BitLocker od Microsoftu i VeraCrypt od IDRIX to dwa główne narzędzia do szyfrowania dysków w Windows 11, które różnią się filozofią, wymaganiami sprzętowymi i dostępnością. BitLocker jest wbudowany, ściśle zintegrowany z TPM i wygodny, ale wymaga wersji Pro lub Enterprise; VeraCrypt jest darmowy, open source, działa na każdym Windows (także Home) i oferuje kaskadowe algorytmy oraz ukryte woluminy — lecz wymaga instalacji i ręcznej konfiguracji.
Werdykt w 3 zdaniach: Dla typowego użytkownika z Windows 11 Pro i nowoczesnym sprzętem (TPM 2.0) — BitLocker to najlepszy wybór: aktywacja w 30 sekund, automatyczna integracja z kontem Microsoft i zeroobsługowe działanie. Jeśli potrzebujesz szyfrowania na Windows 11 Home, działasz na wielu systemach (Windows + Linux + macOS) lub wymagasz niezależnego audytu bezpieczeństwa i ukrytych woluminów — VeraCrypt jest jedynym sensownym wyborem. Organizacje podlegające zgodności (ISO 27001, RODO) często wybierają BitLocker ze względu na integrację z Active Directory i Microsoft Intune.
W skrócie
- BitLocker: wbudowany w Windows 11 (Pro, Enterprise, Education). Wymaga TPM dla pełnej ochrony. Szyfruje AES-XTS 128 lub 256-bit.
- Device Encryption (uproszczony BitLocker): dostępny we wszystkich edycjach Windows 11, także Home. Od wersji 24H2 włączany automatycznie przy czystej instalacji, bez wymogu Modern Standby.
- VeraCrypt: darmowy, open source (Apache 2.0 + TrueCrypt License 3.0), fork TrueCrypt. Wersja 1.26.27 (wrzesień 2025). Działa na Windows, macOS, Linux, FreeBSD.
- VeraCrypt nie wymaga TPM — może szyfrować dowolny komputer, ale bootloader jest mniej zintegrowany z UEFI Secure Boot.
- Kluczowa różnica: BitLocker = wygoda + ekosystem Microsoft; VeraCrypt = pełna kontrola + cross-platform + brak zależności od jednego dostawcy.
- Oba obsługują AES sprzętowo (AES-NI), oba są podatne na cold boot attack przy braku PIN/hasła, oba mają za sobą audyty bezpieczeństwa.
BitLocker vs VeraCrypt: tabela porównawcza
| Cecha | BitLocker (Microsoft) | VeraCrypt (IDRIX) |
|---|---|---|
| Producent / zespół | Microsoft Corporation | Mounir Idrassi (IDRIX, Paryż) — open source |
| Cena | Wbudowany w Windows 11 Pro/Enterprise/Education; licencja Windows | Całkowicie darmowy — do pobrania z veracrypt.fr |
| Edycje Windows | Pro, Enterprise, Education; Home tylko przez Device Encryption | Wszystkie (Windows 10 1809+, łącznie z Home) |
| Inne systemy operacyjne | ❌ Tylko Windows (Linux odczytuje przez cryptsetup/dislocker) | ✅ Windows, macOS 12+, Linux, FreeBSD |
| Wymagania sprzętowe | TPM 1.2 lub 2.0 (dla pełnej ochrony); UEFI z Secure Boot | Brak wymagań sprzętowych (może działać nawet na MBR/Legacy BIOS) |
| Algorytmy szyfrowania | AES-CBC, AES-XTS (128 lub 256-bit) | AES, Serpent, Twofish, Camellia, Kuznyechik + 10 kombinacji kaskadowych (np. AES-Twofish-Serpent) |
| Tryb szyfrowania | XTS (domyślnie od Windows 10 1511) | XTS |
| Funkcja mieszająca (KDF) | PBKDF2 z SHA-256 (domyślnie); klucz przechowywany w TPM | PBKDF2 z BLAKE2s, SHA-256, SHA-512, Whirlpool, Streebog; 200–500 tys. iteracji (domyślnie); opcjonalny PIM |
| Ukryte woluminy (plausible deniability) | ❌ Brak | ✅ Pełne wsparcie — ukryty wolumin w woluminie, ukryty system operacyjny |
| Kod źródłowy | Zamknięty (proprietary); kod dostępny dla partnerów pod NDA | Otwarty — audytowany przez QuarksLab (2016) i Fraunhofer/BSI (2020) |
