Zpět na domů

Blokování účtů VeraCrypt WireGuard Microsoft

Microsoft zablokovala účty vývojářů VeraCrypt, WireGuard a dalších v Windows Hardware Program kvůli neověřeným profilům. To paralyzovalo aktualizace ovladačů, zejména kritické pro systémové šifrování VeraCrypt před odhlašováním CA-2011. Rozbor rizik, trade-offs a doporučení pro vývojáře.

Microsoft zamrazila VeraCrypt a WireGuard: co čeká Windows
Advertisement 728x90

Microsoft zablokovala open-source vývojářské účty: rizika pro VeraCrypt a WireGuard na Windows

Microsoft náhle zablokoval účty vývojářů klíčových open-source nástrojů — VeraCrypt, WireGuard, MemTest86 a Windscribe — v programu Windows Hardware Program. Bez digitálního podepsání ovladačů jsou aktualizace pro Windows nemožné, což hrozí bezpečnosti milionů uživatelů. Zvláště zranitelný je VeraCrypt kvůli blížícímu se zrušení certifikátu z roku 2011.

Chronologie incidentu

  • března 2026 objevil tvůrce VeraCrypt Munir Idressi blokaci svého účtu v Microsoft Partner Center. Systém odmítl apelaci bez jakéhokoli vysvětlení. Podobně vývojář WireGuard Jason Donenfeld nemohl publikovat aktualizaci: účet byl zablokován a spuštěn 60denní proces odvolání.

Vývojáři zdůrazňují, že nebyli upozorněni. Microsoft zavedl povinnou verifikaci partnerů od 16. října 2025 — 30 dní na dokončení, poté automatická blokace. Písemná upozornění se podle zpráv posílala, ale příjemci je neviděli.

Viceprezident Microsoftu Scott Hanselman přes média kontaktoval postižené a slíbil řešení. Účty k datu události stále nebyly obnoveny.

Google AdInline article slot

Technické důsledky pro projekty

VeraCrypt: Aktuální verze 1.26.24 používá kořenový certifikát Microsoft Root Certificate Authority 2011, který bude zrušen v roce 2026. Bez nově podepsaného načítače nebude systémové šifrování (plné šifrování disku) fungovat s SecureBoot. Nesystémové svazky (kontejnery, oddíly) jsou ovlivněny méně.

WireGuard a Windscribe: Blokace zabraňuje vydání patchů pro Windows — hlavní platformy uživatelů. Kritická RCE-vulnerabilita vyžaduje 60 dní na opravu; aktualizace pro Linux/macOS jsou k dispozici.

MemTest86: Diagnostika RAM je ohrožena — bez podepsání nástroj se nepustí na systémech s SecureBoot.

Google AdInline article slot
  • *Klíčová rizika:

- Zpoždění bezpečnostních patchů o více než 60 dní

- Selhání systémového šifrování VeraCrypt

- Závislost open-source na monopole Microsoftu při podepisování ovladačů

Google AdInline article slot

- Chybějící upozornění na verifikaci

Proč je SecureBoot a podepisování kritické

Program Windows Hardware Program vydává EV Code Signing Certificate pro ovladače a načítače. Bez něj programy neprojdou ověřením SecureBoot — standard na všech moderních počítačích. Microsoft ovládá kořenové klíče, čímž otevírá open-source projekty riziku administrativních chyb.

Kompromis: pohodlnost SecureBoot proti flexibilitě. Kompromis: bezpečnost dodávky proti rychlosti aktualizací.

Pro senior vývojáře: toto zdůrazňuje nutnost multiplatformní strategie. Testujte ovladače na WSL2 nebo virtuálních strojích, sledujte zrušení CA prostřednictvím dokumentace Microsoftu.

Doporučení pro uživatele a DevOps

  • Zkontrolujte stav: VeraCrypt: veracrypt --version. Pokud je 1.26.24 — poslední podepsaná verze.
  • Monitorujte: Sledujte repozitáře na SourceForge a GitHub.
  • Alternativy: Pro systémové šifrování na Windows — BitLocker (nativní). VPN: OpenVPN s vlastním podepsáním (rizikové).
  • Vývojářská strategie: Používejte CI/CD s fallback na nepodepsané ovladače pro testování; migrujte kritické úlohy na Linux.
  • Dlouhodobý plán: Zvažte hardware bez SecureBoot nebo custom UEFI pro produkční prostředí.

Nainstalované verze fungují, ale bez patchů roste riziko. Pro VeraCrypt s systémovým šifrováním — priorita monitorování.

Co je důležité

  • Automatická blokace účtů bez upozornění porušila řetězec aktualizací pro více než 4 projekty.
  • VeraCrypt je ohrožen: zrušení CA-2011 způsobí selhání šifrování SecureBoot bez rychlé opravy.
  • Závislost open-source na Microsoftu při podepisování je systémovým rizikem pro Windows ekosystém.
  • Média urychlila reakci, ale procesy verifikace vyžadují vylepšení.
  • Praxe: diverzifikujte platformy, sledujte zrušení certifikátů.

Globální lekce pro IT průmysl

Incident odhaluje kompromisy monopole v podepisování kódu: bezpečnost proti dostupnosti. Open-source s miliony uživatelů (VeraCrypt >10M stažení) nemůže záviset na propadnutých procesech jednoho dodavatele. Podobná rizika existují i u Apple notarization a Google Play politik.

Pro střední/senior vývojáře: implementujte upozorňování na seznamy zrušených certifikátů (CRL/OCSP). V produkci — dual-boot nastavení nebo kontejnerové alternativy.

— Editorial Team

Advertisement 728x90

Číst dál