Linux: refine in-kernel NTFS driver selection

Keep the NTFS kernel-driver option as a generic in-kernel NTFS path rather than an ntfs3-specific path. Add --filesystem=kernel-ntfs and -m kernelntfs routes that select a registered or loadable kernel NTFS driver and mount with -i so mount.ntfs/ntfs-3g helpers are not invoked.

Preserve --filesystem=ntfs3 as a literal pin to the ntfs3 driver. Treat both ntfs3 and kernel-ntfs as mount-only selectors; volume creation continues to use filesystem type NTFS.

The preference and -m kernelntfs path only select an in-kernel NTFS driver when no explicit filesystem type was supplied and blkid detects NTFS.

Treat ntfs as the preferred in-kernel driver on Linux 7.1 and later, where the upstream read/write driver is expected. On earlier kernels, select ntfs only when module metadata identifies the standalone read/write driver and /sys/module confirms it loaded, avoiding ntfs3 read-only ntfs compatibility registrations. Fall back to ntfs3 otherwise, and report a generic kernel-driver error if neither supported driver is available or loadable.

Rename the internal preference/config field to MountNtfsWithKernelDriver, migrate the old MountNtfsWithNtfs3 preference key, and update UI strings, CLI help, documentation, release notes, and translation placeholders accordingly.

Reference: https://github.com/veracrypt/VeraCrypt/issues/1735

doc/html/en/Command Line Usage for Unix.html

@@ -165,7 +165,7 @@
 </tr>
 <tr>
 <td><em>--filesystem=TYPE</em></td>
-<td>Filesystem type to mount or create. For mounting, the type is passed to the system mount command. <em>none</em> disables filesystem mounting or creation. Supported creation types depend on the platform: Linux supports <em>FAT</em>, <em>Ext2</em>, <em>Ext3</em>, <em>Ext4</em>, <em>NTFS</em>, <em>exFAT</em>, and <em>Btrfs</em>; macOS supports <em>FAT</em>, <em>HFS</em>/<em>HFS+</em>/<em>MacOsExt</em>, <em>exFAT</em>, and <em>APFS</em>; FreeBSD and Solaris builds support <em>FAT</em> and <em>UFS</em>. Non-FAT creation requires the corresponding system formatter to be available.</td>
+<td>Filesystem type to mount or create. For mounting, the type is passed to the system mount command. <em>none</em> disables filesystem mounting or creation. On Linux, <em>ntfs3</em> pins the in-kernel ntfs3 driver and bypasses mount helpers, while <em>kernel-ntfs</em> selects an available in-kernel NTFS driver (<em>ntfs</em> or <em>ntfs3</em>). These Linux driver selectors are mount-only; use <em>NTFS</em> when creating a new NTFS volume. Supported creation types depend on the platform: Linux supports <em>FAT</em>, <em>Ext2</em>, <em>Ext3</em>, <em>Ext4</em>, <em>NTFS</em>, <em>exFAT</em>, and <em>Btrfs</em>; macOS supports <em>FAT</em>, <em>HFS</em>/<em>HFS+</em>/<em>MacOsExt</em>, <em>exFAT</em>, and <em>APFS</em>; FreeBSD and Solaris builds support <em>FAT</em> and <em>UFS</em>. Non-FAT creation requires the corresponding system formatter to be available.</td>
 </tr>
 <tr>
 <td><em>-f</em> or <em>--force</em></td>
@@ -197,7 +197,7 @@
 </tr>
 <tr>
 <td><em>-m OPTION1[,OPTION2,...]</em> or <em>--mount-options=OPTION1[,OPTION2,...]</em></td>
-<td>Set VeraCrypt volume mount options. Supported options are <em>headerbak</em>, <em>nokernelcrypto</em>, <em>readonly</em> or <em>ro</em>, <em>system</em>, and <em>timestamp</em> or <em>ts</em>.</td>
+<td>Set VeraCrypt volume mount options. Supported options are <em>headerbak</em>, <em>nokernelcrypto</em>, <em>readonly</em> or <em>ro</em>, <em>system</em>, and <em>timestamp</em> or <em>ts</em>. On Linux, <em>kernelntfs</em> enables in-kernel NTFS driver selection for the current mount when NTFS is detected and no filesystem type was supplied.</td>
 </tr>
 <tr>
 <td><em>--new-hash=HASH</em></td>
@@ -310,6 +310,8 @@
 <p><code>veracrypt -m ro -k keyfile1,keyfile2 volume.hc /media/veracrypt1</code></p>
 <p>Mount a volume without mounting its filesystem:</p>
 <p><code>veracrypt --filesystem=none volume.hc</code></p>
+<p>Mount an NTFS volume using a Linux in-kernel NTFS driver:</p>
+<p><code>veracrypt -t --filesystem=kernel-ntfs volume.hc /media/veracrypt1</code></p>
 <p>Mount a volume prompting only for its password:</p>
 <p><code>veracrypt -t -k "" --pim=0 --protect-hidden=no volume.hc /media/veracrypt1</code></p>
 <p>Mount a volume non-interactively and read the password from standard input:</p>