| Pre-boot authentication | TPM, TPM+PIN, TPM+USB, hasło (bez TPM) | Hasło, PIM, pliki-klucze (keyfiles), karty inteligentne EMV |
| Integracja z domeną | ✅ Active Directory, Microsoft Entra ID, Intune (kopie zapasowe kluczy) | ❌ Brak (zarządzanie ręczne lub własnymi skryptami) |
| Szybkość (AES, z AES-NI) | Bardzo wysoka — praktycznie niezauważalny narzut | Bardzo wysoka — podobny narzut; wolniejszy przy algorytmach kaskadowych |
| Wsparcie dla TRIM na SSD | ✅ Domyślnie włączone (na partycji systemowej) | ✅ Od wersji 1.22, domyślnie wyłączone dla partycji niesystemowych |
| Znane podatności (2025–2026) | CVE-2026-45585 (YellowKey — obejście przez spreparowane pliki FsTx na USB/EFI) | Brak znanych podatności umożliwiających obejście szyfrowania w obecnej wersji |
| Maks. rozmiar woluminu | Ograniczony wyłącznie przez system plików (NTFS do 8 PB na wolumin) | Ograniczony przez system plików; kontenery plikowe do rozmiaru wolnego miejsca na dysku |
BitLocker — szyfrowanie wbudowane w Windows
BitLocker pojawił się w Windows Vista (2006) i od tego czasu przeszedł długą drogę od narzędzia Enterprise do funkcji konsumenckiej. W Windows 11 jest w pełni zintegrowany z systemem: aktywacja wymaga dosłownie 3 kliknięć w Panelu sterowania (lub przez PowerShell: Enable-BitLocker -MountPoint "C:" -TpmProtector).
Jak działa BitLocker
BitLocker szyfruje całe woluminy (partycje) na poziomie sektorów dysku. Klucz szyfrujący (VMK — Volume Master Key) jest chroniony przez układ TPM, który sprawdza integralność ścieżki rozruchowej (BIOS/UEFI → bootloader → jądro systemu). Jeśli cokolwiek zostanie zmodyfikowane — np. rootkit podmieni bootloader — TPM odmówi uwolnienia klucza i BitLocker zażąda klucza odzyskiwania (48-cyfrowy kod numeryczny).
Tryby uwierzytelniania w BitLockerze:
- TPM only — najwygodniejszy; komputer uruchamia się normalnie, bez podawania hasła (wrażliwy na cold boot attack)
- TPM + PIN — przed startem systemu wpisujesz 6–20-cyfrowy PIN; najlepsza ochrona przy zachowaniu wygody
- TPM + USB Key — klucz startowy na pendrive
- TPM + PIN + USB Key — maksymalna ochrona (3 czynniki)
- Password only — tylko hasło (dla komputerów bez TPM, niezalecane — brak blokady po wielu próbach)
Device Encryption — BitLocker dla Windows 11 Home
Kluczowa zmiana w 2025–2026: Microsoft rozszerzył Device Encryption (uproszczony BitLocker) na więcej urządzeń. Od Windows 11 24H2:
- Zniesiono wymóg Modern Standby i HSTI — więcej laptopów i desktopów kwalifikuje się do automatycznego szyfrowania.
- Automatyczne włączenie przy czystej instalacji — po zalogowaniu kontem Microsoft klucz odzyskiwania jest automatycznie zapisywany w chmurze Microsoft.
- Device Encryption używa XTS-AES 128-bit (bez możliwości zmiany na 256-bit przez GUI — tylko przez zasady grupy).
- Obejmuje tylko dysk systemowy i dyski stałe — nie szyfruje zewnętrznych nośników USB.
Dla użytkowników Windows 11 Home to ogromna korzyść: dostają szyfrowanie klasy BitLocker bez dodatkowych kosztów, ale z mniejszą kontrolą nad ustawieniami i bez możliwości ręcznego szyfrowania konkretnych partycji niesystemowych.
VeraCrypt — niezależność i pełna kontrola
VeraCrypt powstał w 2013 roku jako fork TrueCrypta po tajemniczym zakończeniu jego rozwoju. Dziś jest aktywnie rozwijany przez Mounira Idrassiego z Paryża i przeszedł dwa niezależne audyty bezpieczeństwa: QuarksLab (2016, na zlecenie OSTIF) oraz Fraunhofer SIT (2020, na zlecenie niemieckiego BSI).
