Windows 11 24H2 aktiverede automatisk BitLocker-kryptering på millioner af computere i 2024 og 2025, mange brugere uden varsel. Gendannelsesnøglen uploadedes til Microsoft-servere, og brugere der mistede adgang til deres Microsoft-konto, mistede også adgang til deres data. Samtidig udgav VeraCrypt version 1.26.29 den 9. juni 2026, og det åbne alternativ understøtter nu Argon2id-hashing og AES-hardware-acceleration på ARM64. Spørgsmålet om, hvilken løsning der beskytter dine data bedst, afhænger af tre faktorer: dit operativsystem, din trusselsmodel og dit behov for privatliv kontra bekvemmelighed. Denne sammenligning giver dig de præcise tal og fakta til at træffe det rigtige valg, hvad enten du er privatperson, journalist, udvikler eller IT-ansvarlig i en dansk virksomhed.
Diskkryptering beskytter data i hvile, det vil sige data på din harddisk eller SSD, når din computer er slukket, stjålet eller beslaglagt. Uden kryptering kan enhver med fysisk adgang til disken læse alle filer med blot et Linux live-system og en USB-nøgle på fem minutter. Med kryptering er data matematisk utilgængelige uden det korrekte kodeord, og selv nationsstatsaktører med adgang til avancerede kryptoanalyseredskaber kan ikke bryde AES-256-kryptering inden for overskuelig tid. Valget af krypteringsværktøj definerer præcist hvem du stoler på, hvilke algoritmer der beskytter dine data, og hvem der potentielt kan låse dem op fuldstændig uden din viden.
Hurtig dom: to fundamentalt forskellige tilgange
VeraCrypt er gratis, open source og kører på Windows, macOS, Linux, FreeBSD og Raspberry Pi OS. BitLocker er Microsofts indbyggede krypteringsværktøj, der kræver Windows Pro eller Enterprise og kun fungerer på Windows. De to produkter løser det samme grundproblem på fundamentalt forskellige måder, og valget bør drives af dit konkrete scenario.
Kort sagt: VeraCrypt giver dig fuld kontrol, 5 krypteringsalgoritmer (plus kaskader), Argon2id-nøgleafledning og ingen nøgleescrow. BitLocker giver dig nem integration med Windows-økosystemet, automatisk aktivering og centraliseret recovery via Microsoft-konto eller Active Directory. Begge krypterer med AES, begge er vurderet stærke nok til kommerciel brug. Forskellen ligger i gennemsigtighed, kontrol og fleksibilitet.
Hvad er VeraCrypt? Baggrund og arkitektur
VeraCrypt er en gratis, open source-diskkrypteringssoftware der stammer fra det nu nedlagte TrueCrypt-projekt. Det franske firma IDRIX, grundlagt af Mounir Idrassi og AM Crypto (baseret i Kobe, Japan), udgav den første version den 22. juni 2013. TrueCrypts pludselige ophør i 2014 med en advarsel om, at softwaren ikke var sikker, drev mange brugere over til VeraCrypt, som hurtigt etablerede sig som det troværdige alternativ.
Den seneste stabile version er 1.26.29, udgivet den 9. juni 2026. Projektet er licenseret under Apache License 2.0 og TrueCrypt License 3.0 og er tilgængeligt på GitHub samt via veracrypt.io. Kildekoden er åben for alle: enhver sikkerhedsforsker kan gennemgå implementeringen, søge efter svagheder og bidrage med rettelser. Det er en fundamentalt anderledes tillidsmodel end proprietær software, der kræver blind tiltro til leverandøren.
VeraCrypt understøtter fire typer krypteringsopgaver:
- Kryptere hele systempartitioner med pre-boot authentication, det vil sige en kodeordsprompt vises inden Windows starter.
- Oprette krypterede filcontainere der monteres som virtuelle drev og fremtræder som almindelige filer i filsystemet.
- Kryptere externe USB-drev og sekundære interne diske uden at berøre systempartitionen.
- Oprette skjulte volumes inde i eksisterende volumes og et skjult operativsystem til plausibel benægtelse.
Fra version 1.26.24 udgav IDRIX desuden et C/C++ SDK på GitHub, der giver udviklere mulighed for programmatisk at oprette og håndtere krypterede filcontainere. Det åbner for integrering af VeraCrypt-kryptering i backup-software, enterprise-sikkerhedsworkflows og specialiserede applikationer.
Revisionshistorik: 8 kritiske fund rettet samme dag
To uafhængige revisioner dokumenterer VeraCrypts sikkerhedsstatus med fuld offentlighed. QuarksLab gennemførte en revision af version 1.18 på vegne af Open Source Technology Improvement Fund (OSTIF). Arbejdet tog 32 mandedage og resulterede i offentliggørelse den 17. oktober 2016. Revisionen afslørede 8 kritiske, 3 medium og 15 lave eller informationelle sårbarheder. IDRIX udgav VeraCrypt 1.19 samme dag med rettelser af de kritiske fund. De fulde resultater er tilgængelige på OSTIF’s hjemmeside og verificerbare af enhver.
Fraunhofer Institute for Secure Information Technology (SIT) gennemførte en anden revision i 2020 på vegne af Tysklands Federal Office for Information Security (BSI), og resultaterne blev offentliggjort i oktober 2020. Rapporten vurderede VeraCrypts egnethed til at beskytte klassificerede dokumenter og brug på myndighedsniveau. Konklusionen var positiv, og VeraCrypt er herved godkendt til myndighedsbrug i EU-sammenhæng.
Vigtige opdateringer siden 2025: Version 1.26.18 (januar 2025) rettede CVE-2025-23021, der forhindrede volumes i at blive monteret på systemkataloger og PATH. Samme version droppede support for 32-bit Windows og satte minimumskravet til Windows 10 version 1809. Version 1.26.27 (september 2025) tilføjede Argon2id som nøgleafledningsfunktion. Version 1.26.24 introducerede skærmbeskyttelse mod skærmbilleder og skærmoptagelse på Windows, aktiveret som standard, der imødegår malware der lydløst optager skærmindhold mens du tilgår krypterede volumes.
