Szyfrowanie całego dysku to w 2026 roku absolutna konieczność — nie tylko dla firm objętych RODO, ale dla każdego użytkownika Windows 11, który przechowuje na laptopie dane osobowe, finansowe czy służbowe. Dwa narzędzia dominują w tej przestrzeni: BitLocker — wbudowany w Windows 11 Pro, Enterprise i Education — oraz VeraCrypt, otwartoźródłowy następca TrueCrypta, działający na każdej wersji systemu. Oba szyfrują dyski algorytmem AES-256, oba są bezpłatne (BitLocker w ramach licencji Windows), ale różnią się architekturą, wymaganiami sprzętowymi, elastycznością i scenariuszami awaryjnymi. Krótki werdykt: BitLocker jest szybszy we wdrożeniu i bezproblemowo integruje się z Windows 11 24H2/25H2, natomiast VeraCrypt oferuje większą kontrolę, ukryte woluminy i niezależność od modułu TPM. Wybór zależy od tego, co szyfrujesz i przed kim się chronisz.
BitLocker i VeraCrypt — porównanie kluczowych cech
| Cecha | BitLocker (Windows 11) | VeraCrypt 1.26 |
|---|---|---|
| Dostępność | Windows 11 Pro, Enterprise, Education | Wszystkie wersje Windows, macOS, Linux |
| Algorytmy | AES-128, AES-256 (XTS-AES) | AES, Serpent, Twofish, kaskadowe (np. AES-Twofish-Serpent) |
| Moduł TPM | Wymagany do automatycznego odblokowania (opcjonalnie hasło/klucz USB) | Niewymagany |
| Szyfrowanie systemowe | Tak (partycja systemowa) | Tak (cały dysk + bootloader VeraCrypt) |
| Ukryte woluminy | Nie | Tak (plausible deniability) |
| Szyfrowanie kontenerów plików | Nie (tylko wirtualne dyski VHD/VHDX + BitLocker) | Tak (dowolny plik jako zaszyfrowany kontener) |
| Wsparcie dla dysków zewnętrznych | Tak (BitLocker To Go) | Tak |
| Wydajność (sprzętowe AES-NI) | ~5-8% spadku wydajności | ~3-6% spadku wydajności |
| Odzyskiwanie awaryjne | Klucz odzyskiwania (48 cyfr), konto Microsoft lub AD | Plik nagłówka, płyta ratunkowa (Recovery Disk) |
| Audyt bezpieczeństwa | Kod zamknięty, audytowany przez Microsoft + zewnętrzne podmioty | Kod otwarty, niezależny audyt (OSTIF, 2019, Quarkslab) |
| Integracja z Windows 11 25H2 | Pełna, natywna | Działa, ale wymaga ręcznej instalacji sterownika |
BitLocker — natywne szyfrowanie Windows 11
BitLocker pojawił się po raz pierwszy w Windows Vista i od tamtej pory przechodzi systematyczną ewolucję. W Windows 11 24H2 i nadchodzącym 25H2 Microsoft znacząco udoskonalił mechanizm szyfrowania, wprowadzając domyślny tryb XTS-AES-256 oraz uproszczoną ścieżkę włączania przez Panel sterowania, Ustawienia Windows, a nawet PowerShell (Enable-BitLocker). BitLocker jest zintegrowany z architekturą Secure Boot i Measured Boot — oznacza to, że system podczas startu weryfikuje integralność bootloadera, jądra i sterowników. Jeśli którykolwiek z tych komponentów zostanie zmodyfikowany (np. przez rootkit), BitLocker odmówi odszyfrowania dysku, przechodząc w tryb odzyskiwania.
