微軟說明Recall資安架構,強調對隱私安全的防護機制

Recall-hero

 

微軟原本打算推出「Recall」功能到 Copilot+ AI 電腦中,可透過簡易的敘述尋找系統中的各式資料與瀏覽紀錄,但因為存在隱私爭議而暫時性的取消推出。在經過數個月的調整後,微軟公開 Recall 的隱私機制,承諾所有的資料都會受到保護,並可由用戶自由決定存取權限。

 

Recall 功能需要由系統在使用期間生成快照(Snapshot),並保存在電腦之中,再由 AI 去辨識這些快照的內容,以此分析用戶可能正在搜尋的特定目標。

 

為了避免快照的資訊被不肖人士竊取,微軟使用了與自家雲端伺服器 Azure 相同的加密運作機制,讓 Recall 運算所需的各項資料都只能在名為 Virtualization-based Security Enclave (VBS Enclave)的虛擬安全空間執行。

 

SecurityArchitecture2-1024x682
Recall 的安全架構

 

所有離開 VBS Enclave 空間的資料都必須要獲得 Windows Hello 的硬體防護授權,也就是使用 Recall 之前,需要先進行人臉、指紋辨識等操作,並且除非硬體發生故障,否則輸入安全驗證的方式不能以單純的 Pin 碼代替,以防止木馬、側錄程式從旁竊取資訊。

 

SecurityArchitecture-1024x682
Windows Hello 的運作架構

 

另外,微軟也強調 Recall 建立快照的機制可以讓用戶自由決定,能夠手動排除特定程式或是網站,也能決定快照的保存時間、佔據硬碟的容量,同時只要使用無痕模式進行網頁瀏覽,系統就不會在期間建立資料。

 

需要注意,系統預設會協助保存密碼、身分證等機敏內容,微軟解釋這是為了幫助減少輸入這類資料的麻煩,但這些資料會比照用以保護企業安全的 Microsoft Purview 方案進行處理,如果還是有疑慮,同樣也可選擇關閉記錄相關內容。

 

OOBE-opt-in-page-1024x576
系統會詢問是否開啟 Recall 功能

 

如果 Recall 儲存了自己不願意被知道的資料,用戶可以選擇將一整個時間段內容全數刪除,系統也會在狀態列中提供對應的 UI 圖示方便查詢建立與儲存的快照內容。

 

Recall 本身對於硬體也有要求,最基本的需要 TPM 2.0 安全晶片,並啟動 BitLocker 或是 Device Encryption 硬碟加密功能,外加 AI 算力也需要至少達到 40 TOPS 以上,以符合 Copilot+ PC 規範。

 

微軟沒有在這次的介紹中宣佈何時會讓 Recall 來到 Windows 11 中,但有傳言內部正在加緊趕工,希望能夠趕在 10 月份的 Windows Insiders 的測試版更新中推出,藉此評估大眾的反應。

推薦電競新聞

繼續閱讀
Source 微軟說明Recall資安架構,強調對隱私安全的防護機制 https://www.4gamers.com.tw/news/detail/67544/microsoft-update-recall-security-and-privacy-architecture……