VeraCrypt 專案近況更新 (★ 112 分)
VeraCrypt 維護者 Mounir Idrassi 在 SourceForge 論壇更新近況,表示自己過去幾個月因個人與工作上的挑戰暫時缺席,其中最嚴重的是微軟突然終止他多年來用於替 Windows 驅動程式與開機載入程式 (bootloader) 做數位簽章的帳號。微軟未事先寄出警告,也沒有說明原因,畫面上還顯示無法提出申訴;他嘗試透過多種管道聯絡微軟,得到的幾乎只有自動回覆與機器人,始終找不到真人協助。這不只衝擊 VeraCrypt,也影響他日常工作的其他業務。
這項變動的直接後果,是 VeraCrypt 目前無法發布新的 Windows 更新版本;Linux 與 macOS 仍可持續更新,但 Windows 仍是最多使用者仰賴的平台,對專案而言是重大打擊。Idrassi 表示自己幾乎已沒有其他辦法,因此公開尋求外界提案與協助。原論壇裡也有人追問,現行 Windows 版 1.26.24 使用的舊簽章是否會在憑證授權單位 (CA, Certificate Authority) 到期後影響安全開機 (Secure Boot)、安裝流程、非系統磁碟區掛載與可攜使用情境;另有回應建議透過客服表單、Reddit、X (原 Twitter) 與直接寫信給微軟高層,甚至藉由科技媒體與隱私倡議者施壓,讓事件被真人接手處理。也有人猜測,問題可能與帳號審核誤判、他近期搬到日本,或加密工具容易被貼上高風險標籤有關,並提出暫時提供不仰賴驅動簽章的封存式功能作為替代方向。
在 Hacker News 的高分回應裡,許多人把這件事視為封閉平台長年存在的結構性風險:只要軟體要在 Windows、macOS、iOS 或 Android 這類平台上發布,開發者就得仰賴平台方的程式碼簽章與帳號審核體系,一旦憑證或帳號被撤銷,往往缺乏透明理由與有效救濟。有開發者直言,自己正準備發布已簽章的 Windows 桌面軟體,因此對這種無預警停權特別不安;回應者則指出,這類案例過去已在不同開發者身上反覆出現,法律上未必完全無解,但實務上常變成個人與大型企業比耐力,成本極高。
討論也提到,LibreOffice 開發者先前曾遭遇近似的微軟帳號封鎖事件,顯示問題不只單一個案。許多人認為,想在這類公司裡找到真人窗口,往往得靠媒體報導、熟人牽線或在 X 上形成輿論壓力。更深一層的批評則指向現行簽章機制本身:它名義上是建立信任的安全措施,實際上卻常先卡住守規矩的開發者與一般使用者;外洩憑證、惡意驅動程式與遊戲作弊用的核心驅動仍能流通,限制反而未必真正攔住壞人。不過也有人提醒,若沒有更好的驗證制度,程式碼簽章至少仍是判斷軟體可信度的基本訊號。整體來看,這起事件讓 VeraCrypt 的未來發布節奏蒙上陰影,也再次暴露 Windows 軟體生態對單一平台審核權力的高度仰賴。
👥 19 則討論、評論 💬
https://news.ycombinator.com/item?id=47686549