Hvad er BitLocker? Arkitektur og Windows-integration
BitLocker er Microsofts indbyggede fulddiskkryptering, integreret direkte i Windows siden Vista (2007). Det er tilgængeligt på Windows Pro, Enterprise og Education, men ikke på Windows Home som fuld BitLocker-implementation. Home-udgaven har adgang til “Enhedskryptering” (Device Encryption), en forenklet og mindre konfigurerbar variant der kræver TPM-chip og Microsoft-konto.
BitLocker krypterer med AES i XTS-tilstand for faste diske og AES-CBC for flytbare drev. Det understøtter 128-bit og 256-bit nøglelængder. XTS-tilstanden (XEX-based tweaked-codebook mode with ciphertext stealing) er NIST SP 800-38E-standardiseret og forhindrer kendte mønstre i at opstå på tværs af diskblokke, en vigtig egenskab for fuld-disk-kryptering. Standard er AES-128-bit, men IT-administratorer kan ændre til AES-256 via Group Policy.
BitLocker er tæt integreret med Windows’ Trusted Platform Module (TPM)-chip, der opbevarer krypteringsnøglen sikkert i hardware og muliggør automatisk oplåsning ved opstart, når systemet er i en betroet tilstand. Microsofts supportside specificerer, at Device Encryption kræver “Meets prerequisites” for TPM-support, og at “TPM is not usable” er en af grundene til at kryptering ikke er tilgængeligt på en given enhed. VeraCrypt kræver intet TPM og fungerer på al hardware.
Windows 11 24H2: automatisk kryptering skaber røre
Microsoft bekræftede, at Windows 11 24H2 aktiverer BitLocker og Device Encryption automatisk under visse betingelser. Tom’s Hardware rapporterede i 2024: “Windows 11 24H2 will enable BitLocker encryption for everyone, happens on both clean installs and reinstalls.” Ifølge Microsofts supportdokumentation og Microsoft Answers-tråde gælder præcist følgende regler:
- Nyinstallation med Microsoft-konto: BitLocker/Device Encryption aktiveres automatisk. Gendannelsesnøglen uploades automatisk til den tilknyttede Microsoft-konto.
- Nyinstallation med lokal konto: BitLocker aktiveres ikke automatisk.
- In-place-opdatering fra 23H2 til 24H2: Kryptering aktiveres ikke, hvis den ikke allerede var aktiv på enheden.
- Geninstallation (repair install) med Microsoft-konto: Kryptering aktiveres i de fleste tilfælde.
Brugere på Reddit og i Windows-fora rapporterede bekymring over risikoen for permanent datatab, hvis Microsoft-kontoadgangen mistes og recovery-nøglen ikke er gemt et andet sted. En bruger testede BitLocker på en Samsung 980 Pro NVMe SSD og konkluderede: “Samme hastighed med eller uden BitLocker. CPU-belastningen er en smule højere med det aktiveret.” Det skyldes at AES-NI-hardware-acceleration i moderne processorer krypterer hurtigere end NVMe-disken kan skrive, så krypteringen ikke udgør en flaskehals.
Kryptering kan deaktiveres efterfølgende via Indstillinger > Privatliv og sikkerhed > Enhedskryptering eller via det klassiske BitLocker-kontrolpanel på Windows Pro. Det er dog bedre at forstå konsekvenserne inden aktivering end at deaktivere reaktivt efter et mistet kodeord eller utilgængelig Microsoft-konto.
Komplet specifikationstabel
| Specifikation | VeraCrypt 1.26.29 | BitLocker (Windows 11) |
|---|---|---|
| Pris | Gratis | Inkluderet med Windows Pro/Enterprise |
| Licens | Apache 2.0 + TrueCrypt 3.0 | Proprietær (Microsoft) |
| Kildekode | Åben (GitHub + veracrypt.io) | Lukket kildekode |
| Seneste version | 1.26.29 (9. juni 2026) | Integreret i Windows Update |
| Understøttede platforme | Windows, macOS, Linux, FreeBSD, OpenBSD, Raspberry Pi OS | Kun Windows |
| Krypteringsalgoritmer | AES, Serpent, Twofish, Camellia, Kuznyechik + kaskader | AES-128 eller AES-256 |
| Krypterings-tilstande | XTS (alle cifre) | XTS (faste diske), CBC (flytbare) |
| Nøgleafledning (KDF) | Argon2id + PBKDF2 (BLAKE2s-256, SHA-256, SHA-512, Streebog, Whirlpool) | Ikke offentliggjort af Microsoft |
| Skjulte volumes | Ja (inkl. skjult OS) | Nej |
| Nøgle-escrow | Aldrig, lokal kontrol | Automatisk upload til Microsoft |
| TPM-krav | Intet TPM påkrævet | TPM anbefales/kræves til auto-unlock |
| Filcontainere | Ja (virtuelle krypterede drev) | Nej |
| Uafhængig revision | QuarksLab/OSTIF 2016, Fraunhofer SIT/BSI 2020 | Ingen offentlig revision |
| Windows 11 Home support | Fuld funktionalitet | Kun begrænset Device Encryption |
| Minimum Windows-version | Windows 10 version 1809 (64-bit) | Windows 10/11 (udgaveafhængig) |
| ARM64-support | Ja (AES-hw-acceleration fra 1.26.18) | Ja |
| C/C++ SDK | Ja (GitHub, container-integration) | Nej |
| Enterprise MDM-integration | Manuel (ingen native) | Ja (Intune, Group Policy, Azure AD) |
| Skærmoptagelsesbeskyttelse | Ja (aktiveret som standard) | Nej (separat sikkerhedsfunktion) |
Krypteringsalgoritmer i detaljer
Valget af krypteringsalgoritme er det tekniske hjerte i enhver diskkrypteringsløsning. VeraCrypt og BitLocker leverer fundamentalt forskellig algoritmefrihed, og det har direkte implikationer for din trusselsmodel og den langsigtede sikkerhed af dine data.
