Come crittografare i dati con VeraCrypt e proteggere i dischi

  • VeraCrypt è l'evoluzione sicura e open source di TrueCrypt per la crittografia di contenitori, partizioni e interi dischi.
  • Consente di creare volumi normali e nascosti, crittografare unità USB e persino l'unità di sistema con autenticazione pre-avvio.
  • La tua sicurezza dipende da password complesse, da una buona gestione delle chiavi e dai backup del disco di intestazione o di ripristino.
  • Ha un impatto minimo sulle prestazioni e sulla complessità d'uso, compensato da un elevato livello di protezione dei dati.
Daniel Terrasa

18 minuti

Crittografa i dati con VeraCrypt

Proteggere le informazioni personali e professionali La sicurezza è diventata essenziale quanto avere un buon software antivirus o mantenere il sistema aggiornato. Documenti di lavoro, foto, copie di documenti ufficiali, password archiviate in formato testo normale: tutto questo finisce solitamente sul disco rigido del PC, su una chiavetta USB che tieni sempre nello zaino o su qualche servizio di archiviazione cloud. Se qualcuno si impossessa di quel dispositivo o accede al tuo account senza autorizzazione o crittografia, è come lasciare la porta di casa spalancata.

veracrypt Si è affermato come il successore naturale di TrueCrypt Per crittografare in modo affidabile i dati su Windows, Linux e macOS. Consente di creare contenitori crittografati, proteggere unità USB e dischi rigidi esterni e persino crittografare l'intero disco su cui è installato il sistema operativo con autenticazione prima dell'avvio di Windows. In questa guida, scoprirai in dettaglio cosa offre, come funziona e come puoi utilizzarlo per proteggere i tuoi file senza dover essere un esperto di sicurezza.

Da TrueCrypt a VeraCrypt: perché è cambiato il panorama della crittografia

TrueCrypt è stato lo standard de facto per anni Veniva utilizzato per crittografare dischi e cartelle, fino a quando i suoi sviluppatori non abbandonarono bruscamente il progetto nel 2014. Sul sito web ufficiale, ne raccomandavano l'interruzione, avvisavano di potenziali vulnerabilità di sicurezza e suggerivano di passare a BitLocker o ad altri sistemi di crittografia integrati in Linux e macOS. L'ultima versione, la 7.2, si limitava alla decrittografia dei volumi esistenti, senza alcuna opzione per creare nuovi contenitori.

Di fronte a quel vuoto, Un gruppo indipendente di sviluppatori ha lanciato VeraCrypt come fork del codice TrueCrypt. Da lì, hanno corretto vulnerabilità, rafforzato i parametri crittografici e incorporato nuovi algoritmi di crittografia e funzionalità di sicurezza avanzate. Per molti, il ritiro di TrueCrypt ha avuto un impatto così forte perché era uno dei pochi strumenti che complicava seriamente il lavoro di agenzie come la NSA o l'FBI nell'accesso ai dischi sequestrati.

Oggi, la raccomandazione generale è di lasciare TrueCrypt nel passato e utilizzare esclusivamente VeraCryptNon solo ha risolto i problemi legacy, ma ha anche migliorato le prestazioni con il supporto per l'accelerazione AES-NI, ha aggiunto opzioni di crittografia più flessibili e rimane attivo con frequenti rilasci e audit di sicurezza esterni.

veracrypt

Cos'è VeraCrypt e in cosa si differenzia dalle altre soluzioni?

VeraCrypt è un software di crittografia del disco al volo (OTFE)È uno strumento gratuito e open source che crittografa i dati in tempo reale, in modo trasparente per l'utente. È possibile creare un file contenitore che si monta come qualsiasi altra unità, crittografare una partizione specifica (D:, E:, F:, ecc.) o crittografare l'intero disco di sistema con l'autenticazione pre-avvio in Windows.

E Disponibile per Windows, Linux, macOS e alcuni sistemi BSDQuesto lo rende particolarmente interessante per ambienti misti o per gli utenti che cambiano piattaforma. Su macOS e Linux, non crittografa la partizione di sistema, ma crittografa i contenitori e i dischi o le partizioni secondarie, proprio come fa su Windows.

