Szukając programu do szyfrowania dysku, warto zacząć od tego, co już masz na komputerze. Windows, macOS i Linux mają wbudowane narzędzia do szyfrowania, które w większości sytuacji w pełni wystarczą. Zewnętrzny program – przede wszystkim VeraCrypt – przydaje się w konkretnych przypadkach: brak BitLockera na Windows Home, potrzeba szyfrowania działającego na wielu systemach albo chęć korzystania z rozwiązania open-source niezależnego od Microsoftu czy Apple.
Poniżej porównuję cztery główne narzędzia do szyfrowania dysku i podpowiadam, które pasuje do jakiej sytuacji. Jeśli szukasz instrukcji krok po kroku, przeczytaj poradnik o szyfrowaniu dysku komputera lub poradnik o szyfrowaniu dysku zewnętrznego.
Szyfrowanie dysku a szyfrowanie plików – ważne rozróżnienie
Programy do szyfrowania dzielą się na dwie kategorie, które często są mylone:
Programy do szyfrowania dysku (BitLocker, FileVault, VeraCrypt, LUKS) szyfrują cały nośnik – każdy bajt danych, łącznie z plikami systemowymi, plikami tymczasowymi i wolną przestrzenią. Po odblokowaniu dysku hasłem użytkownik pracuje normalnie, a szyfrowanie odbywa się w tle.
Programy do szyfrowania plików (AxCrypt, Cryptomator, 7-Zip z hasłem) szyfrują wybrane pliki lub foldery. Reszta dysku pozostaje niezaszyfrowana – pliki tymczasowe, miniatury zdjęć, historia przeglądarki i pamięć podręczna mogą zawierać niezabezpieczone dane.
Ten artykuł dotyczy pierwszej kategorii – programów szyfrujących cały dysk. Jeśli chcesz zabezpieczyć tylko wybrane pliki (np. przed wysłaniem mailem), to inna potrzeba i inne narzędzia.
BitLocker (Windows)
BitLocker to wbudowane narzędzie Microsoftu do szyfrowania dysków w Windows 10 i 11 w wersjach Pro, Enterprise i Education. Nie wymaga instalowania dodatkowego oprogramowania – jest częścią systemu.
Zalety:
- Pełna integracja z Windows – szyfrowanie włącza się w kilku klikach i działa niezauważalnie w tle, nie kolidując z Windows Update, hibernacją ani trybem uśpienia.
- Współpraca z modułem TPM – klucz szyfrujący jest przechowywany w sprzętowym chipie TPM, więc dysk odszyfrowuje się automatycznie przy normalnym uruchomieniu. Nie trzeba wpisywać hasła przy każdym starcie (chyba że ustawisz dodatkowy PIN).
- BitLocker To Go – szyfrowanie dysków zewnętrznych i pendrive’ów tą samą technologią.
- Zarządzanie przez administratora – w firmach BitLocker integruje się z Active Directory i umożliwia centralne przechowywanie kluczy odzyskiwania.
Wady:
- Niedostępny na Windows Home – najczęściej używanej wersji systemu. Windows Home ma jedynie uproszczone szyfrowanie urządzenia, które wymaga konta Microsoft i nie daje pełnej kontroli nad kluczami.
- Zamknięty kod źródłowy – nie ma możliwości niezależnego audytu implementacji szyfrowania. Użytkownik musi zaufać Microsoftowi, że implementacja AES nie zawiera luk.
- Klucz powiązany z kontem Microsoft – w konfiguracji domyślnej klucz odzyskiwania jest zapisywany na koncie Microsoft.
- Działa wyłącznie na Windows – dysku zaszyfrowanego BitLockerem nie odczytasz na macOS ani Linux bez oprogramowania zewnętrznego.
Dla kogo: użytkownicy Windows Pro, którym zależy na prostym, zintegrowanym z systemem rozwiązaniu i nie przeszkadza im zamknięty kod źródłowy.
