Chybná aktualizace Windows může způsobit ztrátu dat při použití šifrování Bitlocker

Aktualizace Windows 10 a Windows 11 z října 2024 způsobují na části zařízení nečekané zobrazení obrazovky pro obnovení BitLockeru. Kdo nemá zálohu obnovovacího klíče, může přijít o veškerá data na disku trvale.

Co je BitLocker a jak funguje

BitLocker je šifrovací nástroj zabudovaný přímo do Windows. Zašifruje celý obsah disku tak, aby byl nečitelný pro kohokoli, kdo k počítači získá fyzický přístup bez znalosti přihlašovacích údajů, například při krádeži nebo ztrátě zařízení. Tato  chrání data i tehdy, když útočník vyjme disk a připojí jej k jinému počítači. 

Za normálního provozu uživatel šifrování vůbec nevnímá. Ověření probíhá automaticky při každém spuštění systému prostřednictvím čipu TPM. Obnovovací klíč, což je šestačtyřicetimístný číselný kód, je záchranný mechanismus pro případ, kdy se hardware nebo konfigurace natolik změní, že TPM přestane automatickému ověření důvěřovat. A pokud k tomu dojde, bez znalosti tohoto obnovovacího klíče je ztráta dat na disku jistá. 

Co je TPM (Trusted Platform Module)

TPM je bezpečnostní čip integrovaný v základní desce počítače. Při každém spuštění systému ověřuje, zda se konfigurace zařízení nezměnila - firmware, bootovací sektor, klíčové systémové soubory. Pokud vše odpovídá uloženému profilu, Windows se spustí bez dotazu. Pokud TPM zjistí odchylku, přístup zablokuje a vyžádá si obnovovací klíč. Právě tato odchylka, tentokrát způsobená chybnou aktualizací, stojí za celým problémem.

Dešifrování Bitlockeru bez znalosti hesla

Co se stalo a proč

Po instalaci aktualizací vydaných 14. října 2024 a v následujících dnech začala část uživatelů hlásit, že jejich počítač po restartu nespustil systém obvyklým způsobem. Místo přihlašovací obrazovky se zobrazila výzva k zadání obnovovacího klíče BitLockeru. Jakmile uživatel klíč zadal, systém se spustil normálně - a při dalších startech se problém neopakoval. Potíž tedy nevznikla pokaždé, ale stačila jednou, aby zaskočila nepřipravené uživatele.

Podle dostupných informací jsou primárně zasažena zařízení s procesory Intel, která podporují pohotovostní režim se síťovým připojením. V tomto režimu počítač vypadá jako vypnutý, ve skutečnosti ale zůstává aktivní, stahuje aktualizace a synchronizuje data.

Pohotovostní režim se síťovým připojením (Connected Standby / Modern Standby)

Jde o úsporný režim nízkého odběru energie, který se používá zejména u přenosných počítačů a tabletů. Na rozdíl od klasického spánku (S3) zařízení v tomto režimu udržuje aktivní síťové připojení a může na pozadí přijímat e-maily, synchronizovat soubory nebo instalovat aktualizace - podobně jako chytrý telefon v klidovém stavu.

Právě tato kombinace - aktualizace nainstalovaná tiše na pozadí a následný restart - zřejmě vedla k tomu, že TPM vyhodnotil konfiguraci jako změněnou a vyžádal si obnovovací klíč. Connected Standby je starší označení; novější a technicky rozšířenější standard nese název Modern Standby.

Microsoft chybu přiznal a postupně vydává opravnou aktualizaci. Komunikace směrem k veřejnosti ale vázla - informace se nejprve objevily pouze v kanálech určených firemním zákazníkům s předplatným Microsoft 365 Business a Windows Enterprise. Domácí uživatelé s edicemi Home nebo Pro se o problému dozvídali zprostředkovaně, z komunitních fór - mnohdy až ve chvíli, kdy stáli před zamčenou obrazovkou a poprvé v životě slyšeli o obnovovacím klíči.

Proč je situace závažná a mělo by z ní plynou poučení

Obejít šifrování Bitlocker (backdoor) bez znalosti klíče není reálně možné, to je ostatně smysl celého mechanismu.
Ikona technologie V reálných podmínkách prolomit šifrování Bitlocker prozatím možné není. Avšak v řízených podmínkách a v konkrétním případě již k prolomení šifrování Bitlocker došlo.

Kdo obnovovací klíč nemá, ocitne se před uzamčenými dveřmi bez náhradního klíče. Data na disku sice fyzicky existují, ale zůstanou nedostupná. Nejde o softwarovou chybu, kterou by šlo obejít reinstalací systému - disk je šifrovaný a bez správného klíče ho nelze dešifrovat.

Velká část uživatelů přitom ani neví, že má BitLocker aktivní. Na nových noteboocích s Windows 11 se šifrování zapíná automaticky při prvotním nastavení zařízení, pokud je uživatel přihlášen účtem Microsoft. Obnovovací klíč se v takovém případě uloží do tohoto účtu, ale jen tehdy, pokud k tomu v průběhu nastavení skutečně došlo. Žádné upozornění nepřijde a žádná připomínka se nezobrazí.

