／微軟

上週在官方部落格中，微軟宣佈Recall新增的安全功能，包括加密儲存、整合生物驗證功能Windows Hello，以及虛擬隔離區技術。首先，新版Recall中，快照（snapshot）和任何相關資訊都會保持加密儲存在向量資料庫中，加密金鑰經由晶片的信賴平臺模組（Trusted Platform Module，TPM）和用戶的Windows Hello進階簽入安全身份綁在一起，只能在虛擬化安全隔離區（VBS Enclave）中使用。這表示其他人都無法存取這些金鑰，因而無法解密資訊。

此外，Recall的使用和Windows Hello 進階簽入安全身份驗證功能綁定，Recall的操作，像是搜尋Recall內容、變更設定或存取Recall UI都需Windows Hello驗證。但經過驗證只能短暫解密Recall內容供用戶查詢，未來搜尋還是必須再次驗證，以免被惡意程式「搭便車」。Recall也透過限流（rate-limiting）及防範密碼猜測（anti-hammering）措施防範惡意程式。Recall配置過後，目前支援使用PIN作輔助驗證，以防生物驗證感測器毀損。

其次，執行快照和相關資料的Recall服務只存在VBS（Virtualization Based Security）隔離區（enclave）中，和外部隔離。唯一能離開VBS隔離區的資訊，是使用者主動以Recall呼叫的資訊。VBS隔離區用的是和Azure相同的Hypervisor技術把應用記憶體隔離在受保護區域，可免於Windows核心和管理員的存取。只有用戶以Windows Hello憑證驗證後，用戶才能呼叫出Recall快照。

Recall預定隨同Windows 11 24H2釋出。至於24H2何時釋出，日前也有人誤以為是2024年10月8日。微軟隨後澄清，10月8日微軟會釋出軟體功能及安全更新，但並非主要升級版的24H2。也就是Recall應該不會在10月初問世。

微軟再次強調Recall是選擇加入（opt-in）功能，用戶資訊都是儲存於本機，Windows儲存快照前會尋求用戶許可，且不會分享給微軟和第三方廠商。用戶也可以隨時刪除快照，或關閉Recall。未來如果加入分享資料的功能，也都會尋求用戶明顯同意。