Crittografia completa del disco (FDE) in Windows: BitLocker e alternative

La crittografia completa del disco (Full Disk Encryption, FDE) rappresenta una barriera formidabile contro l’accesso non autorizzato in caso di smarrimento o furto di un dispositivo. Analizziamo BitLocker, la soluzione nativa di Windows, e le sue principali alternative.

Vi siete mai chiesti quale sia il rischio potenziale quando un laptop sottratto, come quello della Coplin Health Systems (West Virginia), contenga le informazioni di 43.000 pazienti?

Oppure, quali conseguenze possa avere la perdita di una chiavetta USB da parte di un fornitore in Giappone, contenente i dati personali di 460.000 persone?

La risposta è semplice: i dati non erano protetti tramite crittografia.

Di conseguenza, chiunque con intenzioni malevole potrebbe facilmente recuperare e commercializzare queste informazioni sul dark web.

Questi episodi drammatici ci insegnano quanto sia cruciale adottare misure di sicurezza, soprattutto considerando quanto sia semplice proteggere i dati con la crittografia.

Le sezioni successive esplorano la crittografia del disco, come realizzarla con BitLocker e le alternative disponibili.

Crittografia Totale del Disco

La crittografia totale del disco (FDE) consiste nel blindare l’accesso alle unità di archiviazione. Questo meccanismo previene l’intrusione in dispositivi compromessi e, se applicato alle unità di sistema, può aggiungere un ulteriore livello di sicurezza tramite un controllo all’avvio.

BitLocker

Le edizioni Professional, Enterprise e Education di Windows includono BitLocker, un sistema di crittografia preinstallato.

Con BitLocker, è possibile proteggere le unità con password, che permettono il normale utilizzo una volta inserite. In caso di necessità, una chiave di ripristino consente di reimpostare la password, altrimenti i dati del disco resterebbero inaccessibili.

Inoltre, questa soluzione è compatibile con diverse piattaforme. Ad esempio, un’unità crittografata su Windows manterrà la sua protezione anche su sistemi Linux.

È importante notare che una volta sbloccato il sistema, BitLocker non offre alcuna protezione. Questo significa che non può difenderti, ad esempio, da spyware che potrebbe sottrarre i tuoi dati personali, soprattutto se installato inconsapevolmente. Di conseguenza, non sostituisce un buon antivirus o software anti-spyware.

Per iniziare, digita “BitLocker” nella barra di ricerca di Windows e avvia “Gestisci BitLocker”.

Seleziona il disco desiderato e clicca su “Attiva BitLocker”.

La procedura successiva varia a seconda che si tratti dell’unità di sistema o di altre partizioni, inclusi dischi esterni.

BitLocker su Unità di Sistema

Di default, il processo di autenticazione si affida al chip di sicurezza TPM (versione 1.2 o superiore). L’avvio avviene una volta che il TPM conferma l’autenticità della chiave.

Il Trusted Platform Module (TPM) è un componente integrato nei PC moderni. Si tratta di un chip dedicato che garantisce l’integrità del dispositivo. Potrebbe essere necessario attivarlo manualmente se il sistema non lo rileva, anche se presente.

In assenza del TPM, l’autenticazione pre-avvio non è disponibile, e chiunque abbia accesso al computer può accenderlo, eventualmente sfruttando la password di Windows.

Per una maggiore sicurezza, si può attivare un PIN pre-avvio tramite l’editor dei criteri di gruppo locale. In questo modo, prima dell’avvio, il chip TPM richiederà sia la chiave di ripristino che il PIN.

Questi chip sono dotati di protezioni contro attacchi di forza bruta. Un malintenzionato avrà a disposizione solo pochi tentativi prima che il sistema si blocchi.

È fondamentale effettuare questa configurazione *prima* di avviare la crittografia.

Il processo è piuttosto semplice. Per prima cosa, avvia “Esegui” premendo ⊞+R, digita “gpedit.msc” e premi Invio.

Ora, vai a “Configurazione computer > Modelli amministrativi > Componenti di Windows > Crittografia unità BitLocker > Unità del sistema operativo”:

A questo punto, BitLocker richiederà un PIN oppure una chiavetta USB come forma di autenticazione fisica prima dell’avvio.

Successivamente, scegli se crittografare l’intera unità o soltanto lo spazio utilizzato.

Generalmente, crittografare l’intera unità è l’opzione migliore per i computer meno recenti, dato che potrebbe essere possibile recuperare dati dai settori vuoti utilizzando appositi strumenti.

Infine, scegli tra la nuova modalità di crittografia o una modalità compatibile. Per l’unità di sistema, la nuova modalità è solitamente la scelta migliore, mentre per le unità portatili è consigliabile la modalità compatibile.

Si raccomanda di effettuare un controllo del sistema BitLocker per assicurarsi che tutto funzioni correttamente.

BitLocker su Unità Dati Fisse

La crittografia di queste partizioni e unità è più diretta. Il sistema ti chiederà semplicemente di impostare una password.

A parte questo passaggio, la procedura è simile alla crittografia delle unità di sistema, senza però la fase del controllo di BitLocker.

Nonostante la sua utilità, BitLocker non è disponibile per chi utilizza le versioni Home di Windows. In alternativa, si può utilizzare la Crittografia Dispositivi Windows, a condizione che il dispositivo la supporti.