Kde hledat obnovovací klíč
  1. Účet Microsoft - přihlaste se na account.microsoft.com, sekce Zařízení nebo BitLocker Recovery Keys
  2. Azure Active Directory - pro firemní zařízení spravovaná přes Azure AD (správce IT)
  3. Active Directory - pro zařízení připojená k doménové síti (správce IT)
  4. Offline záloha - vytištěný nebo uložený soubor, který mohl být vytvořen při prvotním nastavení šifrování

Klíč zkontrolujte dříve, než nainstalujete nové aktualizace.

Doporučení pro domácí uživatele

Popis situace a možných důsledků vypadá hrozivě, ale pro většinu uživatelů existuje jednoduché preventivní řešení: ověřit stav a dostupnost klíče dříve, než problém nastane. A obecně platí. Provozování šifrovaných systémů a dat jako takových, významně zvyšuje nároky na průběžné zálohování.

Postup krok za krokem
  1. Přihlaste se na account.microsoft.com a v sekci správy zařízení zkontrolujte, zda je váš obnovovací klíč Bitlocker k danému zařízení uložený.
  2. Klíč si uložte i offline, ideálně do textového souboru na USB disku, nebo jej vytiskněte a uschovejte odděleně od počítače.
  3. Ověřte, jakou verzi Windows máte nainstalovanou (Start → Nastavení → Systém → Informace o systému) a sledujte, zda jsou dostupné opravné aktualizace.
  4. Před instalací aktualizací se ujistěte, že k obnovovacímu klíči skutečně máte přístup.

Pokud klíč v účtu Microsoft není a BitLocker na vašem zařízení přesto běží - například proto, že zařízení bylo nastaveno pod jiným účtem nebo firemním profilem - kontaktujte prodejce nebo IT podporu, která vám pomůže klíč dohledat. A především, okamžitě proveďte zálohu dat!

Doporučení pro firemní prostředí

Pro správce IT a firemní zákazníky je tato chyba především připomínkou, že správa šifrovacích klíčů musí být součástí rutinní správy zařízení, ne záchrannou operací, která se spustí až po akutně vzniklém problému.

Opatření pro IT správce
  1. Ověřte, že jsou obnovovací klíče pro všechna spravovaná zařízení zálohované v Azure AD nebo Active Directory, a to bez výjimky.
  2. Nasaďte opravnou aktualizaci Microsoftu a monitorujte chování zařízení po restartech v prvních dnech po nasazení.
  3. Zkontrolujte politiky pro nasazování aktualizací na zařízeních s pohotovostním režimem se síťovým připojením - tato zařízení mohou instalovat aktualizace mimo standardní okno údržby.
  4. Zvažte dočasné pozastavení říjnových aktualizací na klíčových stanicích, dokud není oprava plošně potvrzena.

Širší kontext problému

Tato chyba ilustruje paradox moderní bezpečnosti: mechanismus, který má data chránit, se za určitých okolností stane překážkou pro samotného majitele. BitLocker přitom fungoval správně. Problém nebyl v kryptografii, ale v tom, že aktualizace operačního systému změnila parametry, podle nichž TPM rozhoduje o důvěryhodnosti prostředí, aniž bylo toto chování předem otestováno na zařízeních s pohotovostním režimem se síťovým připojením.

Typické otázky k problematice šifrování Bitlocker

  • Ve Windows 11 přejděte do NastaveníOchrana soukromí a zabezpečeníŠifrování zařízení. Pokud je přepínač zapnutý, BitLocker (nebo jeho zjednodušená varianta Device Encryption) na vašem zařízení běží. Ve Windows 10 Pro hledejte v Ovládacích panelechSystém a zabezpečeníŠifrování jednotky nástrojem BitLocker.

  • Bez obnovovacího klíče systém Windows nespustíte a k datům na zašifrovaném disku se nedostanete. Disk nelze dešifrovat ani po vyjmutí a připojení k jinému počítači, to je záměrný princip šifrování. Pokud klíč nemáte uložený ani v účtu Microsoft, ani offline, je situace velmi vážná. V takovém případě doporučujeme obrátit se na odborníky, kteří Vám ovšem v mnoha případech nepomohou.

  • Ne. Reinstalace Windows by vyžadovala smazání šifrovaného disku, čímž by došlo ke ztrátě všech dat. Systém lze sice přeinstalovat na prázdný disk, ale původní data zůstanou nedostupná. Reinstalace problém neřeší - pouze ho zakryje za cenu ztráty dat.

  • Plný BitLocker je dostupný pouze v edicích Pro, Enterprise a Education. Windows 10 Home obsahuje zjednodušenou variantu nazvanou Device Encryption, která se aktivuje automaticky na zařízeních splňujících hardwarové požadavky (TPM 2.0 a podpora pohotovostního režimu). Problém s říjnovými aktualizacemi byl primárně hlášen u systémů Windows 11 (24H2, 25H2) a Windows 10 (22H2) - bez ohledu na edici.

  • Klíč lze uložit do účtu Microsoft (doporučeno), exportovat jako textový soubor na USB disk uložený mimo počítač, nebo vytisknout a uchovat na bezpečném místě. Ve Windows otevřete správu BitLockeru (Ovládací panelyŠifrování jednotky nástrojem BitLocker), zvolte příslušný disk a vyberte možnost Zálohovat obnovovací klíč. Klíč nikdy neukládejte na tentýž disk, který je šifrován.

Řešíte ztrátu dat? Chcete vědět více? Zeptejte se na možností záchrany dat