Twórca VeraCrypt, powszechnie używanego narzędzia do szyfrowania typu open source, wydał krytyczne ostrzeżenie dla użytkowników systemu Windows: nagłe zamknięcie konta Microsoft może wkrótce uniemożliwić wielu użytkownikom uruchomienie ich komputerów.
Istota problemu: unieważnienie podpisu cyfrowego
Mounir Idrassi, programista VeraCrypt z Japonii, ogłosił 30 marca, że Microsoft zawiesił konto, którego używał od lat do podpisywania sterowników systemu Windows i programu ładującego.
W ekosystemie Windows twórcy oprogramowania są zobowiązani do korzystania z certyfikatów cyfrowych w celu uwierzytelnienia swojego kodu i udowodnienia, że nie został on zmodyfikowany przez hakerów. Jest to szczególnie ważne w przypadku „bootloaderów” – oprogramowania, które uruchamia się w momencie włączenia komputera. Ponieważ firma Microsoft kontroluje urząd certyfikacji, który weryfikuje te podpisy, utrata dostępu do konta programisty nie tylko wstrzymuje aktualizacje, ale może sprawić, że oprogramowanie stanie się „niezaufane” przez sam system operacyjny.
Co to oznacza dla użytkowników
Konsekwencje tego blokowania w dużej mierze zależą od tego, jak dokładnie korzystasz z programu:
- Użytkownicy szyfrowania plików: Jeśli używasz VeraCrypt tylko do szyfrowania pojedynczych plików lub folderów, Twoje dane pozostaną bezpieczne, a program będzie na razie działał normalnie.
- Użytkownicy szyfrowania systemu (wysokie ryzyko): Jeśli używasz VeraCrypt do szyfrowania całego systemu operacyjnego (szyfrowanie przed uruchomieniem), jesteś narażony na ryzyko.
Idrassi ostrzega, że ponieważ Microsoft ostatecznie unieważni certyfikat CA używany do podpisywania bieżącego programu ładującego VeraCrypt, na urządzeniach od niego zależnych mogą wystąpić niepowodzenie rozruchu.
„Jeśli do tego czasu problem nie zostanie rozwiązany, będzie to w rzeczywistości wyrok śmierci dla VeraCrypt” – powiedział Idrassi TechCrunch.
Chronologia wydarzeń:
Chociaż w tej chwili nie ma bezpośredniego zagrożenia bezpieczeństwa, szacuje się, że techniczna „data wygaśnięcia” bieżącego podpisu programu ładującego spowoduje problemy w okolicach końca czerwca, a ostateczne wygaśnięcie certyfikatu urzędu certyfikacji spodziewane jest około lipca 2026 r..
Problem „mocy platformy”
Sytuacja ta uwydatnia rosnące napięcie w dzisiejszym krajobrazie technologicznym: ogromną władzę, jaką właściciele platform (tacy jak Microsoft i Apple) sprawują nad niezależnymi programistami.
Kiedy duża korporacja blokuje konto programisty – często za pomocą zautomatyzowanych systemów bez wyraźnego środka odwoławczego – może nieumyślnie zniszczyć krytyczną infrastrukturę strony trzeciej. Idrassi zauważył, że choć nadal może udostępniać aktualizacje użytkownikom Linuksa i macOS, baza użytkowników systemu Windows zasadniczo stoi w miejscu, dopóki Microsoft nie przywróci możliwości podpisywania nowego kodu.
To nie jest odosobniony przypadek. Podobne „zakazy kont” dotknęły ostatnio programistów platformy Apple, często spowodowane przez zautomatyzowane protokoły bezpieczeństwa pozbawione nadzoru człowieka.
Podsumowanie sytuacji
| Funkcja | Stan/konsekwencje |
|---|---|
| Szyfrowanie plików | Nie ma natychmiastowego wpływu; program pozostaje funkcjonalny. |
| Szyfrowanie systemu | Wysokie ryzyko ; Możliwa niemożność uruchomienia komputera. |
| Użytkownicy Linuksa/macOS | Nie dotyczy; aktualizacje są kontynuowane jak zwykle. |
| Użytkownicy systemu Windows | Aktualizacje są obecnie zablokowane z powodu blokady konta. |
Wniosek
Konflikt pomiędzy Microsoftem a twórcą VeraCrypt stanowi wyraźne przypomnienie o ryzyku związanym z poleganiem na oprogramowaniu stron trzecich w celu polegania na jednym dostawcy. Dla użytkowników systemu Windows korzystających z szyfrowania całego dysku nadchodzące miesiące zadecydują o tym, czy to ważne narzędzie bezpieczeństwa przetrwa, czy stanie się bezużyteczne.
