返回首页

账户封锁 VeraCrypt WireGuard Microsoft

由于未验证配置文件,Microsoft 在 Windows Hardware Program 中封锁了 VeraCrypt、WireGuard 和其他开发者的账户。这瘫痪了驱动程序更新,特别是 CA-2011 吊销前对 VeraCrypt 系统加密至关重要。风险、权衡取舍以及开发者推荐分析。

Microsoft 已冻结 VeraCrypt 和 WireGuard:Windows 将面临什么
Advertisement 728x90

微软封禁开源开发者:VeraCrypt与WireGuard面临Windows风险

微软意外暂停了关键开源工具——VeraCrypt、WireGuard、MemTest86和Windscribe——在Windows硬件计划中的开发者账户。没有有效的数字签名,Windows驱动更新无法发布,数百万用户的系统安全受到威胁。其中,VeraCrypt尤其危险,因其2011年根证书即将被撤销。

事件时间线

2026年3月30日,VeraCrypt创始人Munir Idrassi发现其在Microsoft Partner Center的账户被封锁。申诉被拒,且未提供任何理由。同样,WireGuard维护者Jason Donenfeld也无法发布更新——其账户被锁定,触发60天申诉流程。

开发者强调此前毫无预警。微软自2025年10月16日起实施强制合作伙伴验证,要求30天内完成合规,否则自动暂停。尽管声称已发送邮件,但许多开发者表示从未收到。

Google AdInline article slot

媒体曝光后,微软副总裁Scott Hanselman主动联系,承诺解决。但截至当前,受影响账户仍处于停用状态。

项目技术影响

VeraCrypt:当前版本1.26.24仍使用微软2011年根证书,该证书将于2026年撤销。若无新签名的引导程序,全盘加密(FDE)将在SecureBoot环境下失效。非系统卷(容器、分区)受影响较小。

WireGuard与Windscribe:封锁导致Windows补丁无法推送——这正是大多数用户运行这些工具的环境。一个关键远程代码执行漏洞需60天修复,而Linux与macOS版本已更新。

Google AdInline article slot

MemTest86:内存诊断工具面临风险——未经签名的工具无法在SecureBoot系统上启动。

  • 核心风险

- 安全补丁延迟超过60天

- VeraCrypt系统加密功能失效

Google AdInline article slot

- 对微软驱动签名垄断的过度依赖

- 未提前通知验证要求

为何SecureBoot与签名至关重要

Windows硬件计划颁发EV代码签名证书,用于驱动和引导程序。无此证书,软件将无法通过SecureBoot检测——这是现代PC的标准配置。微软掌控根密钥,使开源项目易受管理失误影响。

权衡:SecureBoot的便利性 vs. 开发灵活性。开发者必须依赖一个流程完全自动化、无人工干预的厂商,这在供应链安全与及时更新之间制造了矛盾。

对资深开发者而言,这凸显了多平台策略的重要性:在WSL2或虚拟机中测试驱动;通过微软文档持续监控CA吊销情况。

用户与运维团队建议

  • 检查状态:对于VeraCrypt,运行 veracrypt --version。若显示1.26.24,则为最后一个已签名版本。
  • 关注更新:密切留意SourceForge与GitHub仓库的官方公告。
  • 替代方案:系统加密可使用原生的BitLocker。VPN方面,可考虑OpenVPN搭配自签名证书——但需清楚潜在风险。
  • 开发策略:构建CI/CD流水线,测试时启用未签名驱动回退机制;关键任务迁移至Linux平台。
  • 长期规划:生产环境考虑使用无SecureBoot的硬件或自定义UEFI固件。

当前版本仍可运行,但未修补漏洞显著增加风险。依赖系统加密的VeraCrypt用户必须保持高度警惕。

最关键问题

  • 无预警的自动账户冻结中断了四个以上项目的更新链。
  • VeraCrypt正面临严重威胁:撤销CA-2011证书将导致SecureBoot加密失效,且缺乏快速应对方案。
  • 开源项目对微软签名流程的依赖,在整个Windows生态中构成系统性风险。
  • 媒体压力推动了行动,但验证流程亟需优化。
  • 最佳实践:平台多元化,并主动追踪CA吊销信息。

对IT行业的深层启示

此次事件揭示了垄断式代码签名的代价:安全性与可访问性的权衡。拥有千万级用户的开源项目(如VeraCrypt下载量超1000万),不应依赖单一厂商控制的不透明流程。苹果的公证机制与谷歌Play政策也存在类似风险。

对中高级开发者:应设置证书吊销列表(CRL/OCSP)警报。生产环境中,采用双系统启动或容器化替代方案。

— Editorial Team

Advertisement 728x90

继续阅读