VeraCrypts 5 algoritmer og kaskader
VeraCrypt understøtter fem symmetriske krypterings-cifre, alle implementeret i XTS-tilstand med 256-bit nøgler:
- AES (Advanced Encryption Standard): NIST-standardalgoritmen vedtaget i 2001. Bredt understøttet via AES-NI-instruktionssættet på Intel, AMD og ARMv8-processorer. AES er den hurtigste algoritme i VeraCrypt på hardware med AES-NI og giver den bedste balance mellem hastighed og sikkerhed for de fleste brugere.
- Serpent: AES-finalist fra 1997 til 2000-konkurrencen. Kendetegnet ved et meget konservativt design med 32 krypteringsrunder mod AES’s 14. Serpent anses generelt for at have en højere sikkerhedsmargin end AES, men er langsommere i ren software-implementation.
- Twofish: AES-finalist designet af Bruce Schneiers team hos Counterpane. Bruger en 128-bit blok med Feistel-netværk, MDS-matricer og Q-permutationer. Twofish er vurderet som ekstremt sikker og har ingen kendte praktiske svagheder.
- Camellia: Udviklet af Mitsubishi Electric og NTT Corporation. Standardiseret via NESSIE (Europa), CRYPTREC (Japan) og ISO/IEC 18033-3. Bruges i japansk og europæisk regeringskommunikation og anses som fuldt sammenlignelig med AES i sikkerhedsniveau.
- Kuznyechik (GOST R 34.12-2015): Russisk national krypteringsstandard. Relevant for organisationer der opererer i Rusland eller under russisk regulatorisk rammesæt.
Udover enkeltcifrene understøtter VeraCrypt kaskadekryptering med op til tre algoritmer i rækkefølge: AES-Twofish, AES-Twofish-Serpent, Camellia-Kuznyechik, Camellia-Serpent og Serpent-AES. En angriber skal bryde alle lag for at få adgang til data. Prisen er lavere gennemstrømning, men det giver øget sikkerhedsmargin mod fremtidige gennembrud i kryptanalyse af én enkelt algoritme.
Til nøgleafledning og hashing er tilgængelige: BLAKE2s-256, SHA-256, SHA-512, Streebog (256 og 512-bit) og Whirlpool. Fra version 1.26.27 (september 2025) er Argon2id tilgængeligt som nøgleafledningsfunktion, supplerende PBKDF2. Argon2id vandt Password Hashing Competition i 2015 og er memory-hard: det kræver proportionalt mere RAM at beregne, hvilket gør brute-force-angreb med GPU-klynger eller ASIC-chips markant dyrere end PBKDF2 alene.
BitLockers AES-fokus: stærk men begrænset
BitLocker bruger AES-XTS med 128-bit eller 256-bit nøgler til faste diske og AES-CBC til flytbare drev. XTS-tilstanden er NIST SP 800-38E-standardiseret og velegnet til diskblok-kryptering. Standard er AES-128-bit i XTS-tilstand, som er tilstrækkelig mod alle kendte angreb. IT-administratorer kan ændre til AES-256 via Group Policy, men privatbrugere ser sjældent dette valg.
BitLocker tilbyder ikke alternative cifre. For organisationer der bekymrer sig om fremtidige angreb mod AES specifikt, er det en begrænsning VeraCrypt ikke har. I praksis er AES-256 vurderet som sikker langt ud over overskuelig fremtid, og denne forskel er primært relevant i højrisikotrusselsmodeller med statslige aktører og langvarig sikkerhedshorisont.
Prissammenligning og licensering
Pris er et praktisk argument der ofte overses i tekniske sammenligninger. VeraCrypt er frit for alle, fra privatpersoner til virksomheder med tusindvis af enheder. BitLocker er teknisk set gratis, men forudsætter Windows-udgaver, der koster penge.
| Produkt | Pris | Licens | Krav |
|---|---|---|---|
| VeraCrypt | Gratis | Apache 2.0 + TrueCrypt 3.0 | Ingen ekstra (download fra veracrypt.io) |
| BitLocker (fuld) | Inkluderet | Proprietær Microsoft | Windows 11/10 Pro, Enterprise eller Education |
| BitLocker Device Encryption | Inkluderet | Proprietær Microsoft | Windows Home + Microsoft-konto + TPM-hardware |
| Windows 11 Pro opgradering | Ca. 1.099 kr. (engangskøb) | Microsoft OEM/Retail | Nuværende Windows Home-installation |
| Microsoft 365 Business Basic | Ca. 69 kr./bruger/md. | Microsoft SPLA | Inkluderer Windows Pro-rettigheder til virksomheder |
| Microsoft 365 Business Premium | Ca. 210 kr./bruger/md. | Microsoft SPLA | Inkluderer Intune til centraliseret BitLocker-styring |
For en dansker med en Windows 11 Home-bærbar koster adgang til fuld BitLocker en Windows Pro-opgradering på ca. 1.099 kr. VeraCrypt tilbyder tilsvarende eller stærkere kryptering gratis og uden begrænsninger. For virksomheder med eksisterende Microsoft 365 Business- eller Enterprise-abonnementer er BitLocker inkluderet uden ekstra software-udgift.
Det skjulte argument er vedligeholdelsesomkostninger. BitLocker integrerer med Intune og Azure AD uden ekstra konfiguration. VeraCrypt kræver manuel implementering, dokumentation og procedurer for nøgestyring, der i enterprise-sammenhæng kan koste mere i IT-timer end den sparet licensudgift. Begge veje har reelle totalomkostninger, der afhænger af skala og eksisterende infrastruktur.
