微软上传用户磁盘加密密钥副本到微软服务器中

如果你是用微软账号登录Windows 10，那你得知道，你的电脑会自动上传你的加密密钥。

新的Windows电脑会默认开启自带的磁盘加密功能，保障用户数据，防止电脑被偷或遗失。

但要警惕的是，这个磁盘加密功能跟BitLocker是有区别的，BitLocker允许用户选择是否要在Windows服务器上备份加密密钥。

这个安全功能从Windows 8.1开始就默认开启了，但是如果用户遗失了加密密钥怎么办呢？

微软会保留一份恢复密钥的副本，这引起了广泛的争议，在许多专家们看来，这会导致隐私问题。

The Intercept揭露，当用户使用微软账号登录Windows 10时，操作系统会自动上传一份恢复密钥到服务器，并且我们无法阻止其上传。

 “但是很少有人知道的是，如果你跟大部分其他用户一样，用微软账户登录Windows 10，你的计算机就会自动上传一份恢复密钥的副本到微软服务器——这可以用来解密你加密的磁盘，它可能不会告知你，并且你也没有办法不让它上传。”

很明显，这样的设定会带来诸多隐患，比如如果攻击者攻陷了用户的微软账号，他就可以获取/拷贝/删除这些密钥；如果黑客攻陷了微软服务器，他可以获取到用户的恢复密钥，微软内部人员也可以这么做。另外，执法部门或者间谍机构就可以要求微软提供你的恢复密钥。

 “….这意味着你的计算机可能会被黑客、外国政府，或者威胁微软员工的人入侵” 约翰霍普金斯大学密码学教授Matthew Green说。

The Intercept强调，微软把恢复密钥存储在服务器上，把自己变成了托管机构，用户可以删除他们的恢复密钥，但是他们不知道可以那么做。

如何删除微软账号中的密钥？

The Intercept报道称，想要在一开始登录到微软账号的时候不让电脑上传恢复密钥是不行的，但是你可以把上传上去的密钥删除，然后再重新生成一个密钥。

以下就是从微软账号删除加密密钥的过程：

用微软账号登录恢复密钥网站
这个网站有一份恢复密钥列表
本地备份恢复密钥
从微软账号删除密钥

The Intercept称，上述过程还是无法保证密钥从微软服务器上真正删除，所以用户还是应该重新生成一个恢复密钥。

Windows专业版或企业版用户可以通过解密硬盘，然后再加密，以此生成一个新密钥：

点击开始，输入“bitlocker”，点击“管理BitLocker”
选择“关闭BitLocker”，这样就会解密整个磁盘
一旦完成后，再点击“开启BitLocker”
系统就会提示你如何备份恢复密钥。不要选择“保存到微软账号”。

*参考来源：SecurityAffairs，FB小编Sphinx编译，文章有修改