doc/html/en/Mounting VeraCrypt Volumes.html

@@ -53,7 +53,7 @@ Volumes</em> menu.<br>
 Default mount options can be configured in the main program preferences (<em>Settings -&gt; Preferences).</em></p>
 <h4>Filesystem mount options under Linux</h4>
 <p>Under Linux, the <em>Mount Options</em> dialog also contains a <em>Mount options</em> field for filesystem mount options. The value entered there is passed to the system <code>mount</code> command with <code>-o</code> when the filesystem inside the VeraCrypt volume is mounted. For example, entering <code>noatime</code> prevents Linux from updating inode access times on filesystems that support this option, reducing metadata writes caused only by file access. Multiple options can be specified as a comma-separated list, for example <code>noatime,nosuid,nodev</code>. Unsupported options are handled by the operating system and may cause mounting to fail.</p>
-<p>The Linux preference <em>Mount NTFS volumes with the Linux kernel ntfs3 driver</em> is disabled by default. When enabled, VeraCrypt probes the decrypted virtual device with <code>blkid -p</code> and mounts detected NTFS filesystems with the in-kernel <code>ntfs3</code> driver instead of the default NTFS backend. If NTFS detection fails, VeraCrypt uses the normal automatic filesystem selection. If <code>ntfs3</code> is unavailable or blocked by the Linux distribution, mounting may fail. This opt-in option can help on systems where suspend or hibernation can hang if user-space FUSE filesystems such as <code>ntfs-3g</code>/<code>fuseblk</code> are frozen while the kernel is syncing filesystems. The actual mounted filesystem type can be checked with <code>findmnt</code>.</p>
+<p>The Linux preference <em>Mount NTFS volumes with an in-kernel Linux driver</em> is disabled by default. When enabled and no explicit filesystem type was supplied, VeraCrypt probes the decrypted virtual device with <code>blkid -p</code> and mounts detected NTFS filesystems with an available in-kernel NTFS driver instead of the default NTFS backend. VeraCrypt uses <code>ntfs</code> when it is positively identified as a modern read/write driver or expected on Linux 7.1 or later, and otherwise uses <code>ntfs3</code>. Mount helpers such as <code>mount.ntfs</code> and <code>ntfs-3g</code> are bypassed. If NTFS detection fails, VeraCrypt uses the normal automatic filesystem selection. If no supported in-kernel NTFS driver is available or loadable, mounting fails. On the command line, <code>--filesystem=ntfs3</code> pins the in-kernel ntfs3 driver, <code>--filesystem=kernel-ntfs</code> forces VeraCrypt's kernel-driver selection for an NTFS mount, and <code>-m kernelntfs</code> enables the detected-NTFS selection for the current mount. The <code>ntfs3</code> and <code>kernel-ntfs</code> filesystem selectors are mount-only; use <code>NTFS</code> when creating a new NTFS volume. This opt-in option can help on systems where suspend or hibernation can hang if user-space FUSE filesystems such as <code>ntfs-3g</code>/<code>fuseblk</code> are frozen while the kernel is syncing filesystems. The actual mounted filesystem type can be checked with <code>findmnt</code>.</p>
 <p>The command line equivalent is <code>veracrypt --fs-options=noatime &lt;volume&gt; &lt;mountpoint&gt;</code>.</p>
 <h4>Mount volume as read-only</h4>
 <p>When checked, it will not be possible to write any data to the mounted volume.</p>

doc/html/en/Release Notes.html

@@ -39,6 +39,17 @@
 <span style="color:#ff0000;">To avoid hinting whether your volumes contain a hidden volume or not, or if you depend on plausible deniability when using hidden volumes/OS, then you must recreate both the outer and hidden volumes including system encryption and hidden OS, discarding existing volumes created prior to 1.18a version of VeraCrypt.</span></li>
 </p>
 