Uno dei grandi vantaggi di VeraCrypt è la trasparenza del suo codiceEssendo open source, è stato sottoposto a verifica da parte di organizzazioni ed esperti indipendenti. Entità come QuarksLab e il BSI tedesco ne hanno esaminato la sicurezza, le vulnerabilità sono state corrette e i parametri crittografici predefiniti sono stati rafforzati. Inoltre, implementa algoritmi standard del settore come AES, Serpent, Twofish, Camellia e Kuznyechik, in modalità XTS e con derivazione della chiave PBKDF2, utilizzando centinaia di migliaia di iterazioni per contrastare gli attacchi brute-force.

Rispetto a BitLocker o ad altre soluzioni proprietarie, VeraCrypt offre un controllo più granulare su come e cosa viene crittografato, consente volumi nascosti con "negazione plausibile" e funziona su più sistemi operativi.In cambio, non dispone di una console di gestione centralizzata e di un'integrazione diretta con Active Directory o TPM; per le soluzioni di autenticazione hardware, vedere [link alla documentazione pertinente]. Windows Hello for BusinessPer questo motivo, nelle grandi aziende spesso coesiste con strumenti aziendali più "automatizzati".

Caratteristiche e funzioni principali di VeraCrypt

VeraCrypt è progettato sia per utenti domestici che per ambienti professionali che necessitano di una crittografia robusta. Ecco le sue caratteristiche principali, raggruppate in modo da poter vedere esattamente cosa può fare per te.

  • Creazione di contenitori crittografati. L'opzione più versatile è quella di creare un file che funzioni come "disco virtuale crittografato". Questo file può risiedere sul disco rigido interno, su una chiavetta USB, su un disco rigido esterno o persino su un file server o su un servizio di archiviazione cloud.
  • Crittografia di dischi e intere partizioniSe non si desidera utilizzare file contenitore, è possibile crittografare un'intera partizione o un intero disco. Questa opzione è ideale per unità flash USB, schede SD, dischi rigidi esterni o unità aggiuntive del PC.
  • Crittografia dell'unità di sistema con autenticazione pre-avvio. Una delle sue caratteristiche principali è la possibilità di crittografare l'intero disco su cui è installato Windows. All'accensione del computer, viene visualizzato un piccolo boot manager VeraCrypt, che richiede la password (e facoltativamente il file PIM o il file chiave).
  • Crittografia in tempo reale e accelerazione hardware. La crittografia e la decrittografia vengono eseguite automaticamente, al volo. L'utente visualizza semplicemente un'altra unità. Se si sceglie AES e il processore supporta AES-NI, le prestazioni di lettura e scrittura sono molto elevate, al punto che in molti casi la limitazione è imposta dall'unità stessa, non dalla crittografia.
  • Volumi nascosti per una plausibile negazioneVeraCrypt consente di creare un volume "nascosto" all'interno di un altro volume. Una password monta il volume esterno (normale), mentre un'altra password monta il volume nascosto.

veracrypt

Modalità di download, installazione e utilizzo (installato o portatile)

La cosa più sensata è Scarica sempre VeraCrypt dal suo sito Web ufficiale.Lì troverete gli installer per Windows, macOS, Linux, FreeBSD e il codice sorgente. Non esiste una versione a pagamento: è completamente gratuito e potete utilizzarlo senza restrizioni.

In Windows, il programma di installazione offre due possibilità:

  • Installare il programma sul sistema.
  • Estrarre i file per utilizzarlo in modalità "portatile".

Se il tuo obiettivo è crittografare il disco di sistema o la partizione in cui è installato Windows, l'installazione è obbligatoria. Per crittografare unità USB, dischi rigidi esterni o altri supporti rimovibili, la modalità portatile è molto utile perché puoi copiare l'eseguibile sul dispositivo stesso su una partizione non crittografata e utilizzarlo su altri computer senza installare nulla.

El procedura guidata di installazione È tipico di qualsiasi programma: si sceglie la lingua, si accetta la licenza, si seleziona se si desidera avere i collegamenti sul desktop o nel menu Start, e il gioco è fatto. Alla fine, VeraCrypt di solito offre una guida per principianti che vale la pena leggere se è la prima volta che si utilizza questo tipo di software.

