Skrytá časovaná bomba ve Windows: Co je stav „Pre-crypted“ a proč je vypnutý BitLocker vyloženým hazardem s daty

Koupíte nový počítač, pro jistotu otevřete Ovládací panely, zkontrolujete stav zabezpečení a vidíte jednoznačný nápis: BitLocker: Vypnuto. Zhluboka se nadechnete v domnění, že vaše data jsou v bezpečí, souborový systém čistý a vy máte plnou kontrolu nad svým hardwarem. Jenže Microsoft hraje s uživateli extrémně nebezpečnou hru na schovávanou. Na pozadí totiž tiká digitální nálož zvaná stav Pre-crypted (předběžně zašifrováno).

Tento polotovar moderních Windows představuje tichý hazard s uživatelskými daty, který může běžného uživatele i firemního správce ze dne na den připravit o veškeré soubory bez možnosti jakékoliv obnovy.

Anatomie pasti: Když zámek leží vedle klíče (Clear Key)

Když výrobci hardwaru (jako ASUS, Dell či HP) expedují nová zařízení, v rámci specifikací Microsoftu aktivují takzvané Zabezpečení zařízení (Device Encryption). Windows okamžitě po instalaci na pozadí fyzicky zašifruje 100 % kapacity disku algoritmem XTS-AES 128 nebo 256.

Aby se však uživatel mohl poprvé přihlásit a systém normálně nastartoval bez otravných dotazů na heslo, použije se mechanizmus zvaný Clear Key (čistý klíč). V tomto stavu:

• Skutečný, unikátní 48místný obnovovací klíč (protector) fyzicky vůbec neexistuje.
• Dešifrovací klíč leží zcela nechráněný a čitelný přímo v metadatech na samotném disku.
• Příkaz manage-bde -status hlásí: Protection Status: Protection Off, ale zároveň Percentage Encrypted: 100%.

Ovládací panely hrdě hlásí „Vypnuto“, protože systém čeká. Čeká na moment, až se uživatel přihlásí k jakémukoliv cloudovému účtu Microsoftu (např. při aktivaci MS Office, Teams nebo OneDrive). V ten moment Windows potají vygenerují reálný 48místný obnovovací kód, odešlou ho na cloud Microsoftu, vymažou lokální Clear Key a šifrování definitivně uzamknou do hardwarového TPM čipu.

Pokud ale zůstanete na lokálním účtu, disk zůstává v tomto schizofrenním mezistavu. Pro alternativní operační systémy (např. při pokusu o instalaci Linux Mintu do dual-bootu) je disk detekován jako poškozený, uzamčený nebo nečitelný.

Aktualizace firmwaru: Detonátor časované bomby

Proč se jedná o vyložený hazard s daty? Celý tento mechanizmus spoléhá na absolutní integritu základní desky a TPM čipu. Historie aktualizací Windows je však plná fatálních selhání v této oblasti.

Případové studie a reálné incidenty (např. nechvalně známá aktualizace KB5012170 pro Secure Boot DBX, případně plošné aktualizace firmwarů u notebooků ASUS z poslední doby) ukazují stejný scénář:

1. Počítač provede automatickou aktualizaci BIOSu/UEFI nebo aktualizaci mikrokódu TPM čipu.
2. Při následném restartu TPM čip vyhodnotí změnu integrity systému (zmena PCR registrov) a odmítne vydat klíč k odemčení disku.
3. Windows okamžitě spadne do modré obrazovky BitLocker Recovery a striktně vyžaduje 48místný obnovovací klíč.

A v tom spočívá ta tragédie. Protože byl systém ve stavu Pre-crypted, tento 48místný klíč nikdy nevznikl. Neexistuje na papíře, neexistuje na žádném Microsoft účtu, neexistuje nikde ve vesmíru. Data na disku jsou v ten moment matematicky neprolomitelná. Jedinou možností je kompletní zničení partition tabulky (wipe disku přes GParted v Linuxu) a čistá reinstalace. O všechna data přijdete.

Digitální hygiena: Zálohovat, zálohovat a zase zálohovat

Tento systémový diletantismus jasně ukazuje, že spoléhat na interní mechanismy jednoho operačního systému je cesta do pekla. Jedinou skutečnou obranou je nekompromisní strategie zálohování. Pokud data nemáte na třech různých místech, jako byste je vůbec neměli.

Možnosti bezpečného zálohování:

• Lokální izolované zálohy (pravidlo 3-2-1): Mějte alespoň 3 kopie dat, na 2 různých typech médií, přičemž 1 kopie je mimo vaši lokalitu. Provádějte pravidelné zálohování na externí disky, které jsou po dokončení procesu fyzicky odpojeny od počítače (ochrana před ransomwarem i systémovým kolapsem).
• Síťová úložiště (NAS) s verzováním: Využití domácího či firemního NAS úložiště s podporou souborového systému Btrfs nebo ZFS, které vytváří neměnné snímky (immutable snapshots). I když Windows selže nebo zašifruje sám sebe, ze snímku na NAS lze data obnovit v řádu minut.
• Šifrované cloudové zálohy třetích stran: Pokud využíváte cloud, vyhněte se nucené integraci OneDrive, která je úzce spjatá se systémem. Využijte open-source nástroje (např. Rclone či BorgBackup) pro odesílání šifrovaných, inkrementálních záloh na nezávislá cloudová úložiště.

Jak zkontrolovat a vyčistit svůj disk hned teď?

Pokud vám systém ještě běží, ignorujte Ovládací panely. Otevřete Příkazový řádek jako správce a zadejte:

manage-bde -status C:

Pokud vidíte Percentage Encrypted: 100.0% a zároveň Protection Off, okamžitě zadejte příkaz pro skutečné dešifrování:

manage-bde -off C:

Počkejte, dokud stav neklesne na 0.0%. Následně zakažte Fast Startup příkazem:

powercfg /h off

Teprve pak je váš hardware skutečně váš a vaše data nejsou rukojmím korporátního polotovaru.