Co wyróżnia VeraCrypt
1. Kaskadowe algorytmy szyfrowania. VeraCrypt pozwala łączyć do 3 algorytmów w kaskadę (np. AES-Twofish-Serpent). Każdy sektor jest szyfrowany kolejno przez wszystkie trzy algorytmy — nawet jeśli jeden zostanie złamany, dane pozostają chronione przez pozostałe. W praktyce dla 99% użytkowników pojedynczy AES wystarcza, ale w sektorze rządowym i wojskowym kaskady są standardem.
2. Ukryte woluminy i ukryty system operacyjny. VeraCrypt oferuje tzw. plausible deniability — możliwość zaprzeczenia istnieniu zaszyfrowanych danych. Tworzysz dwa woluminy: zewnętrzny (z danymi „wabikiem") i ukryty wewnątrz niego. Podczas montowania podajesz jedno z dwóch haseł — w zależności od niego montuje się wolumin zewnętrzny lub ukryty. Nie da się udowodnić, że ukryty wolumin istnieje (wolna przestrzeń wygląda jak losowe dane).
3. Brak zależności od TPM. VeraCrypt celowo nie używa TPM — deweloperzy argumentują, że fizyczny dostęp do komputera pozwala obejść TPM (keylogger sprzętowy, sniffing magistrali SPI, cold boot). Zamiast tego VeraCrypt polega na haśle, plikach-kluczach (keyfiles) i opcjonalnym PIM (Personal Iterations Multiplier), który zwiększa liczbę iteracji PBKDF2 — kosztem dłuższego montowania, ale radykalnie utrudniając brute-force.
4. Cross-platform. Wolumin zaszyfrowany w Windows możesz odczytać na Linuksie i macOS — wystarczy zainstalować VeraCrypt. BitLocker na Linuksie wymaga zewnętrznych narzędzi (cryptsetup od 2020, dislocker) i nie obsługuje wszystkich funkcji.
Co nowego w VeraCrypt 1.26 (2024–2025)
- Argon2id — nowy algorytm mieszający (v1.26.27, wrzesień 2025), znacznie odporniejszy na ataki GPU/ASIC niż PBKDF2.
- Ochrona ekranu — blokada screenshotów i nagrywania ekranu podczas wpisywania hasła.
- SHA-256 akceleracja sprzętowa na ARM64 (Apple Silicon Mx, Windows ARM).
- VeraCrypt SDK — możliwość integracji z własnymi aplikacjami.
- Karty płatnicze EMV jako keyfiles — fizyczna karta bankomatowa może służyć jako klucz do odszyfrowania woluminu.
- Usunięcie wsparcia dla Windows 32-bit i TrueCrypt Mode.
Kiedy wybrać BitLocker, a kiedy VeraCrypt?
Wybierz BitLocker, jeśli:
- Masz Windows 11 Pro, Enterprise lub Education i nie potrzebujesz dostępu do danych spoza Windows.
- Twój komputer ma TPM 2.0 i UEFI z Secure Boot — BitLocker wykorzysta je maksymalnie.
- Chcesz zeroobsługowego działania — włączasz i zapominasz. Klucz odzyskiwania automatycznie w koncie Microsoft, Azure AD lub Active Directory.
- Jesteś w firmie — integracja z Intune, Group Policy, MBAM (Microsoft BitLocker Administration and Monitoring) daje pełne zarządzanie flotą.
- Używasz Windows 11 Home na nowym sprzęcie (od 24H2) — Device Encryption samo się włączy.
Wybierz VeraCrypt, jeśli:
- Masz Windows 11 Home (bez Device Encryption lub potrzebujesz kontroli nad szyfrowaniem partycji niesystemowych).
- Pracujesz na wielu systemach (Windows + Linux + macOS) i potrzebujesz jednego narzędzia do wszystkich.
- Wymagasz kodu otwartego i niezależnego audytu bezpieczeństwa — VeraCrypt przeszedł audyty, a BitLocker jest zamkniętym kodem.
- Potrzebujesz ukrytych woluminów lub kaskadowych algorytmów (np. w pracy z danymi wrażliwymi, dziennikarstwo, aktywizm).
- Twój komputer jest starszy, bez TPM — VeraCrypt działa na MBR/Legacy BIOS i nie potrzebuje nowoczesnego UEFI.
- Obawiasz się backdoora lub przymusu prawnego — VeraCrypt nie ma mechanizmu eskalacji dostępu dla organów ścigania (są na to dowody sądowe: sprawa US v Burns 2019, FBI nie złamało Veracrypta).
Częste pytania
Czy BitLocker działa na Windows 11 Home?
