VeraCrypt, инструмент для шифрования файлов, разделов и целых системных дисков с открытым исходным кодом, теперь сталкивается с серьёзной проблемой при распространении в Windows. Разработчик сообщил, что Microsoft заблокировала учётную запись, которая использовалась для подписи драйверов и загрузчика проекта для Windows.
В публичном сообщении разработчик Мунир Идрасси сообщил, что аккаунт был заблокирован без предупреждения, объяснения причин и возможности подать апелляцию.
«Я столкнулся с некоторыми трудностями, но самая серьезная из них заключается в том, что Microsoft заблокировала учетную запись, которую я много лет использовал для подписи драйверов Windows и загрузчика. Это решение повлияло не только на мою работу с VeraCrypt, но и на мою повседневную деятельность. Сейчас у меня нет выбора».
Это важно, поскольку VeraCrypt — это кроссплатформенное приложение для шифрования данных в Windows, macOS и Linux. В Windows оно поддерживает функции шифрования системы, для которых требуются подписанные компоненты, включая драйверы и загрузчик.
По словам Идрасси, закрытие учетной записи не позволит проекту продолжить стандартный процесс подписания файлов для Windows. Согласно независимым источникам, потеря доступа к подписанию может привести к тому, что VeraCrypt не сможет выпускать обновленные сборки для Windows до истечения срока действия сертификата, что может вызвать проблемы с загрузкой у некоторых пользователей с включенным системным шифрованием.
Другими словами, если вы пользователь Windows и используете VeraCrypt, у вас есть повод для беспокойства. В недавно появившейся проблеме на GitHub автор сообщает, что DcsBoot.efi VeraCrypt подписан сертификатом Microsoft Corporation UEFI CA 2011, и предупреждает, что он перестанет работать 27 июня 2026 года. В описании проблемы также говорится, что в некоторых системах Windows 11 это может привести к появлению предупреждений о безопасной загрузке или даже к игнорированию опции загрузки.
Таким образом, если VeraCrypt не сможет восстановить путь к подписи Windows или вовремя выпустить обновленные подписанные компоненты, проект может столкнуться с реальными проблемами, связанными с безопасной загрузкой на затронутых системах.
На момент написания этой статьи Microsoft не предоставила публичных объяснений по поводу блокировки аккаунта.
Ключевые выводы
1. Зависимость open-source от крупных платформ — критическая уязвимость
Случай с VeraCrypt показал, что даже независимые проекты фактически зависят от инфраструктуры крупных компаний (в данном случае — системы подписания драйверов Windows). Одно решение корпорации может парализовать разработку и распространение ПО.
2. Отсутствие прозрачности подрывает доверие
Разработчик не получил ни предупреждений, ни внятного объяснения, а попытки связаться с поддержкой привели лишь к автоматическим ответам. Это вызывает серьёзные вопросы к прозрачности процессов Microsoft и отношению к разработчикам.
3. Нарушение цепочки поставки ПО (software supply chain)
Без возможности подписывать драйверы и загрузчики проект не может выпускать обновления для Windows — основной платформы пользователей. Это напрямую влияет на безопасность, так как патчи и обновления становятся недоступны.
4. Потенциальные риски для пользователей Windows
Если проблема не будет решена, пользователи VeraCrypt могут столкнуться:
- с невозможностью получать обновления
- с проблемами загрузки системы в будущем (из-за отзыва сертификатов)
5. Централизация контроля над экосистемой Windows
Инцидент демонстрирует, что Microsoft фактически контролирует, какое ПО может функционировать на уровне системы (через механизмы подписи и сертификации). Это усиливает зависимость разработчиков от политики компании.
6. Возможная причина — бюрократия, а не злой умысел
Microsoft заявила, что проблема могла быть связана с формальными требованиями (например, верификацией аккаунта), а не целенаправленной блокировкой проекта. Это указывает на риски излишне автоматизированных процессов.
7. Прецедент для других проектов (WireGuard и др.)
Проблема затронула не только VeraCrypt, но и другие open-source проекты, что говорит о системной проблеме, а не единичном случае.
Итоговый вывод
Ситуация вокруг VeraCrypt — это тревожный сигнал для всей индустрии:
даже популярные и проверенные open-source решения могут оказаться уязвимыми из-за централизованных механизмов контроля.
Это усиливает необходимость:
- диверсификации инфраструктуры распространения ПО
- повышения прозрачности со стороны платформ
- и снижения зависимости критически важных инструментов от одного поставщика