Microsoft memberikan kunci pemulihan BitLocker kepada FBI untuk membuka laptop para tersangka

 (techcrunch.com)
1 poin oleh GN⁺ 2026-01-24 | 1 komentar | Bagikan ke WhatsApp
  • Biro Investigasi Federal AS (FBI) meminta kunci pemulihan untuk membuka hard drive dari 3 laptop yang dienkripsi dengan BitLocker, dan Microsoft menyediakannya
  • BitLocker adalah fitur enkripsi disk penuh yang aktif secara default di perangkat Windows, yang awalnya merupakan teknologi keamanan untuk mencegah akses selain oleh pemiliknya
  • Namun, karena kunci pemulihan secara default diunggah ke cloud Microsoft, aparat penegak hukum dapat menggunakannya untuk mendekripsi drive yang terenkripsi
  • Insiden ini terjadi dalam proses penyelidikan federal terhadap para tersangka penipuan bantuan pengangguran pandemi (PUA) di Guam
  • Para ahli enkripsi menyoroti risiko kunci pemulihan yang disimpan di cloud diretas, dan mengemukakan kekhawatiran atas kemampuan Microsoft dalam mengelola keamanan

Permintaan dan pemberian kunci pemulihan BitLocker kepada FBI

  • Saat menyelidiki kasus penipuan terkait bantuan pengangguran pandemi (PUA) yang terjadi di Guam, FBI mengeluarkan surat perintah yang menuntut Microsoft memberikan kunci pemulihan untuk membuka enkripsi 3 laptop milik tersangka
    • Kasus ini pertama kali dilaporkan oleh Forbes, lalu dikutip oleh TechCrunch
    • Media lokal Guam Pacific Daily News dan Kandit News juga melaporkan penerbitan surat perintah terkait
  • Microsoft, sesuai permintaan FBI, memberikan kunci pemulihan BitLocker, sehingga data terenkripsi di laptop tersebut dapat dibuka
  • Microsoft mengatakan kepada Forbes bahwa mereka menerima rata-rata sekitar 20 permintaan kunci pemulihan per tahun dari lembaga penyidik

Cara kerja default BitLocker dan kemungkinan akses

  • BitLocker adalah fitur enkripsi disk penuh yang aktif secara default di komputer Windows modern, yang memblokir akses data saat perangkat dimatikan atau terkunci
  • Namun dalam pengaturan default, kunci pemulihan otomatis diunggah ke cloud Microsoft, sehingga perusahaan dan aparat penegak hukum dapat menggunakan kunci tersebut untuk mendekripsi drive terenkripsi
  • Struktur ini memperkuat perlindungan data pengguna, tetapi sekaligus menyisakan jalur akses bagi perusahaan dan pemerintah melalui kunci pemulihan

Kekhawatiran para pakar keamanan

  • Matthew Green, ahli kriptografi dari Johns Hopkins University, memperingatkan bahwa jika infrastruktur cloud Microsoft diretas, ada risiko kunci pemulihan terekspos kepada penyerang eksternal
    • Ia menyebutkan bahwa Microsoft di masa lalu beberapa kali mengalami insiden kebocoran kunci akibat peretasan pemerintah dan kejadian lain
    • Namun, agar dapat menggunakan kunci pemulihan, peretas tetap memerlukan akses fisik ke hard drive
  • Dalam unggahannya di Bluesky, Green mengatakan, “Ini sudah tahun 2026, tetapi kekhawatiran seperti ini sudah lama disampaikan,” dan menilai kegagalan Microsoft dalam mengamankan kunci pelanggan berada pada tingkat yang tidak biasa di industri

Sikap Microsoft

  • Menanggapi permintaan komentar dari TechCrunch, Microsoft tidak segera memberikan jawaban
  • Kepada Forbes, perusahaan hanya menjelaskan bahwa “perusahaan terkadang memberikan kunci pemulihan BitLocker kepada aparat penegak hukum”
  • Tidak ada penjelasan tambahan mengenai kebijakan atau prosedur internal

Implikasi privasi dan industri

  • Struktur di mana perusahaan menyimpan kunci pemulihan mengandung potensi pelanggaran privasi pengguna
  • Para ahli memperingatkan bahwa struktur seperti ini dapat berujung pada risiko paparan data dalam skala besar jika terjadi pelanggaran keamanan cloud
  • Kasus ini kembali menyoroti masalah keseimbangan antara keandalan teknologi enkripsi dan kerja sama dengan penegak hukum