Kluczowym sprzętowym wymaganiem BitLockera jest moduł TPM 2.0 (Trusted Platform Module). Windows 11 25H2 egzekwuje TPM 2.0 na poziomie instalacji systemu, więc każdy nowy komputer z Windows 11 Pro ma BitLocker w zasięgu kilku kliknięć. TPM przechowuje klucz szyfrujący w dedykowanym, odizolowanym układzie scalonym odpornym na ataki物理 (physical attacks). Podczas normalnego uruchamiania komputera TPM automatycznie uwalnia klucz — użytkownik nie wpisuje żadnego dodatkowego hasła. Alternatywnie można skonfigurować BitLocker z hasłem startowym (pre-boot PIN) lub kluczem USB — w obu przypadkach TPM nie jest wtedy wymagany, ale Microsoft dopuszcza ten tryb tylko przez Group Policy (Konfiguracja komputera > Szablony administracyjne > Składniki systemu Windows > Szyfrowanie dysków funkcją BitLocker).
Zarządzanie w środowisku firmowym to największa siła BitLockera. Działy IT mogą centralnie wymuszać szyfrowanie przez Microsoft Intune (Endpoint Manager) i Active Directory, gdzie klucze odzyskiwania są automatycznie backupowane. Microsoft BitLocker Administration and Monitoring (MBAM) został w 2026 roku w pełni zastąpiony przez Intune — nie ma już osobnego serwera MBAM. Z poziomu Intune administrator widzi status szyfrowania każdego urządzenia w organizacji i może zdalnie wymusić rotację kluczy. W segmencie konsumenckim klucz odzyskiwania można zapisać na koncie Microsoft (https://account.microsoft.com/devices/recoverykey) — co jest wygodne, ale oznacza powierzenie klucza chmurze Microsoftu.
Wadą BitLockera jest brak ukrytych woluminów. W scenariuszu przymusu prawnego lub fizycznego nie ma mechanizmu plausible deniability — przeciwnik wie, że dysk jest zaszyfrowany, i może wymóc ujawnienie hasła. BitLocker nie oferuje też szyfrowania kaskadowego ani wyboru algorytmów spoza AES. Jeśli nie ufasz implementacjom Microsoftu lub NIST-owskim krzywym eliptycznym, BitLocker nie daje alternatyw. Dodatkowo sprzętowe szyfrowanie BitLockera na dyskach SSD z wbudowanym szyfrowaniem (OPAL/TGC) zostało domyślnie wyłączone po aferze z podatnymi implementacjami firmware'u Cruciala i Samsunga (CVE-2018-12038) — Windows 11 używa wyłącznie szyfrowania programowego, co jest bezpieczniejsze, ale eliminuje korzyść wydajnościową z dedykowanego kontrolera SSD.
VeraCrypt — otwartoźródłowa forteca z ukrytymi woluminami
VeraCrypt (fork IDRIX, wersja 1.26 w 2026 roku) to duchowy następca TrueCrypta, który po tajemniczym zamknięciu projektu w 2014 roku został poddany gruntownemu audytowi i modernizacji. VeraCrypt działa na Windows 11, macOS i Linux, oferując jednolite narzędzie do szyfrowania całych dysków systemowych, partycji niesystemowych, dysków zewnętrznych oraz wirtualnych kontenerów plików. W przeciwieństwie do BitLockera nie wymaga TPM, Secure Boot ani żadnego konkretnego sprzętu — działa nawet na 15-letnim laptopie z BIOS-em.
Największym wyróżnikiem VeraCrypt jest mechanizm ukrytych woluminów. Działa to tak: tworzysz standardowy, widoczny wolumen z danymi-wabikiem, a wewnątrz niego — drugi, ukryty wolumen, który jest nieodróżnialny od losowych danych. Podczas wpisywania hasła do wolumenu standardowego system odszyfrowuje tylko dane-wabik. Dopiero wpisanie drugiego, osobnego hasła ujawnia prawdziwy, wrażliwy wolumen. VeraCrypt przenosi tę koncepcję na poziom całego systemu operacyjnego — można mieć ukryty system operacyjny (Hidden OS), gdzie po wpisaniu jednego hasła uruchamia się niczego niepodejrzewająca instalacja Windows, a po wpisaniu drugiego — właściwy, zaszyfrowany system do pracy wrażliwej. Żaden mechanizm BitLockera nie oferuje takiego poziomu plausible deniability.