Questa soluzione differisce da BitLocker in quanto non richiede il TPM. Inoltre, non permette l’autenticazione pre-avvio.

Per verificare la sua disponibilità, consulta le Informazioni di Sistema. Avvia “Esegui”, digita “msinfo32” e premi Invio. Scorri verso il basso e verifica se, alla voce “Supporto Crittografia Dispositivi”, sono soddisfatti i prerequisiti.

In caso contrario, è probabile che il tuo dispositivo non supporti questa funzionalità. Tuttavia, puoi sempre contattare il produttore per cercare una possibile soluzione.

In alternativa, esistono diversi strumenti di crittografia completa del disco, sia gratuiti che a pagamento.

VeraCrypt

VeraCrypt è un software di crittografia open source gratuito per Windows, Mac e Linux. Analogamente a BitLocker, è in grado di crittografare unità di sistema, unità dati fisse e unità portatili.

VeraCrypt è più versatile e offre molte opzioni per gli algoritmi di crittografia. Può anche crittografare i dati al volo: crea un contenitore crittografato e trasferisce i file al suo interno per proteggerli.

Inoltre, VeraCrypt può creare volumi nascosti crittografati e supporta l’autenticazione pre-avvio, proprio come BitLocker.

L’interfaccia utente potrebbe risultare complessa, ma è possibile trovare facilmente tutorial online che ne spiegano l’uso.

BestCrypt

BestCrypt è una versione più intuitiva, anche se a pagamento, di Veracrypt.

Offre una vasta gamma di algoritmi e opzioni per realizzare la crittografia completa del disco. Consente di creare contenitori di crittografia e proteggere le unità di sistema.

Inoltre, permette di impostare un avvio protetto da password.

BestCrypt è una soluzione multipiattaforma e offre una prova gratuita di 21 giorni.

Alternative Commerciali a BitLocker

Queste sono soluzioni rivolte alle aziende che richiedono contratti multilicenza.

ESET

La crittografia dell’intero disco di ESET è particolarmente adatta per la gestione remota. Offre flessibilità con soluzioni di crittografia sia in locale che nel cloud.

Questo sistema protegge dischi rigidi, unità portatili ed email utilizzando la crittografia AES a 256 bit.

Permette, inoltre, di crittografare singoli file tramite la crittografia a livello di file (File Level Encryption, FLE).

Puoi testare il software con una demo interattiva o una prova gratuita di 30 giorni.

Symantec

Symantec, di Broadcom, è un altro leader nel settore della crittografia aziendale. La sua crittografia dell’intero disco supporta il TPM, garantendo l’integrità dei dispositivi istituzionali.

Offre anche controlli pre-avvio, protezione delle email e crittografia dei dischi removibili.

Symantec facilita l’impostazione del Single Sign-On e può proteggere anche le applicazioni basate sul cloud. Supporta l’utilizzo di smart card e mette a disposizione diversi metodi di ripristino in caso di smarrimento della password.

Symantec dispone anche di crittografia a livello di file, monitoraggio di file sensibili e molte altre funzionalità che ne fanno una soluzione di crittografia completa.

ZENworks

ZENworks di Microfocus rende semplice la gestione della crittografia AES-256 in qualsiasi azienda.

Supporta l’autenticazione pre-avvio, facoltativa, tramite nome utente e password oppure smart card con PIN. ZENworks offre la gestione centralizzata delle chiavi per aiutare gli utenti bloccati durante l’accesso all’avvio.

È possibile definire policy di crittografia per i dispositivi e applicarle tramite una connessione web HTTP standard.

È disponibile una prova gratuita senza necessità di carta di credito per testare il servizio.

FDE contro FLE

A volte, crittografare l’intero disco potrebbe non essere necessario. In questi casi, è consigliabile proteggere file specifici, ricorrendo alla crittografia a livello di file (FLE) o crittografia basata su file (FBE).

FLE è un meccanismo molto diffuso, spesso utilizzato senza che ce ne rendiamo conto.

Ad esempio, le conversazioni di WhatsApp sono crittografate end-to-end. Analogamente, le email inviate tramite Proton Mail vengono crittografate automaticamente, e solo il destinatario può accedere al loro contenuto.

Similmente, è possibile proteggere un file con FLE tramite strumenti come AxCrypt o FolderLock.

Un vantaggio notevole di FBE rispetto a FDE è che ogni file può avere una chiave di crittografia diversa. Ciò significa che, se una chiave viene compromessa, gli altri file rimarranno al sicuro.

Tuttavia, gestire diverse chiavi può risultare più complesso.

Conclusione

La crittografia completa del disco è indispensabile quando si smarrisce un dispositivo contenente informazioni confidenziali.

Nonostante ogni utente gestisca dati importanti, la necessità di proteggere le informazioni è ancora più sentita in ambito aziendale.

Per gli utenti Windows, BitLocker è lo strumento di crittografia migliore. VeraCrypt è una valida alternativa, anche se l’interfaccia potrebbe non piacere a tutti.

Le aziende dovrebbero valutare attentamente le diverse opzioni, testandole per scegliere la soluzione più adatta alle proprie esigenze. L’unica cosa da evitare è l’eccessiva dipendenza da un singolo fornitore.

P.S.: Visita la nostra sezione dedicata al software di crittografia e autenticazione per approfondire l’argomento.