Windows NT is onder ernstige verdenking van spionage komen te staan. Een Canadese encryptie-deskundige is in NT service pack 5 op een tweede (geheime) encryptiesleutel gestoten, luisterend naar de naam _Nsakey.
NSA is de afkorting van de Nationale Veiligheidsraad, het overheidsorgaan dat onder meer het berichtenverkeer van buitenlandse regeringen en ondernemingen in de gaten houdt. Microsoft ontkent de beweringen in alle toonaarden.
Volgens Andrew Fernandez van Cryptonym, die de speciale toegangscode vrijdag naar buiten bracht, zijn alle versies van Windows sinds Windows 95 OSR2 in het bezit van die tweede sleutel. In een reactie noemt Microsoft de berichtgeving "ongegrond en onnauwkeurig". "De sleutel in kwestie is een sleutel van Microsoft. Hij wordt beheerd en beveiligd door ons, en we hebben de sleutel niet gedeeld met het NSA of met welke andere instantie dan ook", aldus Microsoft.
De in opspraak geraakte sleutel zit in Advapi.Dll, een standaard Windows driver die een reeks veiligheidsfuncties voor zijn rekening neemt, waaronder de MS-Capi, de cryptografische api (application programming interface) van Microsoft. Fernandez beweert nu dat die api niet één sleutel bevat, maar twee: _KEY en _Nsakey. Volgens hem kan NSA alleen maar slaan op de Veiligheidsraad van de VS.
De NSA zelf, in Washington DC, en Microsoft in Seattle, Washington ontkennen de berichten ten stelligste. "De exportregels van de VS vereisen dat cryptografische api’s worden goedgekeurd", aldus de Nationale Veiligheidsraad. Volgens Scott Culp, product manager veiligheid van Microsoft heeft de NSA de Crypto-api onderzocht en goedgekeurd, "met inbegrip van de backup-sleutel", zoals Culp de tweede sleutel noemt.
De encryptiesleutels zijn van belang omdat ze gebruikt worden omcryptografic service providers (csp’s) te programmeren, speciale encryptiecode. Microsoft waarmerkt de csp’s zodra de software-ontwikkelaar kan aantonen dat het Amerikaanse ministerie van Handel een verklaring van geen bezwaar heeft afgegeven. Wetgeving in de VS verbiedt – zoals bekend – de export van encryptie-technologie boven de 56-bits.