MS, FBI talep ettiğinde Windows PC veri şifreleme anahtarlarını sağlıyor

 (windowscentral.com)
3 puan yazan GN⁺ 2026-01-25 | 1 yorum | WhatsApp'ta paylaş
  • Windows 11, Microsoft hesabı bağlantısını zorunlu kılıyor ve bunun sonucunda BitLocker şifreleme anahtarı otomatik olarak buluta yedekleniyor
  • Microsoft, yasal bir emir olduğunda ilgili anahtarı FBI’a vereceğini doğruladı; bu da PC verilerinin şifresinin çözülmesini ve erişilmesini mümkün kılıyor
  • Nitekim 2025’te Guam’daki işsizlik yardımı dolandırıcılığı soruşturması sırasında FBI’ın Microsoft’tan BitLocker anahtarını alıp cihazın kilidini açtığı bir vaka bulunuyor
  • Microsoft, yılda yaklaşık 20 anahtar talebi aldığını, ancak çoğu durumda anahtarlar buluta yüklenmediği için yanıt veremediğini söylüyor
  • Yüklenen anahtarların bulut tarafında şifrelenmemiş durumda bulunması nedeniyle kullanıcı gizliliği açısından riskin büyük olduğu eleştirisi yapılıyor

Windows 11’in hesap yapısı ve BitLocker anahtar yedekleme

  • Windows 11, Microsoft hesabı kullanımını varsayılan olarak zorunlu kılıyor ve bu hesaba BitLocker kurtarma anahtarı otomatik olarak bağlanıyor
    • Kullanıcı, hesap bağlantısı sırasında ek bir ayar yapmadan anahtarın Microsoft bulutunda saklanmasına yol açıyor
    • Bu, kilit açma sorunları yaşandığında kullanıcının verilerini kurtarabilmesi için tasarlanmış bir özellik
  • Kullanıcılar bu özelliği devre dışı bırakıp anahtarı yerel depolamada saklayabilir, ancak varsayılan ayar buluta yükleme yönünde

FBI talebinde şifreleme anahtarı sağlanan vakalar

  • Microsoft, Forbes’a yaptığı resmi açıklamada, geçerli bir yasal emir olduğunda FBI’a BitLocker anahtarını verdiğini doğruladı
    • Bu anahtar, Windows cihazındaki verilerin şifresinin çözülmesini ve erişilmesini sağlıyor
  • Forbes haberine göre, 2025’in başında Guam’da yürütülen işsizlik yardımı dolandırıcılığı soruşturmasında FBI, Microsoft’tan anahtarı alarak cihaza erişmeyi başardı
    • Söz konusu cihazın BitLocker anahtarı bulutta saklanıyordu

Microsoft’un tutumu ve yıllık talep hacmi

  • Microsoft sözcüsü Charles Chamberlayne, “Anahtar kurtarma kullanışlıdır ancak istenmeyen erişim riski taşır; müşteriler yönetim yöntemine kendileri karar vermelidir” dedi
  • Microsoft, FBI’dan yılda yaklaşık 20 BitLocker anahtarı talebi aldığını açıkladı
    • Ancak çoğu durumda anahtar buluta yüklenmediği için sağlanması mümkün olmuyor

Diğer teknoloji şirketleriyle karşılaştırma

  • Apple, kolluk kuvvetlerinin taleplerine rağmen şifrelenmiş verilere erişim sağlamayı reddettiği örneklerle biliniyor
    • Geçmişte FBI, iPhone için bir arka kapı talep ettiğinde Apple bunu kamuoyu önünde reddetmişti
  • Meta gibi bazı şirketler ise zero-knowledge yapısı kullanarak anahtarların sunucu tarafında da görülememesini sağlıyor

Gizlilik endişeleri ve kullanıcıların alabileceği önlemler

  • Microsoft bulutuna yüklenen BitLocker anahtarlarının sunucu tarafı şifrelemesi olmadan saklanması, gizlilik ihlali riski yaratıyor
  • Kullanıcılar, kendi cihazlarının anahtarı Microsoft sunucularında saklayıp saklamadığını Microsoft hesap web sitesinden kontrol edebilir
    • İlgili sayfada anahtarı silme seçeneği de sunuluyor
  • Haberde bu durum “gizlilik kâbusu” olarak tanımlanıyor ve kullanıcıların bulut yedeklemeyi yeniden değerlendirmesi gerektiği vurgulanıyor