Platformsupport: hvem kører hvad
BitLockers begrænsning til Windows er den mest kritiske praktiske forskel for mange brugere. En krypteret BitLocker-disk kan ikke åbnes direkte på macOS eller Linux uden ustabile og ufuldstændige tredjepartsværktøjer som dislocker. I blandede miljøer, og i stigende grad i organisationer der bruger Linux-servere og macOS-udviklermaskiner, er det en fundamental begrænsning.
VeraCrypt understøtter officielt per version 1.26.29:
- Windows 11 (x64 og ARM64)
- Windows 10 version 1809 eller nyere (x64 og ARM64)
- Windows Server 2019 eller nyere (x64)
- macOS 12 Monterey eller nyere
- Linux x86, x86-64 og ARM64 (Ubuntu, Fedora, Debian, Arch og lignende)
- FreeBSD x86-64 (fra version 14)
- OpenBSD x86-64 (fra version 7.8)
- Raspberry Pi OS (32-bit og 64-bit)
Den praktiske fordel er portabilitet. En VeraCrypt-krypteret USB-disk krypteret på en Windows-arbejdsstation kan åbnes på en Linux-server eller macOS-bærbar med det samme kodeord og ingen ekstra opsætning. For arbejdsflows der involverer dataoverførsel mellem systemer, sikkerhedskopiering til Linux-NAS eller arbejde på tværs af hjemme- og arbejdsmaskiner med forskelligt OS, er VeraCrypt det eneste realistiske valg af de to. BitLocker’s Windows-eksklusivitet er ikke en fejl men et bevidst designvalg rettet mod Windows-only enterprises med centraliseret Microsoft-styring. For alle andre er det en praktisk showstopper der afskærer cross-platform arbejdsflows og giver vendor lock-in til Microsofts platformøkosystem.
Hvorfor diskkryptering er uundværlig i 2026
Verdens cyberkriminalitet forventes at koste $20 billioner globalt i 2026, ifølge sikkerhedsanalytiker Bernard Marr. Data i hvile udgør en kritisk sårbarhed i det billede: stjålne bærbare computere, beslaglagte servere og eksfiltrerede harddiske er direkte adgangsveje til virksomheders og enkeltpersoners mest sensitive oplysninger, men kun hvis dataene ikke er krypterede.
DNVs rapport om nordisk cyberrobusthed fra juni 2026 dokumenterer, at de nordiske lande, herunder Danmark, arbejder intensivt med at styrke modstandsdygtighed i kritisk infrastruktur mod netop disse angreb. Ivanti zero-day-sårbarhederne i februar 2026 ramte den europæiske Kommission og det hollandske datatilsyn, og arbejdsrelaterede data inklusive navne, e-mailadresser og telefonnumre blev tilgået. Europæiske myndigheder indeholdt bruddet inden for ni timer, men det understreger, at selv topudstyrerede organisationer er under konstant pres.
For en dansk virksomhed med 50 ansatte betyder det konkret: en enkelt stjålet bærbar med ukrypteret disk kan eksponere kundelister, lønsedler, kontrakter og interne strategidokumenter. Med kryptering er den stjålne disk matematisk ubrugelig for tyven. Valget mellem VeraCrypt og BitLocker er ikke et spørgsmål om kryptering kontra ingen kryptering; det handler om, hvilken tilgang der passer bedst til din organisations struktur og trusselsmodel.
WEF’s Global Cybersecurity Outlook 2026 viser, at datalæk relateret til genAI bekymrer 34% af respondenterne, og fremskridt i modstanders kapabiliteter bekymrer 29%. For begge bekymringer er kryptering af data i hvile et af de mest effektive grundlæggende sikkerhedsforanstaltninger, der kan implementeres hurtigt og med begrænset teknisk kompleksitet.
Sikkerhedsrevisioner og kendte sårbarheder
Gennemsigtighed i sikkerhed er en fundamental forskel. VeraCrypt har to fuldt offentliggjorte, uafhængige revisioner med specifikke fund og rettelser. BitLocker mangler en tilsvarende offentlig tredjepartsrevision, og Microsoft har ikke publiceret en ekstern evaluering.
QuarksLab/OSTIF 2016: Revisionen af VeraCrypt 1.18 brugte 32 mandedage og fandt 8 kritiske, 3 medium og 15 informationelle/lave sårbarheder. IDRIX lukkede de kritiske fund samme dag i version 1.19. De fulde resultater er tilgængelige på OSTIF’s hjemmeside.
Fraunhofer SIT/BSI 2020: Den tyske myndighed BSI bestilte en revision til vurdering af VeraCrypt til myndighedsbrug. Fraunhofer SITs rapport er offentliggjort og dokumenterer softwarens egnethed til beskyttelse af klassificerede dokumenter. Det er den stærkeste europæiske myndighedsanbefaling, en open source-diskkrypteringssoftware kan opnå.
BitLocker og Bitpixie (CVE-2023-21563): BitLocker er dokumenteret sårbar over for angrebsklassen Bitpixie, en BitLocker-bypass-sårbarhed der er dokumenteret i sikkerhedslitteraturen og diskuteres i forbindelse med BitLockers standardsikkerhedsniveau. Microsoft har udgivet patches, men den grundlæggende afhængighed af TPM-bus-kommunikation forbliver et diskussionspunkt. I 2024 demonstrerede sikkerhedsforskere angreb der udnytter TPM-sniffing på systemer der afhænger af passivt TPM.
Cold boot-angreb: Begge systemer er principielt sårbare over for cold boot-angreb, hvis en angriber har fysisk adgang til en kørende eller netop slukket computer. VeraCrypt afhjælper dette ved at overskrive krypteringsnøgler i RAM ved afmontering, men det er ikke en fuldstændig garanti mod et velgennemtænkt fysisk angreb med direkte RAM-adgang.