Su Linux e macOS, l'installazione avviene tramite pacchetti specifici. oppure compilando dal codice sorgente, a seconda della distribuzione. In ogni caso, l'interfaccia e i passaggi di base per la creazione dei volumi sono molto simili a quelli di Windows, facilitando il passaggio da una piattaforma all'altra.

Crittografia di un contenitore "normale" passo dopo passo

Per molti utenti, il primo contatto con VeraCrypt sarà la creazione di un contenitore di file crittografatiIl flusso generale, simile in tutti i sistemi, è il seguente:

1. Creare volumeDalla finestra principale di VeraCrypt, clicca su "Crea volume". La procedura guidata ti chiederà cosa vuoi fare; seleziona "Crea un contenitore di file crittografati". Quindi scegli "Volume VeraCrypt comune" (quello standard) e non il volume nascosto, di cui parleremo più avanti.

2. Scegliere la posizione e il nome del file contenitoreUtilizza il pulsante "Seleziona file" per specificare il percorso e il nome. Non è necessario scegliere un file esistente; basta digitare il nome desiderato per il nuovo contenitore (ad esempio, "work_data.hc"). Puoi salvare questo file sul tuo disco locale, su un'unità USB, su un NAS o persino in una cartella sincronizzata con il cloud.

3. Selezionare gli algoritmi di crittografia e hashingDi default, VeraCrypt utilizza AES come algoritmo simmetrico e SHA-512 o SHA-256 come funzione hash. AES è lo standard attuale e, se la CPU supporta AES-NI, offre prestazioni eccellenti. Utilizzando l'opzione "Benchmark", è possibile testare diverse combinazioni per vedere quale offre le prestazioni migliori sul proprio sistema, sebbene nella maggior parte dei casi AES + SHA-256 sia più che sufficiente.

4. Definire la dimensione del volumeSpecifica la dimensione del contenitore in megabyte o gigabyte. Considera come lo utilizzerai: per pochi documenti, centinaia di MB sono sufficienti, ma se desideri archiviare backup completi, potrebbero essere necessari diversi GB o anche di più.

5. Configurare l'autenticazione: password, file chiave e PIMCome minimo, dovresti creare una password complessa, che includa lettere maiuscole e minuscole, numeri e simboli, e che abbia una lunghezza ragionevole. VeraCrypt ti avviserà se rileva che la tua password è troppo debole. Inoltre, puoi utilizzare file chiave (qualsiasi file che funga da parte del segreto) e un valore numerico chiamato PIM (Personal Iterations Multiplier) che rende più difficile indovinare la password. La combinazione di questi tre fattori garantisce un livello di protezione molto elevato.

6. Scegli il file system e crea il volumePer i contenitori su unità esterne, exFAT è solitamente una buona idea; per le unità interne, NTFS; e per un uso di base, FAT è adatto se non ci sono file più grandi di 4 GB. Prima di cliccare su "Formatta", la procedura guidata chiederà di muovere il mouse in modo casuale all'interno della finestra finché una barra non diventa verde: questi movimenti vengono utilizzati come fonte di entropia per generare chiavi più imprevedibili. Una volta completata la formattazione, il volume è pronto.

7. Montare e smontare il contenitoreTornando alla finestra principale, seleziona una lettera di unità libera, fai clic su "Seleziona file", punta al contenitore e fai clic su "Monta". Inserisci la password (e, se applicabile, il file chiave e il PIM) e una nuova unità apparirà in "Questo PC". Tutto ciò che copi o modifichi verrà automaticamente crittografato. Per chiuderla, è sufficiente "Smonta" l'unità o utilizzare "Smonta tutto".

veracrypt

Volumi nascosti: come funziona la negazione plausibile

La funzione volume nascosto È una delle funzionalità più discusse di VeraCrypt. Il suo scopo è consentire di rivelare una password "innocua" sotto costrizione, mantenendo al sicuro i dati veramente sensibili in un volume la cui esistenza non può essere dimostrata.

