Microsoft закрыл аккаунт veracrypt, используемый для подписи драйверов Windows

Стратегия: Освещение последствий для пользователей и разработчиков

Структура: Введение → Проблема → Последствия → Альтернативы → Заключение

Ключевые факты из статьи:

• Microsoft заблокировал аккаунт подписи кода, который использовала команда VeraCrypt для подписания своих драйверов Windows
• Без действительной подписи драйверы не загружаются в режиме Secure Boot
• Это влияет на всех пользователей VeraCrypt в Windows с включённой безопасной загрузкой

Черновик

Знаете, что неприятнее всего? Когда ваш инструмент шифрования работает годами, а потом просто перестаёт — и виновата в этом не уязвимость и не баг в коде, а решение какой-то корпорации.

Именно это произошло с VeraCrypt — популярной программой для шифрования дисков. Команда проекта получила уведомление от Microsoft о том, что их аккаунт для подписи драйверов закрыт.

КАК РАБОТАЕТ ПОДПИСЬ ДРАЙВЕРОВ В WINDOWS
───────────────────────────────────────
Исходный код ──▶ Компиляция ──▶ Подпись ──▶ Установка
                     │           │
                     ▼           ▼
              [Драйвер]    [Сертификат]
                              │
                              ▼
                       Проверка системой ──▶ Загрузка разрешена

БЕЗ ПОДПИСИ: Система видит предупреждение или блокирует драйвер полностью.

VeraCrypt — это форк TrueCrypt, open-source проект для шифрования данных на лету (on-the-fly encryption). Программа создаёт зашифрованные контейнеры и целые диски, которые можно подключать как обычные разделы.

Но есть проблема: чтобы работать на уровне ядра Windows и получать доступ к файловой системе на чтение/запись во время загрузки компьютера, программе нужен собственный драйвер режима ядра (kernel-mode driver). А этот драйвер должен быть подписан цифровой подписью — иначе Windows просто откажется его загружать.

Почему это важно именно сейчас

Подпись кода — это цифровой сертификат, который подтверждает: этот код создан конкретным разработчиком и не был изменён злоумышленником после сборки.

В современных версиях Windows с включённой функцией Secure Boot (безопасная загрузка) требования ужесточились до предела:

1. Драйвер без подписи = драйвер не загрузится вообще никак
2. Даже с отключённым Secure Boot система будет показывать предупреждения при каждой попытке установить такой драйвер
3. Для некоторых типов приложений отсутствие подписи означает невозможность работы

Раньше можно было обойтись самоподписанным сертификатом или просто отключить проверку подписей для тестирования. Сейчас это работает далеко не везде.

ЧТО ПРОИЗОШЛО С VERACRYPT
─────────────────────────

До инцидента:
[Аккаунт разработчика] ──▶ [Microsoft CA] ──▶ [Подписанный драйвер] ✅

После инцидента:
[Аккаунт разработчика] ✖️  Microsoft CA   [Незашифрованный дрейвр] ⚠️  Блокировка!
                         (отозван)

Последствия:
• Новые версии VeraCrypt нельзя установить штатно
• Старые версии могут перестать работать после обновлений Windows  
• Пользователи видят ошибки при запуске программы

Последствия для простых пользователей

Если вы используете Veracrypt для защиты своих данных — сейчас у вас несколько проблем:

Первая — вы не можете обновить программу через стандартный установщик.Windows будет блокировать установку нового драйвера без действительной подписи.

Вторая — даже если вы обновили систему до новой версииWindows после инцидента, старые версии программы могут перестать работать совсем.Windows 11 особенно строг в этом отношении.

Третья — вам придётся искать обходные пути: отключать Secure Boot полностью или использовать режим тестирования драйверов (Test Signing Mode). Оба варианта снижают уровень безопасности системы.

Что делают разработчикиopen-source проектов в такой ситуации?

Вариантов немного:

1. Получить новый сертификат от другого центра сертификации(Certificate Authority). Но это стоит денег — от нескольких сотен до нескольких тысяч долларов в год для расширенной проверки (EV certificate).
2. Перейти на другой механизм работы без kernel-modедрайвера. Но тогда придётся пожертвовать производительностью или функциональностью.
3. Просить сообщество о помощи: сбор средств на новый сертификат или поиск спонсора.

Для маленького open-source проекта типа VeraCrypt любой из этих вариантов — существенная проблема.

Альтернативы и решения на сегодняшний день

Если вы столкнулись с этой проблемой практически:

1. Временно отключите Secure Boot в BIOS/UEFI— самый простой способ запустить незашифрованный ранее рабочий образ системы со старыми версиями VeraCrypt сохранит работоспособность некоторое время.
2. Используйте старую версию VeraCrypt до инцидента, если она у вас сохранилась — но учитывайте риски безопасности из-за отсутствия обновлений.
3. Рассмотрите альтернативы: BitLocker (встроенный в Pro/Enterprise редакцииWindows) или Linux с LUKS— если вам нужна надёжная защита без головной боли с подписями.
4. Следите за обновлениями от команды VeraCrypt: возможно они найдут решение через краудфандинг или партнёрство с компанией которая предоставит им сертификаты.

Выводы

Эта история показывает две вещи:

Первая— мы слишком зависим от решений крупных корпораций даже в вопросах безопасности данных.Vera Crypt ничего не сделал плохого— но один звонокMicrosoft решил судьбу инструмента которым пользуются тысячи людей по всему миру.Open source не гарантирует независимость если код должен работать внутри проприетарной операционной системы со своими правилами проверки цифровых компонентов платформы (secure boot).

Вторая— доверяйте важным данным нескольким инструментам одновременно Если ваша единственная защита основана на одном решению которое контролируется третьей стороной— рано или поздно столкнётесь с неприятным сюрпризом Возможно самое время посмотреть в сторонуLinux как резервной системы хранения критически важных данных Или хотя бы держать резервную копию ключей расшифровки где-то вне основного компьютера Который однажды может просто перестать включаться из-за решения Redmond-которое никто Не ожидал Увидел свет комментарий участникафорума SourceForge где он пишет:"Мне теперь нужно думать о переходе BitLocker Не хочу, но других вариантов нет». Знакомое чувство когда ты Заперт между молотом и наковальней технологической зависимости И выбираешь меньшее из зол Это грустно, но реалистично Решение принимали Не мы Но жить как-то надо Верно?

Ссылки

• VeraCrypt / Forums / General Discussion — оригинальное обсуждение инцидента на SourceForge
• Официальный сайт VeraCrypt
• Microsoft Code Signing — документация по подписи кода для Windows