Opsummering: VeraCrypts åbne kildekode og offentliggjorte revisioner giver en verificerbar sikkerhedshistorik. BitLockers lukkede kildekode betyder, at brugerne afhænger af Microsofts egne forsikringer om sikkerhed. For højrisikobrugere med statslige aktører i trusselsmodellen giver VeraCrypt en kontrollerbar og verificerbar sikkerhedsmodel, BitLocker ikke kan matche.
Ydeevne: hvad dataene siger
Kryptering koster CPU-cyklusser, men moderne hardware med AES-NI-instruktionssæt minimerer overhead til næsten ingenting i de fleste scenarier.
| Scenarie | VeraCrypt (AES) | BitLocker (AES-128/256) | Kilde |
|---|---|---|---|
| Moderne NVMe SSD med AES-NI | Næsten nul overhead | Næsten nul overhead | Reddit r/Windows11, 2024 |
| Samsung 980 Pro (direkte brugertest) | Sammenlignelig hastighed | Identisk med ukrypteret | Reddit r/Windows11, november 2024 |
| ARM64-processorer (efter v1.26.18) | AES-hardware-acceleration tilgængelig | AES-hw via Windows-kerne | VeraCrypt release notes, januar 2025 |
| x86 SHA-256-ydeevne | SHA-256 x86-intrinsics forbedrer PBKDF2 | Ikke separat dokumenteret | VeraCrypt release notes, januar 2025 |
| Mekanisk HDD | 5-10% overhead i software-tilstand | Lavt overhead via TPM/AES-NI | Kryptografisk faglig konsensus |
| Kaskade (AES-Twofish-Serpent) | 30-50% lavere throughput | Ikke understøttet | VeraCrypt dokumentation |
VeraCrypts built-in Benchmark-funktion (tilgængelig via Tools > Benchmark) lader dig måle præcise krypteringshastigheder på din konkrete hardware for alle understøttede algoritmer inden du vælger. Det er en praktisk fordel BitLocker ikke tilbyder. For den gennemsnitlige dansker med en moderne laptop og NVMe SSD er ydeevneforskellen irrelevant i daglig brug. For servermiljøer og batch-operationer kan valget af algoritme have målbar effekt på gennemstrømning, og her er AES med hardware-acceleration klart den hurtigste løsning i begge produkter. VeraCrypts Benchmark-funktion lader dig verificere det direkte på din konkrete serveropsætning inden deploy.
Skjulte volumes og plausibel benægtelse
VeraCrypt er det eneste af de to produkter der understøtter skjulte volumes og skjulte operativsystemer. Konceptet hedder plausibel benægtelse: du opretter en ydre volume med et lokkemiddel-kodeord og en skjult volume inde i den med de sensitive data og et separat kodeord.
Hvis nogen tvinger dig til at udlevere adgangskoden, giver du kodeordet til den ydre volume. Angriberen ser plausible filer men ikke de skjulte data. Det er teknisk umuligt at bevise, om en skjult volume eksisterer, da tilfældig data og krypteret data er matematisk uadskillige uden det korrekte kodeord.
Det skjulte operativsystem går et skridt videre: to fulde Windows-installationer på samme disk med hvert sit kodeord. Det angiver kodeord ved opstart afgør, hvilken installation der startes. En angriber kan ikke teknisk skelne de to fra hinanden.
Denne funktion er særlig relevant for:
- Journalister i lande med obligatorisk nøgleudlevering, som UK’s Regulation of Investigatory Powers Act, der pålægger op til 5 års fængsel for nægtelse.
- NGO-arbejdere og aktivister der krydser grænser med sensitive oplysninger om kontakter og operationer.
- Forensiske sikkerhedsforskere og penetrationstestere der simulerer avancerede scenarier.
- Individer under juridisk pres til dataafhændelse i jurisdiktioner med tvangsdekryptering.
BitLocker tilbyder ingen tilsvarende funktion. Det er et bevidst designvalg: BitLocker er konstrueret til virksomhedsmiljøer med centraliseret nøglestyring og bekvem recovery, ikke til scenarier med modstridende myndighedsinteresser.
Krypterede filcontainere og USB-drev
En vigtig og ofte undervurderet forskel er understøttelsen af krypterede filcontainere. VeraCrypt lader dig oprette en enkelt krypteret fil, der monteres som et virtuelt drev. Containeren ser ud som én stor fil i filsystemet og kan flyttes, kopieres og sikkerhedskopieres som enhver anden fil.
Filcontainere er særlig nyttige til:
- Beskyttelse af et specifikt sæt filer uden at kryptere hele disken.
- Transport af sensitive data på USB-nøgler der kan åbnes på enhver computer med VeraCrypt installeret.
- Sikkerhedskopiering af krypterede data til cloud-tjenester (Dropbox, OneDrive, Google Drive) uden at give tjenesten adgang til indholdet.
- Deling af krypterede mapper med samarbejdspartnere der kender kodeordet.
BitLocker krypterer hele drev eller partitioner og understøtter ikke filcontainere. BitLocker To Go krypterer USB-drev, men adgang er kun direkte understøttet på Windows. Til cross-platform USB-kryptering er VeraCrypt den overlegne løsning uden alternative.
Enterprise-implementering og NIS2-compliance i Danmark
For virksomheder handler valget ikke kun om kryptografisk styrke, men om administrativ overhead, recovery-processer og lovkrav. Her adskiller de to produkter sig markant.
BitLocker i enterprise: centraliseret og skalerbar
BitLocker integrerer direkte med Microsoft Active Directory, Azure AD (Entra ID) og Microsoft Intune. IT-administratorer kan via Group Policy definere krypteringspolitikker, kræve TPM-godkendelse og centralt hente recovery-nøgler. Når en bruger låses ude, kan support-teamet hente nøglen fra Azure AD-portalen uden fysisk adgang til enheden.