İlgili okumalar

1 yorum

 
GN⁺ 2026-01-25
Hacker News yorumları

  • Haber başlığı yanıltıcı
    Aslında Forbes yazısında, Microsoft'un anahtarları sadece istenirse verdiği değil, yalnızca geçerli bir yasal emir (valid legal order) aldığında verdiği açıkça belirtiliyor
    Kolluk kuvvetlerinin sıradan bir talebi reddedilebilir, ancak yasal bir emri reddetmek cezai yaptırımlara yol açabilir
    Yine de Microsoft'un varsayılan olarak kullanıcı anahtarlarına erişebilmesi büyük bir güvenlik açığı anlamına geliyor

    • Sanırım metni yeterince dikkatli okumadın. Bu tür ifadeler her zaman özenle yazılır; bu yüzden asıl önemli olan, neyin söylenmediğini okumaktır
      “legal order”, idari celpten yargı kararıyla çıkan arama emrine kadar geniş bir kavramdır. Sıradan bir “talep (request)”in yasal bağlayıcılığı yoktur
      Microsoft'un yılda yaklaşık 20 talep aldığı ve bunların en fazla 9'una yanıt verdiği söyleniyor. Apple daha fazla talep alıyor ve daha sık yanıt veriyor (Apple şeffaflık raporu)
      Forbes yazısında yer alan Microsoft sözcüsünün dışarıdan bir kriz iletişimi danışmanı olması da garip
    • Microsoft birden fazla hukuki yargı alanında faaliyet gösterdiği için mesele karmaşıklaşıyor
      Bazı ülkeler kendi hukuklarının küresel ölçekte geçerli olduğunu iddia ediyor. Bu durumda Microsoft'un her ülkenin talebini karşılaması için belirli ülkelerle hukuki ayrışma gerekebilir
    • “legal order”ın “warrant (arama emri)” ile aynı şey olmadığına dikkat etmek gerekir
      Bazı devlet kurumları, iç yönergelerine dayanarak vatandaşları arama emri olmadan da gözaltına alabileceklerini ve tutabileceklerini öne sürüyor
    • FBI'ın suçlu olmayacağının garantisi olmadığı gibi, Microsoft çalışanlarına da tamamen güvenilemez
    • Microsoft'un bu hamlesi teknik bir gereklilik değil, hukuki bir önlemdi
      Gerçek uçtan uca şifreleme uygulanmış olsaydı, kolluk kuvvetlerinin taleplerine basitçe “bu teknik olarak mümkün değil” denebilirdi

  • Şifreleme mimarisi tartışmasını bir kenara bırakırsak, Microsoft'un yasal talepleri reddedebileceğini düşünmek bana mantıklı gelmiyor
    Hukuken delil sunması istenebilirken, “sözleşmesel yükümlülük nedeniyle uymayabilir” diyen bir yasa nasıl yapılabilir?

    • Microsoft, kullanıcılardan şifreleme anahtarlarını buluta yüklemeden önce onay isteyebilirdi
      Ama Windows kurulum sürecinde Microsoft hesabı kullanımı fiilen dayatılıyor ve anahtarlar otomatik olarak yükleniyor
    • Bu gibi durumlarda sıradan bir subpoena (mahkeme celbi) değil, warrant (arama emri) aranmalı
    • Windows 11 yerel hesapları ortadan kaldırıyor ve varsayılan olarak anahtarları Microsoft'a gönderiyor
      LUKS gibi sistemlerde böyle bir şey olmaz; bu bir güvenlik başarısızlığıdır
      Amaç, kullanıcı parolasını unuttuğunda kurtarmayı kolaylaştırmak olabilir; ancak sonuçta herkesin kötüye kullanabileceği bir yapı ortaya çıkıyor
    • BitLocker anahtarını kullanıcı parolasıyla şifrelemek gibi başka teknik alternatifler gayet mümkün

  • Gerçek özgürlük, güvenle düşünebileceğin bir alanda başlar
    Gözetim toplumu yayıldıkça insanlar artık rahatça düşünemez ve kendini ifade edemez hale geliyor
    “Saklayacak bir şeyin yoksa sorun yok” mantığı aslında özgür düşünceyi bastırıyor
    Devlet gücüne uzun vadede güvenilemez ve şifreleme teknolojisi, özgür düşünceyi korumanın temel araçlarından biridir

    • Ben de bu duyguyu anlıyorum. Yasal göçmen biri olarak, sırf şaka diye aldığım seçim tişörtünün fotoğrafını iCloud'da görünce silsem mi diye düşündüm
      Sınırda birinin o fotoğrafı görüp bana sorun çıkaracağından korktum
      Böyle oto-sansür biriktikçe özgürlük kaybolur. Sanki Sovyet dönemine dönmüşüz gibi