Lo schema di base è il seguente:

  1. Per prima cosa viene creato un volume "esterno" (quello normale), con la propria password e dimensione.
  2. All'interno dello spazio libero di quel volume è ospitato un secondo volume nascosto, con un'altra chiave, altri algoritmi di crittografia se lo si desidera e una dimensione più piccola.
  3. Durante il montaggio del file contenitore, VeraCrypt decide quale volume aprire in base alla password immessa.

Per creare un volume nascosto, si usa nuovamente quanto segue: assistente alla creazioneQuesta volta, seleziona l'opzione "Volume VeraCrypt nascosto". Verrai inizialmente guidato nella configurazione del volume esterno (crittografia, hash, dimensione, password, file system) e poi verrà definito il volume nascosto: quanto spazio occuperà, quale crittografia utilizzerà e quale password utilizzerà.

È fondamentale rispettare lo spazio riservato al volume nascostoSe, ad esempio, il volume esterno è di 50 MB e il volume nascosto è di 25 MB, non si dovrebbe riempire il volume esterno al punto da fargli traboccare lo spazio in cui risiede il volume nascosto. VeraCrypt include una modalità di protezione dei volumi nascosti per ridurre i rischi, ma è comunque consigliabile procedere con cautela e lasciare un po' di spazio.

Crittografa unità USB, schede SD e interi dischi rigidi esterni

Le chiavette USB e i dischi rigidi portatili sono tra le cose più facili da perdere o che finiscono nelle mani sbagliate.Pertanto, sono chiari candidati per la crittografia. Inoltre, è possibile combinare la crittografia con Blocchi dati USB Per una maggiore protezione. Con VeraCrypt puoi proteggerli completamente o conservare i dati esistenti, a seconda delle tue esigenze.

1. Selezionare l'opzione appropriata nella procedura guidataCon il dispositivo connesso, tocca "Crea volume" e scegli "Crittografa partizione/unità secondaria". Decidi se desideri un volume normale o un volume nascosto, proprio come in precedenza. Quindi, quando tocchi "Seleziona dispositivo", scegli la partizione specifica sull'unità USB o sul disco rigido esterno.

2. Creare un volume formattando o conservando i datiVeraCrypt offre due opzioni: creare un nuovo volume crittografato formattando l'unità (veloce, ma cancella tutto) o crittografare la partizione preservando i dati (più lento, ma non si perde nulla). In molti casi, l'approccio più comodo è eseguire il backup dei dati, formattarli con VeraCrypt e quindi ripristinare i file.

3. Configurare la crittografia, l'hashing e l'autenticazioneProprio come con i contenitori, scegli l'algoritmo di crittografia e hash, definisci se utilizzerai solo una password o anche un file chiave e PIM, muovi il mouse per generare entropia e fai clic su "Formatta". Il programma ti avviserà che i dati sull'unità andranno persi se hai scelto di creare un volume da zero.

4. Montare e utilizzare il dispositivo crittografatoUna volta completato il processo, il sistema operativo rileverà l'unità come "non formattata" o chiederà di formattarla. Ignorare questi messaggi. Per utilizzarla, in VeraCrypt, fare clic su "Seleziona dispositivo", scegliere la partizione crittografata, assegnare una lettera di unità libera e montarla inserendo la password. Da quel momento in poi, verrà visualizzata una nuova unità (ad esempio, F:) in cui è possibile leggere e scrivere dati, crittografati in modo trasparente.

Una volta terminato, smontare sempre l'unità da VeraCrypt. Prima di scollegare l'USB o di spegnere il computer, procedere come con la "Rimozione sicura dell'hardware". In questo modo si evita il danneggiamento dei dati e si garantisce la corretta chiusura del volume.

veracrypt

Crittografa l'intera unità Windows con VeraCrypt

Il livello massimo di protezione offerto da VeraCrypt su Windows è crittografare la partizione o l'intero disco su cui è installato il sistemaIn questo modo, se il portatile venisse rubato o qualcuno prendesse il disco rigido, non sarebbe in grado di avviare Windows o di leggere un singolo file senza la chiave.

