Windows 10, chiavi di cifratura salvate su OneDrive un problema per la sicurezza?

Nelle scorse ore si sta diffondendo un report, divulgato dallo stesso The Intercept che insieme ad Edward Snowden aveva acceso il dibattito contro la sorveglianza governativa, circa il salvataggio automatico della chiave di cifratura del disco su Windows 10. Non si tratta di qualcosa che non conoscevamo già visto che è una pratica che Microsoft ha utilizzato anche su Windows 8, e che ha confermato anche sul più recente sistema operativo.

I nuovi utenti che accedono ad un dispositivo Windows 10 (o Windows 8) utilizzando un account Microsoft effettuano una cifratura del disco, con la chiave che viene salvata automaticamente in cloud, su OneDrive. La preoccupazione sollevata da The Intercept nelle scorse ore è relativa proprio al fatto che il tutto avviene senza che l'utente faccia o confermi qualcosa, e spesso lo stesso utente nemmeno conosce l'esistenza di questa procedura.

Il meccanismo appena descritto è differente da BitLocker, che è disponibile solo nelle versioni Pro e Business di Windows 10 e richiede l'attivazione manuale dell'impostazione con l'utente che può scegliere dove salvare la chiave. Differentemente da quest'ultimo la cifratura "nativa" di Windows 10 è presente anche sulla versione Home ed è una vecchia conoscenza, come dicevamo poco sopra, di tutti gli utenti Windows 8.

Ma quanto è sicuro salvare la propria chiave di cifratura del disco in cloud? Il dilemma è il solito che vede contrapposti rischio potenziale e convenienza. Un dispositivo protetto da un algoritmo crittografico risulta inaccessibile senza la sua chiave. Viceversa, però, la chiave è totalmente inutile se non si ha l'accesso fisico allo stesso dispositivo. Se si perde la chiave, come su una cassaforte, si può dire addio a tutti i propri dati in caso di necessità di ripristino.

È proprio per questo che salvare la chiave di crittografia del disco su un servizio in cloud può avere parecchio senso, soprattutto per l'utente di massa che spesso non pone troppa attenzione a determinate questioni.

Questo non vuol dire che non ci siano problematiche con un approccio di questo tipo ed il problema principale è legato naturalmente alla sicurezza: una volta che la chiave di crittografia lascia il dispositivo originale può essere intercettata da terze parti, un cybercriminale o la stessa Microsoft. Bisogna comunque specificare che Microsoft dà la possibilità di eliminare permanentemente la chiave di cifratura dal proprio account OneDrive semplicemente seguendo questo indirizzo, anche se la procedura non garantisce che non sia già stata manomessa in qualche modo.

L'accusa che si può muovere a Microsoft è pertanto quella di non chiedere all'utente se effettuare (o meno) il backup in cloud durante la configurazione iniziale del dispositivo, un po' come fa Apple con il suo servizio di cifratura nativo FireVault. L'articolo suggerisce alcune operazioni per cancellare la chiave di cifratura del proprio disco su OneDrive, come ad esempio utilizzare BitLocker per decrittografare e poi crittografare di nuovo il dispositivo, rendendo quindi la chiave originale del tutto inutile e salvare la nuova solo in locale.

Si tratta di una procedura per fugare ogni dubbio, perché comunque lo ricordiamo che la chiave non ha alcuna utilità se non si ha accesso fisico al dispositivo.