FileVault (macOS)
FileVault to wbudowane szyfrowanie dysku dostępne na każdym Macu. Na komputerach z procesorem Apple Silicon (M1 i nowsze) oraz chipem T2 dane na dysku wewnętrznym są szyfrowane sprzętowo od pierwszego uruchomienia – FileVault dodaje wymóg hasła przy starcie systemu.
Zalety:
- Sprzętowe szyfrowanie na Apple Silicon – zerowy wpływ na wydajność, bo szyfrowanie i deszyfrowanie wykonuje dedykowany układ w procesorze.
- Prostota – włączenie FileVault to trzy kliknięcia w Ustawieniach systemowych. Z mojego doświadczenia: po włączeniu nie zauważyłem żadnej różnicy w codziennej pracy.
- Klucz odzyskiwania niezależny od Apple – można wybrać klucz odzyskiwania zamiast powiązania z kontem iCloud. Pełna kontrola nad kluczami.
Wady:
- Działa wyłącznie na macOS – dysku zaszyfrowanego FileVault nie odczytasz na Windows ani Linux.
- Brak natywnego szyfrowania dysków zewnętrznych w formacie uniwersalnym – macOS szyfruje dyski zewnętrzne w formacie APFS, który jest nieczytelny poza ekosystemem Apple.
- Ograniczona konfiguracja – nie da się wybrać algorytmu szyfrowania ani trybu. Apple decyduje za użytkownika (XTS-AES-128 z 256-bitowym kluczem).
Dla kogo: każdy użytkownik macOS. FileVault powinien być włączony na każdym Macu – nie ma powodu, żeby go nie używać.
VeraCrypt
VeraCrypt to darmowy program open-source do szyfrowania dysków, który działa na Windows, macOS i Linux. Powstał jako kontynuacja TrueCrypt (porzuconego w 2014 roku) i od tego czasu był wielokrotnie poddawany niezależnym audytom bezpieczeństwa.
Zalety:
- Wieloplatformowy – to jedyny popularny program, który szyfruje dyski czytelne na Windows, macOS i Linux (pod warunkiem, że na każdym komputerze jest zainstalowany VeraCrypt).
- Open-source z przeprowadzonymi audytami – kod źródłowy jest publicznie dostępny, a OSTIF (Open Source Technology Improvement Fund) sfinansował audyty bezpieczeństwa.
- Działa na każdej wersji Windows – w tym na Home, gdzie nie ma BitLockera.
- Ukryte wolumeny (hidden volumes) – unikalna funkcja. VeraCrypt pozwala stworzyć ukryty, zaszyfrowany wolumen wewnątrz widocznego wolumenu. Podając jedno hasło, otwierasz widoczną część danych. Podając drugie – ukrytą. Nie da się udowodnić, że ukryty wolumen istnieje. Przydatne w krajach, gdzie władze mogą zmusić do ujawnienia hasła.
- Szyfrowanie kaskadowe – możliwość użycia dwóch lub trzech algorytmów jednocześnie (np. AES-Twofish-Serpent). Jeśli któryś z algorytmów zostanie w przyszłości złamany, pozostałe nadal chronią dane.
Wady:
- Wymaga instalacji na każdym komputerze – dysku zaszyfrowanego VeraCrypt nie odczytasz na komputerze, na którym VeraCrypt nie jest zainstalowany. W firmie, u znajomego, w serwisie – trzeba mieć program.
- Brak integracji z systemem – szyfrowanie dysku systemowego przez VeraCrypt działa, ale nie współpracuje tak płynnie z aktualizacjami Windows jak BitLocker. Po dużych aktualizacjach systemu (np. zmiana wersji Windows) szyfrowanie może wymagać ręcznej interwencji.
- Interfejs z ery TrueCrypt – program jest funkcjonalny, ale wygląda archaicznie i może onieśmielać mniej doświadczonych użytkowników.
- Szyfrowanie kaskadowe spowalnia dysk – użycie AES-Twofish-Serpent zamiast samego AES zauważalnie obniża prędkość odczytu i zapisu. Przy zwykłym AES różnica wobec BitLockera jest minimalna.
Dla kogo: użytkownicy Windows Home; osoby potrzebujące szyfrowania na wielu systemach operacyjnych; osoby, którym zależy na open-source i pełnej kontroli nad szyfrowaniem.
