada Apple, Kaliforniya’nın San Bernardino kentinde 14 kişiyi öldüren teröristlere ait telefonların açılmasına yardımcı olmasını isteyen FBI emrine karşı çıktı. Sonunda FBI, iPhone’lara sızmak için bir yüklenici buldu.
Gizlilik ve şifreleme uzmanları Forbes’a, tüketicilerin kişisel cihazları ve verileri için daha güçlü koruma sağlamanın sorumluluğunun Microsoft’ta olması gerektiğini söyledi. Apple, benzer FileVault ve Parolalar sistemleriyle, Meta’nın WhatsApp mesajlaşma uygulaması da kullanıcıların verilerini yedekleyip anahtarı bulutta saklamasına izin veriyor. Ancak her ikisi de kullanıcının anahtarı bulutta şifreli bir dosya içinde saklamasına olanak tanıyor; bu da kolluk kuvvetlerinin bu anahtarı talep etmesini anlamsız hale getiriyor. Geçmişte hiçbirinin herhangi bir şifreleme anahtarı teslim ettiği bildirilmedi.
“Bunu yapmayan tek şirket Microsoft”
Johns Hopkins Üniversitesi Bilgi Güvenliği Enstitüsü’nde kriptografi uzmanı ve doçent olan Matt Green, “Bu özel bir bilgisayardaki özel veridir ve bu verilere erişimi ellerinde tutmayı mimari bir tercih olarak yaptılar. Bunu kesinlikle kullanıcıya ait bir şey gibi ele almalılar. Apple yapabiliyorsa, Google yapabiliyorsa, Microsoft da yapabilir. Bunu yapmayan tek şirket Microsoft” diye konuştu.
Granick, FBI ajanlarının BitLocker ile korunan verilere erişmesi durumunda elde edebileceği bilginin kapsamına ilişkin endişelerini dile getirdi. “Anahtarlar, hükümete çoğu suçun zaman aralığının çok ötesindeki bilgilere, sabit diskteki her şeye erişim sağlar,” dedi. “Sonra ajanların yalnızca yetkilendirilmiş soruşturmayla ilgili bilgilere baktıklarına ve bu fırsatı kurcalamak için kullanmadıklarına güvenmek zorunda kalıyoruz.”
Guam davasında, mahkeme kayıtları arama emrinin başarıyla uygulandığını gösteriyor. Suçsuz olduğunu beyan eden sanık Charissa Tenorio’nun avukatı, davanın savcıları tarafından kendisine sağlanan bilgilerin müvekkilinin bilgisayarından alınan verileri içerdiğini ve bunların arasında Microsoft’un FBI’a verdiği BitLocker anahtarlarına atıflar bulunduğunu söyledi. Dava devam ediyor.
Hem Green hem de Granick, Microsoft’un kullanıcıların bir USB bellek gibi bir donanım parçasına anahtar yüklemesine izin verebileceğini, bunun bir yedek ya da kurtarma anahtarı görevi göreceğini söyledi. Microsoft bu seçeneğe izin veriyor ancak bu ayar Windows bilgisayarlarda BitLocker için varsayılan olarak gelmiyor.
Microsoft’tan alınan şifreleme anahtarları olmadan FBI, bilgisayarlardan işe yarar herhangi bir veri elde etmekte zorlanacaktı. Forbes’un geçmiş davalara ilişkin incelemesine göre, BitLocker’ın şifreleme algoritmaları önceki kolluk kuvveti girişimlerine karşı aşılamaz olduğunu kanıtladı. 2025’in başlarında ICE’in İç Güvenlik Soruşturmaları biriminde görevli bir adli bilişim uzmanı, mahkeme belgesinde kurumunun “Microsoft BitLocker ile ya da başka herhangi bir tür şifreleme ile şifrelenmiş cihazlara girmek için adli araçlara sahip olmadığını” yazdı. Önceki bir davada ise müfettişler, bir şüphelinin anahtarları şifrelenmemiş sürücülerde sakladığını keşfederek anahtarlara ulaşmıştı.