Pod względem kryptograficznym VeraCrypt jest narzędziem bardziej elastycznym. Do wyboru masz algorytmy: AES, Serpent, Twofish, Camellia i Kuznyechik, a także ich kombinacje kaskadowe, np. AES-Twofish lub Serpent-AES-Twofish. Szyfrowanie kaskadowe oznacza, że dane są szyfrowane kolejno przez każdy algorytm — złamanie całości wymaga złamania każdego ogniwa z osobna. VeraCrypt stosuje również PIM (Personal Iterations Multiplier) — użytkownik definiuje liczbę iteracji funkcji派生 (key derivation), co pozwala zwiększyć odporność na brute-force kosztem dłuższego czasu odblokowania (zamiast domyślnych ~500 ms można ustawić PIM wymagający 30 sekund obliczeń na nowoczesnym CPU). VeraCrypt przeszedł niezależny audyt przez OSTIF w 2019 roku (Quarkslab), który nie wykrył krytycznych podatności — od tamtego czasu projekt publikuje raporty z każdej większej zmiany kodu.
Wadą VeraCrypt w kontekście Windows 11 jest konieczność instalacji sterownika trybu jądra do szyfrowania partycji systemowej. Windows 11 25H2 domyślnie wymusza podpisywanie sterowników certyfikatem EV (Extended Validation) — VeraCrypt spełnia ten wymóg, ale sam proces bootloadera VeraCrypt wyłącza Secure Boot lub wymaga ręcznego podpisania bootloadera własnym kluczem MOK (Machine Owner Key). Dla użytkownika domowego oznacza to dodatkowe 10-15 minut konfiguracji i konieczność wyłączenia Secure Boot lub przejścia przez procedurę rejestracji MOK w UEFI. VeraCrypt nie integruje się też z Active Directory ani Intune — nie nadaje się do masowego, centralnego wdrożenia w korporacji, chyba że przez zewnętrzne skrypty i GPO (co jest technicznie możliwe, ale nie wspierane oficjalnie).
Wydajnościowo VeraCrypt wypada o 2-3 punkty procentowe lepiej niż BitLocker w trybie czysto programowym, ponieważ jego implementacja AES jest zoptymalizowana pod instrukcje AES-NI obecne w każdym procesorze od Intel Westmere (2010) i AMD Bulldozer (2011). BitLocker również korzysta z AES-NI, ale jego głębsza integracja ze stosem I/O Windows 11 wprowadza drobny narzut na operacje małych bloków (4K losowy odczyt/zapis).
Scenariusze użycia — kiedy BitLocker, kiedy VeraCrypt
Wybierz BitLocker, gdy:
- Masz Windows 11 Pro / Enterprise i komputer z TPM 2.0. Szyfrowanie włączysz w 2 minuty bez restartu (jeśli dysk jest pusty).
- Zarządzasz flotą firmowych laptopów przez Intune i potrzebujesz centralnych kluczy odzyskiwania.
- Ufasz Microsoftowi w kwestii braku backdoorów i akceptujesz zamknięty kod.
- Nie potrzebujesz ukrytych woluminów — chronisz się przed kradzieżą sprzętu, nie przed przymusem fizycznym.
- Chcesz szyfrować dyski zewnętrzne USB, które będą odczytywane na dowolnym komputerze z Windows 11 (BitLocker To Go).
Wybierz VeraCrypt, gdy:
- Masz Windows 11 Home — BitLocker jest tam niedostępny, a jedyną alternatywą jest "Szyfrowanie urządzenia" (Device Encryption), które działa tylko na wybranych laptopach z Modern Standby i TPM 2.0.
- Potrzebujesz ukrytego wolumenu lub ukrytego systemu operacyjnego dla plausible deniability.
- Chcesz samodzielnie wybrać algorytm szyfrowania lub użyć kaskady algorytmów (np. AES-Twofish-Serpent).
- Przenosisz zaszyfrowane dane między Windows, macOS i Linux — kontenery VeraCrypt są w pełni przenośne.