Prima di lanciarti, devi tenere a mente alcune cose. precauzioniEseguire un backup completo dei dati importanti (su un'altra unità, nel cloud, ecc.). Consultare il nostro Confronto dei metodi di backupAssicuratevi che il computer non perda energia durante il processo (collegato alla presa di corrente o collegato a un UPS) e, soprattutto, scegliete una password che non dimenticherete facilmente. Se perdete la password di avvio, l'accesso al sistema diventa estremamente difficile.

La procedura guidata di crittografia del sistema segue approssimativamente questi passaggi:

  1. Da "Crea volume" scegli "Crittografa l'intera partizione/unità di sistema".
  2. Seleziona "Normale" come tipo di crittografia (la modalità "Nascosto" crea un sistema all'interno di un altro per scenari molto specifici).
  3. Puoi decidere se crittografare solo la partizione Windows o l'intero disco fisico.
  4. Indica se hai un singolo sistema operativo ("Single boot") o multiboot.
  5. Mantieni i valori predefiniti di crittografia (AES) e hash (SHA-256 o SHA-512) a meno che tu non sappia esattamente perché modificarli.

Poi arriva il momento di imposta la password di avvioDovrebbe essere memorabile per te, ma complesso: un mix di caratteri, senza schemi evidenti e di una certa lunghezza. La procedura guidata potrebbe visualizzare un avviso se lo ritiene inaffidabile, ma ti assumi il rischio. VeraCrypt genera quindi le chiavi interne chiedendoti di muovere il mouse per un po'.

Una parte fondamentale del processo è il ccreazione del disco di ripristinoIl programma genera un'immagine ISO che è necessario masterizzare su un'unità USB o su un altro dispositivo di archiviazione sicuro. Questo disco consente di ripristinare il boot manager di VeraCrypt e di ripristinare il sistema in caso di errori, sebbene sia sempre necessaria la password. È possibile scegliere di saltare la verifica del disco di ripristino, ma non è consigliabile.

Prima di crittografare effettivamente il disco, VeraCrypt esegue un "test di avvio"Il computer si riavvia, appare il prompt di VeraCrypt che richiede la chiave di decrittazione e, se tutto va bene, Windows si avvia normalmente. Tornati al desktop, il programma indicherà che il test ha avuto esito positivo e sarà possibile iniziare la crittografia vera e propria dell'unità di sistema.

Perché vale la pena crittografare i tuoi file e dispositivi

Oltre agli aspetti tecnici, L'importante è capire gli scenari in cui la crittografia dei dati fa la differenzaNon si tratta di paranoia, ma di ridurre rischi molto realistici nella vita di tutti i giorni.

L'archiviazione dei file nel cloud senza crittografia aggiunge un'ulteriore superficie di attaccoSebbene i principali provider implementino le proprie misure di sicurezza, è comunque utile sapere come farlo. gestione dei metadati in Office e WindowsPossono presentarsi vulnerabilità, tra cui accessi non autorizzati da parte di dipendenti con privilegi, errori di configurazione o semplici sviste da parte degli utenti. Se carichi sul cloud file precedentemente crittografati con VeraCrypt (contenitori o backup), anche una violazione di dati di grandi dimensioni può rendere i tuoi dati illeggibili senza la chiave.

Nei computer condivisi, sia a casa che in ufficio, la crittografia impedisce l'accesso da parte di sguardi indiscreti.Se più persone utilizzano lo stesso computer o se altri colleghi di lavoro hanno accesso fisico all'apparecchiatura, un contenitore crittografato rappresenta un confine molto netto: senza la password, il contenuto non è accessibile, indipendentemente dal livello di fiducia.

Contro malware e accessi remoti non autorizzatiLa crittografia dei dati aggiunge un ulteriore livello di sicurezza. Un trojan che riesce a infiltrarsi nel sistema può facilmente rubare file in chiaro, ma se trova solo volumi chiusi e crittografati, le informazioni che ottiene sono inutili. Ovviamente, questo non sostituisce un buon programma antivirus o un sistema operativo aggiornato (vedere [link alla documentazione pertinente]). sicurezza online in Windows), ma aggiunge protezione.