Bacaan terkait

1 komentar

 
GN⁺ 2026-01-24
Komentar Hacker News

  • Di Windows 11, BitLocker aktif secara default, dan jika akun Microsoft ditautkan, kunci pemulihan akan otomatis diunggah
    Jadi FBI dapat meminta Microsoft menyerahkan kunci tersebut melalui surat perintah
    Sebagian besar pengguna mungkin bahkan tidak sadar bahwa mereka memakai laptop yang terenkripsi
    Media menulis bahwa “Microsoft memberikan kuncinya”, tetapi sebenarnya itu dilakukan karena kewajiban hukum
    Menurut saya, bagi pengguna umum ini adalah default yang masuk akal untuk pencegahan pencurian dan pemulihan data
    Pengguna tingkat lanjut bisa mengubah pengaturannya agar mengelola kunci sendiri

    • Tetapi untuk mengubah pengaturan itu, Anda harus mematikan BitLocker, membuat akun lokal baru, menghapus kunci lama dari OneDrive, lalu mengenkripsi ulang
      Menurut saya, pendekatan seperti Apple yang menanyakan saat proses pengaturan awal apakah “kunci pemulihan akan disimpan di iCloud atau tidak” jauh lebih masuk akal
    • Selama fitur itu ada, karena kesalahan, bug, atau bahkan satu partikel kosmik, kunci bisa saja terunggah
      Dalam kasus seperti ini, tidak ada indikasi apa pun kepada pengguna, sehingga terjadi kegagalan diam-diam di mana properti keamanan berubah tanpa diketahui
    • Selalu ada orang yang membela perusahaan raksasa
      Tetapi mengingat Microsoft secara berkala mengambil tangkapan layar layar, ini terasa meresahkan
    • Microsoft merancang sistem agar kunci disimpan dalam teks biasa di cloud
      Mereka sebenarnya bisa menerapkan enkripsi end-to-end seperti pengelola kata sandi, tetapi tidak melakukannya
      Keputusan inilah yang memungkinkan akses oleh penegak hukum
    • Bahkan jika pengguna menolak pengunggahan, tidak ada cara untuk memastikan bahwa kunci benar-benar tidak diunggah
      Sekarang, satu-satunya cara bagi Microsoft untuk memulihkan kepercayaan adalah dengan membuka source code Windows

  • Dulu ada suasana yang lebih resistan terhadap berita seperti ini, tetapi akhir-akhir ini makin banyak reaksi “ya tentu saja”
    Saya pikir situasi ini terbentuk karena para teknisi menuruti tuntutan pemerintah
    Ini bukan masalah hukum, melainkan masalah desain sistem keamanan

    • Sebagian besar komentar sebenarnya masih menunjukkan penolakan, tetapi sering kali ada kecenderungan menerima begitu saja premis dari artikel clickbait
      Faktanya, ketika penegak hukum meminta data, perusahaan tidak bisa menolak dan pada akhirnya dipaksa oleh hukum
    • Banyak teknisi bekerja sama dengan pemerintah karena RSU, KPI, dan tekanan nafkah
      Orang cenderung hanya bertindak sampai kenyamanan mereka sendiri terancam
    • Ada bantahan terhadap klaim bahwa ini adalah “masalah desain keamanan”
      Dalam praktiknya, negara bahkan bisa melarang enkripsi end-to-end itu sendiri
      Sebagai contoh terkait, lihat mengapa Apple menonaktifkan enkripsi E2E di Inggris
    • Pemerintah bisa mengubah definisi teroris kapan saja
      Jangan lupa bahwa warga hari ini bisa menjadi “ancaman” besok
    • Pihak yang bermasalah bukan pengembang individu, melainkan perusahaan

  • Saya menggunakan enkripsi penuh pada drive Linux
    Kalau lupa kuncinya? Tinggal buat drive baru dan pulihkan dari cadangan
    Tidak ada cara bagi Microsoft atau pemerintah AS untuk mengakses file saya
    Windows bukan sistem untuk keamanan pengguna, melainkan untuk keamanan pemerintah yang otoriter

    • Tetapi full disk encryption (FDE) saja tidak cukup
      Sistem masih rentan terhadap kamera, keylogger, modifikasi bootloader, cold boot attack, dan lain-lain
    • Ada juga pertanyaan, “Bagaimana kalau lupa kunci cadangan?”
      Pada akhirnya, pengelolaan cadangan sama pentingnya dengan enkripsi
    • Jika pihak luar bisa mengenkripsi drive saya tanpa izin saya, itu bukan enkripsi yang sesungguhnya
      Itu hanya pemborosan siklus CPU
    • Ini mengingatkan pada komik terkenal terkait, XKCD 538
    • Saya setuju dengan gagasan bahwa “privasi bukanlah kejahatan

