Il futuro di VeraCrypt su Windows è improvvisamente diventato incerto, e la questione merita parecchia attenzione. Microsoft ha chiuso senza preavviso l’account utilizzato dallo sviluppatore principale del progetto per firmare digitalmente i driver e il bootloader del software. Parliamo di Mounir Idrassi, ingegnere e sviluppatore francese che nel corso degli anni ha trasformato la base di codice abbandonata di TrueCrypt in uno strumento oggi usato su larga scala per la protezione dei dati. VeraCrypt non si limita a creare volumi crittografati montabili all’occorrenza: permette anche di cifrare intere unità di memorizzazione, compresa quella di sistema di Windows. In pratica, è un concorrente diretto di BitLocker, con la differenza di essere open source e completamente gratuito.
Eppure, una decisione improvvisa da parte di Microsoft rischia ora di bloccare gli aggiornamenti del software sulla piattaforma che raccoglie la maggioranza dei suoi utenti.
Cosa comporta la chiusura dell’account e perché è un problema serio
Idrassi ha segnalato pubblicamente la situazione. Senza l’account Microsoft attivo, il processo di rilascio delle nuove versioni di VeraCrypt per Windows si interrompe. Il motivo è tecnico ma piuttosto concreto: i sistemi moderni, con Secure Boot attivo, richiedono che i driver siano firmati digitalmente per garantire l’integrità del codice caricato in fase di avvio. Se manca una firma valida, l’installazione standard del software diventa impossibile oppure richiede interventi manuali che abbassano il livello di sicurezza complessivo.
Il punto più delicato riguarda il bootloader cifrato, che su Windows deve rispettare vincoli molto stringenti per evitare blocchi o avvisi durante l’avvio. La firma digitale riguarda sia i driver kernel mode sia il componente di pre boot authentication, essenziale per la cifratura dell’intero disco. Le versioni recenti, come la 1.26.24, risultano ancora firmate con certificati più datati, destinati a scadere a breve, con impatti diretti sulla compatibilità futura.
Quando il certificato scade o viene revocato, il sistema può rifiutare il caricamento del driver, soprattutto su macchine con firmware UEFI e Secure Boot attivo. L’utente, a quel punto, si trova davanti a due strade: disabilitare la protezione oppure rinunciare al software aggiornato.
Microsoft non ha rilasciato comunicazioni ufficiali, e questo ha alimentato diverse ipotesi. Tra le più concrete c’è il rafforzamento dei requisiti legati al programma Trusted Signing, che impone controlli più severi su chi distribuisce codice eseguito prima dell’avvio del sistema. Progetti indipendenti come VeraCrypt potrebbero trovarsi in difficoltà nel soddisfare requisiti di verifica, auditing e identità. Va considerato anche che il bootloader di VeraCrypt opera prima del caricamento di Windows, in una fase estremamente sensibile: Microsoft tende a limitare l’esecuzione di componenti non strettamente controllati in questa fase. E poi, sullo sfondo, c’è un fatto che non si può ignorare: VeraCrypt rappresenta un’alternativa diretta a BitLocker. Non esistono prove che il blocco sia legato a dinamiche concorrenziali, ma il software interviene nelle stesse aree critiche del sistema operativo, il che lo rende soggetto a controlli più severi.
Cosa cambia per chi usa VeraCrypt oggi e cosa potrebbe succedere
Chi ha già VeraCrypt installato su Windows non subisce effetti immediati: la cifratura continua a funzionare perché i dati restano accessibili tramite le chiavi già derivate. Però nel medio periodo emergono limiti importanti. L’installazione su nuovi sistemi può diventare complicata, e in alcuni casi serve disattivare Secure Boot o avviare il sistema in modalità di test per consentire driver non firmati. Una procedura che riduce la protezione contro codice malevolo a basso livello.
VeraCrypt implementa cifratura trasparente con algoritmi come AES, Serpent e Twofish, anche in modalità concatenata, e si basa sulla derivazione delle chiavi tramite PBKDF2 con centinaia di migliaia di iterazioni. Funzioni avanzate come la cifratura dell’intero sistema, la creazione di volumi nascosti e la difesa dai cosiddetti cold boot attack richiedono un accesso profondo al sistema, possibile solo tramite componenti firmati digitalmente.
Il problema riguarda esclusivamente Windows. Su Linux e macOS, dove la gestione dei driver segue logiche differenti, lo sviluppo prosegue senza blocchi. Una possibile soluzione tecnica consiste nell’ottenere un nuovo certificato di firma tramite un’entità riconosciuta da Microsoft, ma il processo richiede validazioni rigorose e può risultare complesso per progetti indipendenti come VeraCrypt.