Recovery-nøgler uploades automatisk til Microsoft-servere i mange standardopsætninger. Det er bekvemt for virksomheder, men indebærer at Microsoft teknisk set har adgang til nøglerne. Organisationer med strenge suverænitets- eller fortrolighedskrav, inklusiv dem under GDPR’s krav om dataminimering og kontrol, bør overveje dette aktivt i risikovurderingen.
VeraCrypt i enterprise: suverænitet med manuel overhead
VeraCrypt har ingen indbygget enterprise-administration. Nøgler forlader aldrig den lokale maskine automatisk. Recovery afhænger af, at brugeren selv har gemt et kodeord eller en recovery-fil. Det giver fuld suverænitet, men kræver veldefinerede procedurer for nøglestyring, herunder opbevaring i et virksomhedsstyret passwordsystem, dokumentation af krypterede drev og rotationsprocedurer ved medarbejderskift.
NIS2 og dansk krypteringsforpligtelse: NIS2-direktivet, implementeret i dansk lovgivning med virkning fra oktober 2024, kræver at væsentlige og vigtige enheder implementerer passende tekniske foranstaltninger. Kryptering af følsomme data i hvile er et centralt element. Begge produkter kan opfylde NIS2-krypteringskravene ved korrekt konfiguration og dokumenterede recovery-procedurer. Se vores dybdegående NIS2-guide for de 6.000 berørte danske virksomheder.
BSI og Fraunhofer SITs godkendelse af VeraCrypt til myndighedsformål er stærk dokumentation i europæisk regulatorisk sammenhæng. Den tyske stat stoler på VeraCrypt til klassificerede dokumenter, og det vejer tungt i NIS2-compliance-diskussioner med revisorer og tilsynsmyndigheder.
5 scenarier: hvornår vælger du hvad?
Scenarie 1: Dansk revisor eller advokat med Windows 11 Pro
Anbefaling: BitLocker. Du arbejder udelukkende på Windows, din virksomhed bruger Microsoft 365 og Azure AD, og IT-afdelingen kan hente recovery-nøglen centralt. BitLocker aktiveres automatisk på nye enheder og kræver ingen ekstra software. Nøgleescrow via Azure AD er en fordel i virksomhedskontekst: IT kan genoprette adgang uden din tilstedeværelse ved enhedstab. Krypteringsstyrken (AES-256 via Group Policy) er tilstrækkelig mod alle realistiske angribere.
Scenarie 2: Softwareudvikler med Linux, macOS og Windows
Anbefaling: VeraCrypt. BitLocker er ikke tilgængeligt på Linux eller macOS. VeraCrypt kører på Ubuntu, Fedora, Arch Linux, macOS 12+ og Windows 11. Krypterede filcontainere flyttes problemfrit mellem platforme og åbnes med det samme kodeord overalt. Til beskyttelse af SSH-nøgler, API-credentials, kundedata og coderepos er en VeraCrypt-container den fleksible og cross-platform løsning.
Scenarie 3: Journalist med sensitive kildeoplysninger
Anbefaling: VeraCrypt med skjult volume. Plausibel benægtelse er afgørende, hvis du krydser grænser, risikerer beslaglæggelse af udstyr eller tvangsudlevering af kodeord. Opret en ydre volume med uskyldige filer og en skjult volume med kildeoplysninger. BitLocker tilbyder ingen tilsvarende beskyttelse, og nøgleescrow til Microsoft er direkte kontraproduktivt i denne trusselsmodel.
Scenarie 4: SMV med 20 Windows-enheder
Anbefaling: BitLocker via Microsoft Intune. Med Microsoft 365 Business Premium er BitLocker centralt administrerbart via Intune. Recovery-nøgler i Azure AD, automatisk aktivering på nye enheder og IT-support-adgang uden brugermedvirken gør det markant lettere at administrere end VeraCrypt for et lille IT-team. Tidsinvesteringen i VeraCrypt-administration vil typisk overstige besparelsen på licenser for virksomheder med eksisterende Microsoft-abonnementer.
Scenarie 5: Privatperson med Windows 11 Home
Anbefaling: VeraCrypt. Windows 11 Home giver ikke fuld BitLocker. Device Encryption er begrænset og kræver Microsoft-konto med automatisk nøgleupload. VeraCrypt er gratis, fuldt konfigurerbart og giver ingen afhængighed af Microsoft-kontoadgang for at åbne din disk. Til sensitive personlige dokumenter, skattedata, adgangskodeeksport og private filer er en VeraCrypt-filcontainer den bedste kombination af sikkerhed og kontrol.
Migreringsguide: fra BitLocker til VeraCrypt (og omvendt)
Det er ikke muligt at konvertere en BitLocker-krypteret disk direkte til VeraCrypt-format. Migration kræver fuld dekryptering og genuddannelse. Her er fremgangsmåden trin for trin:
- Fuld sikkerhedskopi: Sikkerhedskopier alt data til et eksternt drev eller cloud-backup inden du starter. Diskoperationer kan fejle ved strømudfald eller hardware-fejl.
- Dekrypter BitLocker: Via Indstillinger > Privatliv og sikkerhed > Enhedskryptering eller BitLocker-kontrolpanelet på Windows Pro. Klik “Decrypt” eller “Slå BitLocker fra.” Processen tager 30-120 minutter afhængigt af diskstørrelse og hastighed. Hold computeren tilsluttet strøm under hele processen.
- Download og verificer VeraCrypt 1.26.29: Hent fra veracrypt.io. Verificer SHA-256 checksummen fra downloads-siden inden installation: kør
Get-FileHash VeraCrypt-Setup.exe -Algorithm SHA256i PowerShell og sammenlign med den offentliggjorte hash på hjemmesiden. - Installer VeraCrypt med standardindstillinger. Vælg “Install” frem for “Extract” medmindre du specifikt ønsker portabel brug uden installation.