Częściowo. Pełny BitLocker (z ręcznym szyfrowaniem dowolnych partycji, szyfrowaniem USB, wyborem algorytmu) jest dostępny tylko w wersjach Pro, Enterprise i Education. Windows 11 Home ma natomiast Device Encryption — uproszczone szyfrowanie dysku systemowego, które od wersji 24H2 włącza się automatycznie po zalogowaniu kontem Microsoft. Nie daje ono kontroli nad partycjami niesystemowymi ani możliwości szyfrowania pendrive'ów.
Czy VeraCrypt jest bezpieczniejszy od BitLockera?
Nie ma jednoznacznej odpowiedzi. VeraCrypt przeszedł dwa niezależne audyty bezpieczeństwa (QuarksLab 2016, Fraunhofer/BSI 2020), co jest mocnym dowodem wiarygodności. BitLocker jest kodem zamkniętym — nie przeszedł publicznego, niezależnego audytu, ale jest codziennie używany przez miliony urządzeń i regularnie łatany przez Microsoft. W praktyce oba narzędzia są bezpieczne przy poprawnej konfiguracji (BitLocker z PIN, VeraCrypt z silnym hasłem + PIM). Największym ryzykiem dla obu jest cold boot attack na uśpiony komputer bez dodatkowego uwierzytelniania.
Czy szyfrowanie spowalnia komputer?
Na nowoczesnych procesorach z AES-NI (wszystkie Intel Core od 2010, AMD od 2011) — spowolnienie jest praktycznie niezauważalne (1–3% w testach syntetycznych, poniżej 1% w codziennym użytkowaniu). Zarówno BitLocker, jak i VeraCrypt używają sprzętowego przyspieszania AES. VeraCrypt w trybie kaskadowym (np. AES-Twofish-Serpent) jest wolniejszy, bo Twofish i Serpent nie mają akceleracji sprzętowej. Na starych komputerach bez AES-NI szyfrowanie może obniżyć wydajność o 10–30%.
Czy mogę używać BitLockera i VeraCrypt jednocześnie?
Technicznie tak, ale zdecydowanie odradzane. Szyfrowanie dysku dwoma narzędziami nie zwiększa bezpieczeństwa, a drastycznie komplikuje odzyskiwanie danych w razie awarii. Każde narzędzie działa na poziomie sektorów i może zakłócać działanie drugiego. Wybierz jedno, skonfiguruj poprawnie i trzymaj się go.
Jak odzyskać dane, jeśli zapomnę hasła?
BitLocker generuje 48-cyfrowy klucz odzyskiwania podczas włączania szyfrowania. Jest automatycznie zapisywany na koncie Microsoft, w Azure AD, Active Directory lub można go wydrukować/zapisać na innym nośniku. VeraCrypt opiera się wyłącznie na haśle — jeśli je zapomnisz, dane są bezpowrotnie stracone. Dlatego twórcy zalecają tworzenie kopii zapasowej nagłówka woluminu i przechowywanie hasła w menedżerze haseł.
Czy VeraCrypt obsługuje Secure Boot w UEFI?
Tak, od wersji 1.18a. VeraCrypt podpisuje swój bootloader certyfikatem, który można dodać do bazy Secure Boot. Jednak wymaga to ręcznej konfiguracji — nie jest to tak zautomatyzowane jak w BitLockerze, gdzie Microsoft ma certyfikat preinstalowany przez producentów płyt głównych.
Czy służby mogą złamać BitLocker lub VeraCrypt?
Według publicznie dostępnych informacji: VeraCrypt nie został dotychczas złamany w warunkach rzeczywistych. W sprawie US v Burns (2019) FBI potwierdziło, że nie zna metody obejścia szyfrowania VeraCrypt. BitLocker — w 2026 roku odkryto podatność CVE-2026-45585 (YellowKey), która pozwala obejść szyfrowanie przez spreparowane pliki na partycji USB lub EFI. Microsoft wydał poprawkę w ramach Patch Tuesday. Przy aktualnym systemie i konfiguracji TPM+PIN ryzyko jest minimalne.
Jeśli potrzebujesz legalnej licencji Windows 11 Pro, aby móc skorzystać z pełnej wersji BitLockera, sprawdź ofertę KluczeSoft — klucze Windows 11 Pro już od 199 zł, z natychmiastową dostawą e-mail i gwarancją aktywacji. Dla użytkowników domowych polecamy również Windows 11 Home, który dzięki Device Encryption daje solidną ochronę bez dodatkowych kosztów.