  • Microsoft mengatakan kepada Forbes bahwa mereka menerima sekitar 20 permintaan per tahun untuk menyerahkan kunci pemulihan BitLocker
    Jujur memang, tetapi karena alasan inilah menurut saya lebih baik beralih ke Linux
    Terutama jika Anda sering bepergian ke luar negeri
    Jika mereka memberikannya kepada pemerintah AS, kemungkinan besar mereka juga memberikannya kepada pemerintah lain

    • Tetapi jika perusahaan menerima perintah hukum, mereka tidak punya pilihan untuk menolak
    • Sulit menyatakan dengan pasti bahwa mereka memberikannya kepada semua pemerintah, tetapi kemungkinannya tinggi bahwa mereka juga memberikannya kepada pemerintah lain
    • Ada juga pendapat bahwa Anda tidak perlu pindah ke Linux; mematikan fitur pengunggahan kunci saja sudah cukup

  • Bagi sebagian besar pengguna, pengaturan default BitLocker adalah tingkat keamanan yang masuk akal
    Dibanding pengawasan pemerintah, pencurian laptop adalah ancaman yang jauh lebih nyata
    Untuk pengguna perusahaan, pengunggahan kunci bukan default, dan pengguna pribadi juga bisa menonaktifkannya jika mau

    • Dalam praktiknya, pencurian atau kehilangan jauh lebih umum daripada pemerintah
      Akan lebih baik jika Microsoft merancang sistem agar mereka sendiri tidak bisa mengakses kunci, tetapi kondisi sekarang tetap lebih baik daripada tidak ada sama sekali
    • Namun sekarang ketika “pemerintah yang bermusuhan” makin mendekat, sikap santai seperti ini bisa berbahaya
      Ini kembali mengingatkan pada pertanyaan lama, “bagaimana jika Nazi kembali?”

  • UEFI dan firmware masih bisa mengizinkan kunci Microsoft alih-alih kunci keamanan yang diganti oleh pengguna
    TPM juga dilindungi oleh kunci yang disediakan Intel atau AMD, sehingga secara teoretis ada kemungkinan akses pihak ketiga
    Yubikey atau smart card juga merupakan perangkat keras tertutup, sehingga cara kerjanya di dalam tidak bisa diverifikasi

  • Saya peduli pada privasi, tetapi dalam kasus ini yang terjadi adalah penyediaan data terbatas berdasarkan surat perintah yang sah
    Akses hanya dimungkinkan setelah hard drive dikuasai secara fisik
    Ini jauh lebih masuk akal dibanding upaya seperti Chat Control di UE yang memungkinkan semua pesan diperiksa

  • Ada contoh yang menunjukkan apa yang terjadi ketika FBI tidak bisa membuka laptop
    Kasus FBI menghapus hard drive yang berisi bitcoin senilai 345 juta dolar
    Lain kali mereka bisa saja menyalin datanya lalu menghapusnya sambil berkata “dekripsi gagal”
    Di masa lalu pernah ada agen yang menggelapkan bitcoin, dan sekarang mungkin atasan mereka sendiri yang akan meminta bagian

  • Dari sisi privasi, pengunggahan kunci oleh Microsoft adalah desain yang mengkhawatirkan
    Namun ribuan pengguna kemungkinan berhasil memulihkan data berkat kunci pemulihan
    Akan lebih baik jika wizard instalasi menampilkan layar pilihan eksplisit seperti “Apakah Anda ingin mengenkripsi data?” dan “Apakah Anda ingin data dapat dipulihkan?”

  • Terdengar lagi ucapan bahwa sekarang benar-benar tahun desktop Linux
    Sekaranglah saatnya meninggalkan Windows

    • Saya mencoba memindahkan orang tua saya ke Linux, tetapi mereka menolak karena tidak ada versi desktop MS Office
      Saya sudah mencoba versi web, LibreOffice, OnlyOffice, bahkan LaTeX, tetapi gagal
      Mereka juga tidak mau beralih ke macOS
      Saya sendiri tidak suka Office, tetapi orang tua saya hanya mau “Microsoft Office yang asli”
    • Jika ingin memakai Linux, sebaiknya hindari keluarga Debian (Ubuntu/Mint)
      Kata “Stable” sebenarnya berarti ketinggalan zaman
      Saya merekomendasikan Fedora — lebih matang untuk konsumen, dan tidak seribet Arch