- Krypter systempartitionen: VeraCrypt > System > Encrypt System Partition/Drive. Vælg krypteringstype (Normal for de fleste, Hidden OS til journalister og aktivister). Vælg algoritme (AES anbefales til de fleste, Serpent for maksimal sikkerhedsmargin) og nøgleafledningsfunktion (Argon2id anbefales fra version 1.26.27). Opret et stærkt kodeord på mindst 16 tegn med blandede tegn, tal og symboler.
- Opret VeraCrypt Rescue Disk: Programmet beder dig oprette et ISO-image der brændes til USB. Det er dit recovery-redskab hvis boot-loaderen beskadiges. Gem USB-nøglen et sikkert sted separat fra computeren.
- Pre-test: VeraCrypt kræver en pre-test inden den faktiske kryptering starter. Systemet genstarter, VeraCrypt Boot Loader vises, du angiver kodeordet, og Windows starter normalt. Processen bekræfter at boot-loaderen fungerer korrekt på din hardware.
- Start kryptering: En 256 GB SSD tager typisk 30-60 minutter. En 1 TB HDD kan tage 3-5 timer. Disken er brugbar under processen, men undgå at lukke ned eller genstarte.
- Gem kodeordet sikkert: Brug et passwordsystem (Bitwarden, KeePass, Vaultwarden) og evt. en fysisk kopi i et låst og brandsikkert skab. VeraCrypt tilbyder ingen online recovery.
Migration fra VeraCrypt til BitLocker følger samme princip omvendt: dekrypter VeraCrypt, aktiver BitLocker via kontrolpanelet (kræver Windows Pro), og vælg om recovery-nøglen gemmes i Microsoft-konto eller Active Directory. Processen tager samme tid som den omvendte migration. Dokumenter altid valget i organisationens IT-dokumentation med oplysninger om nøglelængde, TPM-brug og placering af recovery-nøgler. Det er essentielt ved NIS2-audits og interne IT-revisioner, og det sparer tid ved fremtidige medarbejderskift og enhedserstatninger.
Fordele og ulemper: direkte sammenligning
| Dimension | VeraCrypt | BitLocker |
|---|---|---|
| Pris | Gratis for alle brugere | Kræver Windows Pro (ca. 1.099 kr.) |
| Kildekode | Åben og verificerbar | Lukket, kræver blind tillid |
| Algoritmer | 5 cifre + 5 kaskader | AES med 2 nøglelængder |
| Skjulte volumes | Ja (skjult OS og volume) | Nej |
| Nøglestyring | 100% lokal, ingen cloud | Automatisk upload til Microsoft |
| Platforme | 8 OS-typer | Kun Windows |
| Revision | 2 offentlige uafhængige revisioner | Ingen offentlig revision |
| Enterprise MDM | Manuel, ingen native integration | Intune, AD, Azure AD |
| Filcontainere | Ja (virtuelle krypterede drev) | Nej |
| Opsætning | Teknisk, kræver bruger-know-how | Automatisk, integreret |
| Recovery | Kun brugerens eget kodeord | Central recovery mulig |
| Windows Home | Fuld support | Kun begrænset Device Encryption |
Ekspertperspektiver fra sikkerhedsmiljøet
Sikkerhedsrevisorer og fagpersoner er enige om en klar anbefaling der afhænger af trusselsmodellen.
Kunal Ganglani konkluderede i sin VeraCrypt 2026-sikkerhedsgennemgang publiceret i april 2026: “VeraCrypt er for den paranoide, og det er ikke en dårlig ting. Argon2id, skærmbeskyttelse og ingen nøgleescrow giver en trusselsmodel der fungerer selv over for statslige aktører. Version 1.26.27 er den mest sikkerhedshærdede version nogensinde udgivet.”
OSTIF (Open Source Technology Improvement Fund) fremhæver VeraCrypt som et af de få open source-krypteringsværktøjer med en fuldt offentliggjort professionel revision. Brugerne kan verificere præcis hvilke problemer der er fundet og rettet, i modsætning til proprietær software der kræver blind tillid til leverandøren.
BSI og Fraunhofer SITs godkendelse af VeraCrypt til myndighedsformål sender et klart signal: den tyske stat stoler på VeraCrypt til klassificerede dokumenter. Det er den stærkeste officielle europæiske anbefaling en diskkrypteringssoftware kan modtage, og det er et stærkt argument i NIS2-compliance-diskussioner.
I det bredere sikkerhedsmiljø, diskuteret af teknologikommentatorer med fokus på open source og transparens (herunder YouTube-kanaler som Fireship og ThePrimeagen der behandler sikkerhedstemaer), er grundargumentet klart: open source-kildekode muliggør ekstern verifikation. For sikkerhedskritisk software, hvor skjulte bagdøre ikke kan udelukkes i lukket kode, er open source med offentliggjorte revisioner den overlegne tillidsmodel. Det argument er direkte overførbart til VeraCrypt versus BitLocker.
Enterprise-sikkerhedsarkitekter påpeger omvendt konsekvent, at BitLockers integration med Azure AD og Intune gør det til det eneste praktisk skalerbare valg for store Windows-organisationer. Centraliseret recovery og policy-håndhævelse reducerer IT-risikoen ved medarbejderskift og enhedstab markant.
Klar anbefaling baseret på data
Vælg VeraCrypt hvis: du bruger macOS, Linux eller blandede platforme. Du ønsker ingen nøgler uploadet automatisk til en tredjeparts server. Du har brug for skjulte volumes til plausibel benægtelse. Du kræver algoritmefrihed ud over AES. Du kører Windows 11 Home og vil have fuld krypteringsfunktionalitet gratis. Du opererer i høj-risikomiljøer som journalistik, aktivisme eller klassificeret forskning. Du vil bruge krypterede filcontainere til cloud-backup og cross-platform deling.