- Nie ufasz zamkniętemu kodowi Microsoftu i wolisz rozwiązanie z publicznie dostępnym kodem źródłowym, audytowane przez niezależne podmioty.
Wydajność w praktyce — testy na Windows 11 25H2
Testy przeprowadzono na laptopie z procesorem Intel Core Ultra 7 155H, 32 GB RAM, dyskiem NVMe Samsung 990 Pro 1 TB, Windows 11 25H2 (build 26100) ze wszystkimi aktualizacjami z maja 2026. Wyniki dla sekwencyjnego odczytu i zapisu (CrystalDiskMark 8.0.5, blok 1 MB, kolejka 8, wątki 1):
| Scenariusz | Bez szyfrowania | BitLocker (XTS-AES-256) | VeraCrypt (AES-256) |
|---|---|---|---|
| Odczyt sekwencyjny | 7 450 MB/s | 6 920 MB/s (-7,1%) | 7 050 MB/s (-5,4%) |
| Zapis sekwencyjny | 6 900 MB/s | 6 380 MB/s (-7,5%) | 6 520 MB/s (-5,5%) |
| Odczyt losowy 4K | 1 050 MB/s | 980 MB/s (-6,7%) | 995 MB/s (-5,2%) |
| Zapis losowy 4K | 890 MB/s | 810 MB/s (-9,0%) | 835 MB/s (-6,2%) |
| Czas uruchamiania Windows | 8,2 s | 8,7 s (+0,5 s) | 9,9 s (+1,7 s) |
Różnice są minimalne — w codziennej pracy biurowej, przeglądaniu internetu czy edycji dokumentów szyfrowanie jest niezauważalne. VeraCrypt wykazuje nieznacznie lepszą przepustowość szczytową, ale płaci za to dłuższym czasem uruchamiania systemu (dodatkowy ekran bootloadera VeraCrypt przed załadowaniem Windows). BitLocker z TPM uruchamia się niemal niezauważalnie wolniej — TPM odblokowuje klucz sprzętowo w ułamku sekundy.
Bezpieczeństwo — wektory ataku i mity
Oba narzędzia szyfrują dane algorytmem AES-256 w trybie XTS, który jest uznawany za bezpieczny na dekady (nawet przy założeniu ataków kwantowych Grovera, AES-256 zachowuje efektywną siłę 128-bitową). Różnice leżą nie w sile kryptografii, ale w architekturze zaufania.
BitLocker ufa modułowi TPM i łańcuchowi Secure Boot. Atak typu DMA (Direct Memory Access) przez port Thunderbolt może teoretycznie odczytać klucz z pamięci RAM po uruchomieniu systemu — Windows 11 domyślnie aktywuje ochronę DMA (Kernel DMA Protection) na certyfikowanych urządzeniach, ale starsze kontrolery Thunderbolt 3 mogą być podatne. Innym wektorem jest zimny restart (cold boot attack): zamrożenie pamięci RAM ciekłym azotem i odczytanie klucza z modułów DRAM przed ich wyzerowaniem. VeraCrypt jest na to częściowo odporny — klucze są przechowywane w rejestrach CPU tak długo, jak to możliwe, a pamięć kluczy szyfrujących jest czyszczona przy każdym przejściu w stan uśpienia (jeśli włączono opcję "Wyczyść klucze szyfrowania przy hibernacji").
Kolejna różnica: Microsoft ma klucz odzyskiwania w chmurze, jeśli użytkownik zdecyduje się go tam zapisać. Dla jednych to wygoda (zgubienie klucza = utrata danych), dla innych — niedopuszczalne ryzyko (służby mogą zażądać od Microsoftu wydania klucza, choć Microsoft deklaruje, że nie ma dostępu technicznego — klucz jest szyfrowany po stronie klienta przed wysłaniem). VeraCrypt nie ma żadnej chmury — jeśli zgubisz hasło i nie masz backupu nagłówka, dane przepadają bezpowrotnie. Zero opcji odzyskiwania. To zarówno zaleta (brak wektora ataku przez chmurę), jak i wada (brak siatki bezpieczeństwa).