  • Microsoft'u savunmak istemem ama ortalama kullanıcı açısından varsayılan ayarlar makul olabilir
    Yine de kullanıcının en başta bulutta anahtar saklamayı reddedebilmesi (opt-out) gerekir
    Intel Panther Lake'te BitLocker'ın özel bir SoC ile tamamen donanımsal olarak hızlandırılması planlanıyor; bu da tam disk şifreleme (FDE) açıklarını azaltabilir
    Ama hâlâ geliştirilebilecek noktalar var

    • Kurulum sırasında çevrimiçi kurtarma anahtarı saklamaya isteğe bağlı izin verilmesi
    • TPM tabanlı veya parola tabanlı FDE arasında seçim yapılabilmesi
    • KDF'nin bellek yoğun (memory-hard) bir algoritmaya geçirilmesi
    • PIN sınırının (20 karakter) kaldırılması ve harf+rakam kombinasyonuna izin verilmesi
    • TPM parametre şifrelemesinin etkinleştirilmesi
    • Ancak Intel çiplerinde arka kapı olabileceğinden endişe edenler de var

  • Yasal bir talep geldiğinde Microsoft'un uymaktan başka seçeneği yok
    BitLocker'ın tasarımı zaten şirketlerin cihazları uzaktan yönetebilmesine uygun şekilde yapılmış
    Bir çalışan işten çıkarıldığında veya dizüstü bilgisayarını kaybettiğinde, şirketin cihazın kilidini kendisinin açabilmesi gerekir
    Bu tür bir yapı yeni değil; FBI, Çin ya da Avrupa fark etmeksizin tüm devlet taleplerine aynı şekilde yanıt veriliyor

    • ABD kurumlarının küresel veri erişimi üzerinde daha büyük etkiye sahip olma ihtimali var

  • Biri tutuklandığında polis arama emri (warrant) ile evi arayabilir
    Dijital verilere de fiziksel delillerle aynı düzeyde erişim tanınmalı mı?
    “Talep” ile “yasal emir” arasındaki ifade farkı ve ABD içindeki farklı hukuk yorumları tartışmanın merkezinde yer alıyor
    Dijital alanda tam mahremiyet mi gerekli, yoksa bir orta yol olabilir mi sorusu öne çıkıyor

    • Bu arada subpoena, arama emri değil, mahkemeye gelme emridir
    • “İyi niyetli bir gözetim devleti” gerçekten kötü mü? Amaç suçu önlemekse mahremiyetten çok kamu güvenliği daha önemli olabilir

  • Kullanıcı diskin kilidini açarken parola ya da anahtar cihazı bizzat kullanmıyorsa, bu sır başka bir yerde var demektir
    Yani üçüncü bir tarafın erişim ihtimali vardır
    Sorun, kullanıcının bunun açıkça farkında olmamasıdır

  • Third Party Doctrine'e (Üçüncü Taraf Doktrini) göre Microsoft verileri yasal emir olmadan da sağlayabilir
    Bu sadece bir teamüldür ve her an değişebilir
    Günlük hayatta sayısız üçüncü taraf hizmet kullandığımız düşünülürse, bu ilkenin kaldırılması gerekir
    (Third-party doctrine wiki)

    • Ancak BitLocker örneğinde, kullanıcının bu bilgiyi gerçekten gönüllü olarak verdiği söylenebilir mi, bu tartışmalı

  • Başlıkta “talep edilirse veriliyor” deniyor ama asıl içerik “geçerli bir yasal emir olduğunda veriliyor” şeklinde
    Yani başlık düpedüz clickbait

    • Asıl mesele, Microsoft'un kullanıcı anahtarlarını elinde tutması ve gerektiğinde bunları vermek zorunda olması
    • İdeal olan, Microsoft'un teknik olarak bu anahtarları veremeyeceği şekilde tasarım yapılmasıdır
    • “Talep edildi” ifadesinin kendi başına sorunlu olmadığını düşünenler de var

  • VeraCrypt öneriliyor (veracrypt.io)

    • Önceki proje olan TrueCrypt aniden sonlandırılmış ve BitLocker'a geçiş önerilmişti; bunun arka planı hâlâ soru işaretleri taşıyor
    • “Microsoft'un kötü günü, Linux'un iyi günü” denilerek çeşitli dağıtım bağlantıları paylaşılıyor
      Linux Mint, Ubuntu, Arch Linux, Kali Linux, Fedora