Se uno qualsiasi dei tuoi account è compromesso (Ad esempio, il servizio cloud in cui si archivia un contenitore o l'e-mail a cui è stato inviato un file crittografato), l'aggressore vedrà solo un blocco di dati apparentemente casuale. Questo evidenzia la differenza tra l'invio di un PDF sensibile così com'è e l'invio all'interno di un file ZIP crittografato o di un volume VeraCrypt.

Nel mondo aziendale e professionale, molte leggi impongono la crittografia di determinati dati.Le normative sulla protezione dei dati, le leggi antiriciclaggio e le leggi sul segreto professionale per avvocati ed enti sanitari richiedono la crittografia delle informazioni sensibili o, quantomeno, la raccomandano esplicitamente come misura di sicurezza adeguata. Strumenti come VeraCrypt contribuiscono a soddisfare questi requisiti, a condizione che siano accompagnati da una solida gestione delle chiavi e da adeguate policy interne.

Vantaggi e svantaggi reali della crittografia con VeraCrypt

Qualsiasi sistema di crittografia serio Presenta evidenti vantaggi, ma anche alcuni svantaggi. cosa utile da sapere per non avere sorprese.

I suoi vantaggi includono costi zero, trasparenza e flessibilitàVeraCrypt è gratuito, open source, funziona su vari sistemi operativi e offre diversi livelli di protezione (contenitori, dischi secondari, sistema completo, volumi nascosti, ecc.). Supporta inoltre un'ampia gamma di algoritmi crittografici convalidati a livello internazionale ed è stato sottoposto a verifiche indipendenti.

Il livello di sicurezza offerto è molto elevato, a patto che la password e la gestione delle chiavi siano corrette.L'utilizzo di PBKDF2 con numerose iterazioni, combinato con la possibilità di utilizzare file chiave e PIM, rende gli attacchi brute-force estremamente costosi. L'aggiunta di buone pratiche (password univoche, gestori di password come KeePassXC o Bitwarden e copie dell'intestazione del volume) si traduce in un sistema estremamente resiliente.

Lo svantaggio principale è che perdere la chiave solitamente equivale a perdere anche i dati.VeraCrypt non ha un sistema di ripristino magico o backdoor: se si dimentica la password e non si dispone di backup o di un backup dell'intestazione, la crittografia fa esattamente ciò che dovrebbe fare, ovvero impedire l'accesso anche al legittimo proprietario distratto.

Un altro svantaggio è l'impatto sulle prestazioni su hardware più vecchio o hardware senza AES-NISui sistemi moderni dotati di processori che accelerano AES tramite hardware, il calo di prestazioni è minimo e spesso impercettibile. Tuttavia, su macchine più datate o se si utilizzano algoritmi a cascata molto pesanti, l'accesso al disco può diventare più lento, soprattutto con volumi molto grandi.

Ci sono anche delle limitazioni in termini di compatibilità e facilità d'usoLa crittografia di sistema è disponibile solo su Windows, non si integra con TPM o soluzioni di gestione remota di livello aziendale e l'interfaccia può sembrare intimidatoria per gli utenti che non hanno familiarità con concetti come volumi, partizioni o algoritmi di crittografia. È uno strumento potente, ma non è una procedura guidata semplificata "prossimo, prossimo, fine".

Infine, la crittografia comporta sempre un ulteriore rischio di corruzione.Se un file crittografato è danneggiato, il ripristino è più complicato rispetto a un file di testo normale. Ciò sottolinea l'importanza di eseguire backup regolari e di smontare correttamente i volumi prima di spegnere o scollegare i dispositivi.

Se si valuta lo sforzo di imparare a usare VeraCrypt rispetto al piccolo costo in termini di prestazioni Rispetto a ciò che si ottiene in termini di privacy, conformità normativa e protezione contro perdite, furti o attacchi, diventa abbastanza chiaro perché questo strumento è diventato il punto di riferimento per la crittografia seria dei dati sia in ambienti domestici che aziendali, a patto che sia accompagnato da password ben gestite e da un minimo di disciplina nella gestione dei volumi crittografati.

Sicurezza online su Windows: come proteggersi da attacchi informatici e hacker
Articolo correlato:
Sicurezza online su Windows: proteggi il tuo PC da attacchi e attacchi informatici