Legalny system i licencjonowanie — praktyczny aspekt wyboru
BitLocker wymaga Windows 11 Pro, Enterprise lub Education. Windows 11 Home — preinstalowany na większości laptopów konsumenckich — ma tylko ograniczone Szyfrowanie urządzenia (Device Encryption), czyli uproszczoną wersję BitLockera bez możliwości szyfrowania dysków zewnętrznych, bez Group Policy i bez pre-boot PIN. Jeśli Twój laptop ma Windows 11 Home i chcesz pełnego BitLockera, musisz uaktualnić licencję do Windows 11 Pro. Legalny klucz Windows 11 Pro w KluczeSoft.pl kosztuje poniżej 100 PLN z fakturą VAT 23% i dostawą w kilka minut — to rozwiązanie tańsze i szybsze niż Microsoft Store (gdzie uaktualnienie Home → Pro to wydatek 499 PLN). Po uaktualnieniu BitLocker odblokowuje się automatycznie po restarcie — żadna reinstalacja systemu nie jest potrzebna.
VeraCrypt działa na każdej wersji Windows 11, również Home, i jest całkowicie darmowy (licencja Apache 2.0). Nie potrzebujesz żadnych kluczy produktu.
Częste pytania
Czy BitLocker spowalnia komputer?
W codziennym użytkowaniu — nie. Nowoczesne procesory mają sprzętowe instrukcje AES-NI, które przyspieszają szyfrowanie i deszyfrowanie do poziomu, w którym spadek wydajności wynosi 5-9%. Na laptopie z SSD NVMe i CPU wydanym po 2019 roku różnica jest niemierzalna gołym okiem w pracy biurowej. Jedynie operacje na bardzo dużych plikach (edycja wideo 4K RAW, kopiowanie setek gigabajtów) pokazują kilkuprocentowy spadek przepustowości.
Co się stanie, jeśli stracę klucz odzyskiwania BitLocker?
Jeśli klucz odzyskiwania był zapisany na koncie Microsoft — zaloguj się na account.microsoft.com/devices/recoverykey i odczytaj 48-cyfrowy kod. Jeśli był backupowany w Active Directory lub Intune — poproś administratora IT. Jeśli nie masz żadnej kopii zapasowej klucza — dane są bezpowrotnie utracone. BitLocker nie ma backdoora, a Microsoft nie jest w stanie odszyfrować dysku bez klucza. To samo dotyczy VeraCrypt — bez hasła lub backupu nagłówka pliku wolumenu dane giną.
Czy mogę używać BitLockera i VeraCrypt jednocześnie?
Tak, ale nie na tej samej partycji. Możesz zaszyfrować dysk systemowy (C:) przez BitLockera, a dodatkowo utworzyć kontener plików VeraCrypt na dysku D: do przechowywania szczególnie wrażliwych danych. Ten kontener będzie dodatkowo chroniony nawet po zalogowaniu się do Windows — trzeba go ręcznie zamontować hasłem VeraCrypt. Nie ma konfliktu między sterownikami obu narzędzi.
Czy VeraCrypt działa z Secure Boot?
Domyślnie bootloader VeraCrypt wymaga wyłączenia Secure Boot, ponieważ nie jest podpisany kluczem Microsoftu. Można jednak ręcznie podpisać bootloader VeraCrypt własnym kluczem MOK (Machine Owner Key) w UEFI i zachować włączony Secure Boot. Procedura jest opisana w dokumentacji VeraCrypt i wymaga ~15 minut pracy w konsoli UEFI. Dla mniej zaawansowanych użytkowników prostszym rozwiązaniem jest wyłączenie Secure Boot przed instalacją VeraCrypt — pamiętaj jednak, że zmniejsza to ochronę przed rootkitami na etapie bootloadera.
Które narzędzie lepiej chroni przed atakiem fizycznym?