+<p><strong style="text-align:left">1.26.28</strong> (May 18<sup>th</sup>, 2026):</p>
+<ul>
+<li><strong>Linux:</strong>
+	<ul>
+	<li>Add in-kernel NTFS driver selection for NTFS mounts, including <code>--filesystem=kernel-ntfs</code> and <code>-m kernelntfs</code>.</li>
+	<li><code>--filesystem=ntfs3</code> now pins the kernel ntfs3 driver and bypasses mount helpers such as <code>mount.ntfs3</code>.</li>
+	<li>Translator note: the previous Linux ntfs3 preference strings were replaced by generic in-kernel NTFS driver strings and should be retranslated.</li>
+	</ul>
+</li>
+</ul>
+
 <p><strong style="text-align:left">1.26.27</strong> (September 20<sup>th</sup>, 2025):</p>
 <ul>
 <li><strong>All OSes:</strong>

doc/html/ru/Mounting VeraCrypt Volumes.html

@@ -62,12 +62,22 @@
 параметр, что уменьшает записи метаданных, вызванные только доступом к файлам. Несколько параметров можно
 указать через запятую, например <code>noatime,nosuid,nodev</code>. Неподдерживаемые параметры обрабатываются
 операционной системой и могут привести к ошибке монтирования.</p>
-<p>Настройка Linux <em>Монтировать тома NTFS с помощью драйвера ntfs3 ядра Linux</em> по умолчанию отключена.
-Если она включена, VeraCrypt проверяет расшифрованное виртуальное устройство с помощью <code>blkid -p</code> и
-монтирует обнаруженные файловые системы NTFS с помощью встроенного в ядро драйвера <code>ntfs3</code> вместо
-стандартного NTFS-бэкенда. Если определить NTFS не удалось, VeraCrypt использует обычный автоматический выбор
-файловой системы. Если <code>ntfs3</code> недоступен или заблокирован дистрибутивом Linux, монтирование может
-завершиться ошибкой. Эта необязательная настройка может помочь на системах, где ждущий режим или гибернация
+<p>Настройка Linux <em>Монтировать тома NTFS с помощью встроенного в ядро драйвера Linux</em> по умолчанию отключена.
+Если она включена и явный тип файловой системы не указан, VeraCrypt проверяет расшифрованное виртуальное
+устройство с помощью <code>blkid -p</code> и
+монтирует обнаруженные файловые системы NTFS с помощью доступного встроенного в ядро драйвера вместо
+стандартного NTFS-бэкенда. VeraCrypt использует <code>ntfs</code>, когда он положительно определен как
+современный драйвер с чтением и записью или ожидается в Linux 7.1 и новее; иначе используется
+<code>ntfs3</code>. Вспомогательные программы монтирования,
+такие как <code>mount.ntfs</code> и <code>ntfs-3g</code>, обходятся. Если определить NTFS не удалось, VeraCrypt
+использует обычный автоматический выбор файловой системы. Если поддерживаемый встроенный в ядро драйвер NTFS
+недоступен или не может быть загружен, монтирование завершается ошибкой. В командной строке
+<code>--filesystem=ntfs3</code> закрепляет встроенный в ядро драйвер <code>ntfs3</code>,
+<code>--filesystem=kernel-ntfs</code> принудительно включает выбор драйвера ядра VeraCrypt для монтирования NTFS, а
+<code>-m kernelntfs</code> включает выбор по обнаруженной NTFS для текущего монтирования.
+Селекторы файловой системы <code>ntfs3</code> и <code>kernel-ntfs</code> предназначены только для монтирования;
+при создании нового тома NTFS используйте <code>NTFS</code>.
+Эта необязательная настройка может помочь на системах, где ждущий режим или гибернация
 зависают, если файловые системы FUSE, работающие в пользовательском пространстве, такие как
 <code>ntfs-3g</code>/<code>fuseblk</code>, заморожены во время синхронизации файловых систем ядром.
 Фактический тип смонтированной файловой системы можно