NSA vangt Windows-encryptiesleutels

Het gaat om pc’s en tablets die niet zijn verbonden met een zogeheten domein. Domeinen zijn in beheerde bedrijfsomgevingen standaard, maar zijn niet van toepassing op reguliere consumentencomputers. Wanneer zo’n ‘domeinloos’ apparaat met Windows 8 (of 8.1) wordt gebruikt met een account voor Microsofts cloudomgeving (een zogeheten Microsoft-account) gaan de recovery-sleutels voor encryptie automatisch naar cloudopslagdienst OneDrive van Microsoft. Dit geldt ook voor smartphones met Windows Phone. Deze cloudback-up van encryptiesleutels dient om gebruikers toch toegang te bieden tot hun versleutelde gegevens wanneer bijvoorbeeld de betreffende pc, tablet of smartphone niet meer goed functioneert.

Klokkenluiderssite Cryptome meldt nu dat niet alleen de encryptiesleutels standaard staan opgeslagen in OneDrive maar ook dat de NSA daar toegang toe heeft. De Amerikaanse inlichtingendienst heeft volgens uitgelekte documenten OneDrive (voorheen Skydrive geheten) standaard gekoppeld aan zijn informatievergaringssysteem PRISM. De data van Microsofts cloudopslag wordt sinds begin 2013 verzameld door de NSA.

Data-analisten van de NSA hoeven daardoor voor OneDrive-gegevens niet langer speciale verzoeken in te dienen bij de SSO-tak (Special Source Operations) van de inlichtingendienst, vermeldt een intern NSA-document. “Dit succes is het resultaat van de FBI die maandenlang heeft samengewerkt met Microsoft om deze ‘tasking and collection solution’ voor elkaar te krijgen”, valt er verder te lezen. Eerder zijn er al berichten geweest dat Microsoft actief zou hebben meegewerkt aan Amerikaanse overheidssurveillance.

De Cryptome-onthulling over NSA-toegang tot Windows-encryptiesleutels volgt op ophef over het feit dat de nieuwste versie van Apple’s Mac-besturingssysteem documenten automatisch uploadt naar zijn iCloud. Mac OS X Yosemite (versie 10.10) doet dit van zichzelf voor documenten die zijn aangemaakt of geopend in applicaties als TextEdit, Preview en Keynote, ook als de gebruiker die documenten sluit zonder ze zelf op te slaan. De standaard opslaglocatie voor bestanden valt wel aan te passen. Via de GUI van Mac OS X moet dat dan per keer in elke app die iCloud-synchronisatie verzorgt, maar het valt via de commandline ook systeembreed op te leggen. Voor Windows verwijst Cryptome nog naar een methode om OneDrive geheel uit te schakelen.