LUKS (Linux)
LUKS (Linux Unified Key Setup) to standardowy system szyfrowania dysków w Linux, zarządzany narzędziem cryptsetup. Większość dystrybucji (Ubuntu, Fedora, Linux Mint) proponuje włączenie LUKS podczas instalacji systemu.
Zalety:
- Wbudowany w system – nie wymaga dodatkowego oprogramowania.
- Wiele slotów na klucze – LUKS pozwala przypisać do jednego dysku kilka niezależnych haseł. Jedno dla codziennego użytku, drugie zapasowe, trzecie dla administratora.
- Dojrzała, dobrze audytowana technologia – LUKS istnieje od 2004 roku i jest używany w krytycznych zastosowaniach serwerowych.
Wady:
- Konfiguracja po instalacji wymaga wiedzy technicznej – zmiana ustawień szyfrowania, dodawanie kluczy czy szyfrowanie istniejącego systemu to praca z wierszem poleceń.
- Brak centralnego odzyskiwania – zgubione hasło oznacza utratę danych. Nie ma konta Microsoft ani iCloud, które przechowałoby klucz zapasowy.
- Działa wyłącznie na Linuxie.
Dla kogo: użytkownicy Linux. Najłatwiej włączyć LUKS podczas instalacji systemu – wystarczy zaznaczyć odpowiednią opcję w instalatorze.
Porównanie programów do szyfrowania dysku
| BitLocker | FileVault | VeraCrypt | LUKS | |
|---|---|---|---|---|
| System | Windows Pro/Ent/Edu | macOS | Windows, macOS, Linux | Linux |
| Cena | w cenie Windows Pro | bezpłatny | bezpłatny | bezpłatny |
| Open-source | nie | nie | tak (audyty OSTIF) | tak |
| Algorytm | AES-128 lub AES-256 | AES-256 | AES, Serpent, Twofish (kaskadowo) | AES, Serpent, Twofish |
| Ukryte wolumeny | nie | nie | tak | nie |
| Szyfrowanie dysku zewnętrznego | tak (BitLocker To Go) | tak (APFS, tylko Mac) | tak (każdy system) | tak |
| Polski interfejs | tak | tak | częściowo | brak (konsola) |
Które narzędzie wybrać – podsumowanie
Wybór zależy od systemu operacyjnego i potrzeb:
- Windows Pro/Enterprise → BitLocker. Już go masz, włącz go.
- Windows Home → VeraCrypt. Jedyna opcja pełnego szyfrowania dysku.
- macOS → FileVault. Włącz i zapomnij.
- Linux → LUKS. Zaznacz przy instalacji.
- Dysk zewnętrzny używany na różnych systemach → VeraCrypt.
- Potrzeba open-source / niezależność od producenta systemu → VeraCrypt.
- Potrzeba ukrytych wolumenów → VeraCrypt (jedyny program z tą funkcją).
Najczęstsze pytania
Czy darmowy program do szyfrowania dysku jest bezpieczny?
VeraCrypt, BitLocker, FileVault i LUKS – wszystkie te programy są darmowe (BitLocker jest częścią płatnej licencji Windows Pro, ale nie kosztuje osobno). VeraCrypt i LUKS mają otwarty kod źródłowy i przeszły niezależne audyty. „Darmowy” w tym wypadku nie oznacza „gorszy” – to standardowe narzędzia bezpieczeństwa, nie uproszczone wersje komercyjnych produktów.
Czy mogę używać VeraCrypt i BitLockera jednocześnie?
Technicznie tak – np. BitLocker na dysku systemowym, VeraCrypt na kontenerze z plikami. Szyfrowanie tego samego dysku oboma programami naraz nie ma sensu i może powodować konflikty.
Czy istnieje program do szyfrowania dysku z polskim interfejsem?
BitLocker i FileVault mają pełne polskie tłumaczenie (jako część systemu). VeraCrypt ma częściowe polskie tłumaczenie interfejsu. LUKS to narzędzie konsolowe bez graficznego interfejsu.