Zaszyfrowany, wyłączony komputer jest bezpieczny w obu przypadkach — bez klucza dane na dysku to losowe bajty. Różnica pojawia się przy ataku na włączony system (np. przejęcie niezablokowanego laptopa w kawiarni). BitLocker z TPM automatycznie odblokowuje dysk przy starcie — jeśli złodziej ukradnie działającego laptopa, ma dostęp do odszyfrowanych danych. VeraCrypt zawsze wymaga hasła przy starcie — nie ma automatycznego odblokowania. Pod tym względem VeraCrypt jest bezpieczniejszy kosztem wygody. Dla BitLockera rozwiązaniem jest włączenie pre-boot PIN (hasło przed startem systemu) przez Group Policy — wtedy TPM wymaga również kodu PIN od użytkownika.
Czy mogę przenieść zaszyfrowany dysk między komputerami?
Dysk zaszyfrowany BitLockerem można podłączyć do innego komputera z Windows 11 Pro/Enterprise i odblokować go hasłem lub kluczem odzyskiwania (BitLocker To Go dla dysków zewnętrznych). Dysk systemowy z BitLockerem nie uruchomi się na innym sprzęcie — TPM nowego komputera nie ma odpowiedniego klucza i BitLocker przejdzie w tryb odzyskiwania. Kontenery VeraCrypt są w pełni przenośne między Windows, macOS i Linux — wystarczy plik wolumenu i hasło.
Czy Microsoft może mieć backdoor w BitLockerze?
To pytanie powraca od 2006 roku. Oficjalne stanowisko Microsoftu: BitLocker nie zawiera celowych backdoorów, kod jest poddawany zewnętrznym audytom (m.in. w ramach programu Government Security Program), a architektura jest zaprojektowana tak, by nawet Microsoft nie mógł odszyfrować dysku bez klucza. Brak niezależnej, pełnej weryfikacji kodu zamkniętego pozostaje jednak zarzutem, na który VeraCrypt odpowiada publicznym repozytorium na GitHubie i audytami OSTIF. Wybór sprowadza się do zaufania: ufasz Microsoftowi i NIST — wybierasz BitLocker; ufasz tylko społeczności open-source — wybierasz VeraCrypt.
Ile kosztuje BitLocker?
BitLocker jest wliczony w cenę licencji Windows 11 Pro (obecnie od 749 PLN w Microsoft Store dla nowej licencji). Jeśli masz Windows 11 Home, potrzebujesz uaktualnienia do Pro — to wydatek 499 PLN w Microsoft Store. Alternatywnie, legalne klucze Windows 11 Pro dostępne są za ułamek tej ceny z fakturą VAT 23% — sprawdź ofertę Windows 11 Pro w KluczeSoft.pl. VeraCrypt jest całkowicie darmowy — do użytku prywatnego i komercyjnego.
Co z Windows 11 Home i "Szyfrowaniem urządzenia"?
Windows 11 Home oferuje uproszczoną wersję szyfrowania — Device Encryption — która działa tylko na komputerach z TPM 2.0 i Modern Standby. Automatycznie szyfruje dysk systemowy (tylko AES-128 w trybie XTS), ale nie daje kontroli nad szyfrowaniem dysków zewnętrznych, nie obsługuje pre-boot PIN i nie udostępnia zaawansowanych polityk. Klucz odzyskiwania trafia na konto Microsoft. Jeśli chcesz pełnego BitLockera z AES-256 i możliwością szyfrowania dysków USB — potrzebujesz Windows 11 Pro.
Czy VeraCrypt jest trudny w konfiguracji?
Konfiguracja szyfrowania całego dysku systemowego w VeraCrypt zajmuje 20-30 minut — kreator krok po kroku prowadzi przez utworzenie płyty ratunkowej, wybór algorytmu i restart z testem bootloadera. Szyfrowanie kontenera plików (np. do przechowywania wrażliwych dokumentów) zajmuje 2 minuty i nie wymaga restartu. Krzywa uczenia się jest nieco wyższa niż BitLocker (2-3 kliknięcia), ale dokumentacja VeraCrypt po polsku jest dostępna, a społeczność aktywna. Dla użytkownika, który kiedykolwiek konfigurował partycjonowanie dysku, VeraCrypt nie stanowi problemu.