Vælg BitLocker hvis: din organisation kører udelukkende Windows og er integreret med Azure AD eller Active Directory. Du har brug for centraliseret recovery-nøgle-management for mange brugere via Intune. IT-afdelingen skal kunne hente recovery-nøgler uden brugerens medvirken. Du allerede betaler for Windows Pro/Enterprise og ønsker nul ekstra software. Automatisk aktivering og OS-integration vejer tungere end algoritmefrihed og open source-transparens.
Konkrete tal til at støtte valget: VeraCrypt understøtter 5 krypteringsalgoritmer plus kaskader, er gratis, har 2 offentliggjorte revisioner og kører på 8 platforme. BitLocker understøtter 1 algoritme (AES med 2 nøglelængder), er gratis forudsat Windows Pro, har ingen offentlig revision og kører på 1 platform. Den tyske BSI godkendte VeraCrypt til myndighedsbrug i 2020. Windows 11 24H2 aktiverede automatisk BitLocker på millioner af enheder og uploadede nøgler til Microsoft. Begge fakta er relevante for dit endelige valg.
Ofte stillede spørgsmål (FAQ)
Er VeraCrypt stærkere end BitLocker?
Kryptografisk er begge løsninger stærke nok til at beskytte mod realistiske angribere. VeraCrypt giver mere algoritmefrihed (5 cifre + kaskader) og Argon2id-nøgleafledning, der er mere modstandsdygtig mod brute-force end PBKDF2 alene. VeraCrypts primære fordel er gennemsigtighed: åben kildekode og offentliggjorte revisioner giver en verificerbar sikkerhedshistorik BitLocker ikke tilbyder.
Kan jeg bruge VeraCrypt og BitLocker samtidig?
Ja, teknisk set. Du kan kryptere systempartitionen med BitLocker og oprette VeraCrypt-filcontainere til specifikke mapper. Det er dog unødvendigt komplekst og kan skabe konflikter ved fuld disk-kryptering med begge systemer. Vælg én løsning og konfigurer den korrekt.
Hvad sker der, hvis jeg glemmer VeraCrypt-kodeordet?
Dataene er permanent utilgængelige. VeraCrypt tilbyder ingen online recovery, ingen backup-nøgle og ingen mulighed for nulstilling. Opbevar altid kodeordet i et sikkert passwordsystem og evt. en fysisk kopi i et låst skab. Det er dit eneste recovery-alternativ.
Aktiverer Windows 11 24H2 automatisk BitLocker?
Ja, under visse betingelser. Ved nyinstallation eller geninstallation med Microsoft-konto aktiveres Device Encryption/BitLocker automatisk, og recovery-nøglen uploades til kontoen. In-place-opdateringer aktiverer ikke kryptering, hvis den ikke allerede var aktiv. Du kan kontrollere status og deaktivere via Indstillinger > Privatliv og sikkerhed > Enhedskryptering.
Er VeraCrypt godkendt til NIS2-compliance?
Hverken NIS2 eller Datatilsynet specificerer bestemte krypteringsværktøjer. NIS2 kræver “passende tekniske foranstaltninger.” En velimplementeret VeraCrypt-opsætning med stærke kodeord og dokumenterede recovery-procedurer opfylder dette krav. BSI og Fraunhofer SITs revisioner styrker VeraCrypts position markant i EU-regulatorisk sammenhæng.
Kan BitLocker åbnes på Linux?
Der findes tredjepartsværktøjer som dislocker til Linux, men understøttelsen er ufuldstændig og ustabil, særligt ved BitLocker XTS og TPM-baseret nøglebeskyttelse. Til cross-platform brug er VeraCrypt den eneste pålidelige løsning.
Hvad er forskellen på BitLocker og Device Encryption?
Device Encryption er en forenklet BitLocker-variant tilgængelig på Windows Home. Den kræver TPM og Microsoft-konto og mangler adskillige konfigurationsmuligheder fra fuld BitLocker (Pro/Enterprise), herunder valg af nøglelængde og avanceret Group Policy-administration.
Hvad er Argon2id, og hvorfor er det bedre end PBKDF2?
Argon2id er en memory-hard nøgleafledningsfunktion der vandt Password Hashing Competition i 2015. Det kræver proportionalt mere RAM at beregne end PBKDF2, hvilket gør GPU-baserede brute-force-angreb markant dyrere. VeraCrypt tilføjede Argon2id i version 1.26.27 (september 2025). Det er en konkret sikkerhedsforbedring mod angribere med avanceret offline-angrebskapacitet.
Skal jeg kryptere hele disken eller kun specifikke mapper?
Det afhænger af trusselsmodellen. Fuld diskkryptering beskytter alle data inklusive operativsystemets pagefile, swap-partition og temp-filer, der kan indeholde sensitive oplysninger. Det anbefales til bærbare computere der kan stjæles. VeraCrypt-filcontainere er mere fleksible til at beskytte specifikke datamapper uden at kryptere hele systemet og nemmere at sikkerhedskopiere og flytte.
Relateret dækning
Dyk dybere ned i kryptografi og datasikkerhed med disse artikler fra shattered.io:
- SHA-256 forklaret: hjørnestenen i moderne hashing, som bruges i VeraCrypts nøgleafledning
- Digitale signaturer: hvordan hashing og nøgler skaber tillid
- NIS2 Danmark: 6.000 virksomheder, kun 16% klar, relevant for krypteringskrav
- Cybertrusler i Norden: 166 hændelser, AI driver 70%
- Hashfunktioner: egenskaber, formål og praktisk brug
- HTTPS og TLS: sådan beskyttes din forbindelse
- Kryptografi: hashfunktioner, SHA og digital tillid




