Há alguma evidência de backdoors no Windows ou outro software cliente para a NSA/CIA?

Sim. A Ferramenta de Remoção Maliciosa da Microsoft atende à definição amplamente aceita de backdoor. Existem outros, mas todos que sabem sobre eles estão sob NDA.

Microsoft também foi obrigada a revelar o código fonte a vários governos estrangeiros para permanecer em conformidade com as leis de importação e venda de software Microsoft dentro de certas jurisdições. Tem havido problemas de segurança relacionados com o código que foi liberado. Especialmente em relação à China.

Existem backdoors que foram dados à aplicação da lei local. Estes são geralmente vazados rapidamente. Depois há backdoors dados aos governos, estes raramente vazam e ficam fora dos documentos do tribunal e do registro público. Estas portas traseiras são abrangidas pelas disposições de privacidade de "segurança natural".

Alguns países têm leis especialmente fortes que regulam a criptografia. Para operar na China, a Microsoft tem que atender a certos requisitos. Acredita-se amplamente que a Microsoft é obrigada a revelar as chaves privadas para assinatura de certificados de patches de software Microsoft ao governo da RPC sob as leis de criptografia chinesas.

Esta constitui uma porta traseira na medida em que permite ao governo chinês criar patches binários arbitrários para os produtos de software da Microsoft's e assinar as atualizações de software da Microsoft. A China também tem forte controle sobre seus servidores DNS e pode redirecionar solicitações para o servidor de patches da Microsoft para servidores controlados pelo governo e aplicar patches binários arbitrários ao software da Microsoft.

As jurisdições severas exigem que as chaves primárias sejam registradas junto ao governo para atender aos requisitos regulatórios. Nos EUA é provável que a Microsoft tenha sido obrigada, voluntariamente ou por ordem judicial, a divulgar as chaves privadas para assinatura de certificados de patches de software.

Há também outros problemas. Existem também problemas com o Linux.

Basicamente, se há algo que você não quer que mais ninguém saiba

ul>>li>não transmita dados pela internet>li>li>usar um time padsli>li>a lacuna de ar todos os recursos computacionais>li>pontos de mel + root kits + cheiradores de pacotes>li>extensivas medidas de segurança física>/ul>>p>>br>Se você é realmente paranóico, você pode querer também uma gaiola de Faraday
Ver: http://en.wikipedia.org/wiki/TEMPEST

Even então, você não está seguro contra as ordens do tribunal do governo. A privacidade dos seus dados é muito improvável de ser preservada contra um ataque de um governo estrangeiro. Você também tem que se preocupar com alguém que realiza uma análise crio-analítica de mangueira de borracha nos seus funcionários. Isto é, a maioria dos vazamentos ocorre.

http://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis

"o RIP Act do Reino Unido's, torna um crime não entregar chaves de criptografia sob demanda de um funcionário do governo autorizado pelo ato - independentemente de haver ou não motivos razoáveis para até mesmo suspeitar que os dados criptografados continham qualquer material ilegal"