Navigaweb.net logo

Criptare il disco del PC e l'avvio di Windows con Veracrypt

Aggiornato il: Scritto Da: - @pomhey
Riassumi con:
Guida per crittografare il contenuto del computer con Veracrypt in modo sicuro e protetto a partire dall'avvio di Windows
crittografare PC

La schermata di login di Windows offre una protezione illusoria. In caso di furto di un portatile o di un computer fisso, un malintenzionato può estrarre il disco rigido, collegarlo a un altro dispositivo come unità esterna e leggere liberamente documenti, foto e file personali, ignorando completamente la password dell'account utente. Per impedire questo scenario, è necessario applicare la crittografia completa del disco (Full Disk Encryption).

Mentre gli utenti di Windows Pro possono utilizzare BitLocker, chi possiede la versione Home o cerca una sicurezza verificabile e indipendente deve rivolgersi a soluzioni diverse. Il punto di riferimento assoluto in questo campo è VeraCrypt, software open source che blinda il sistema operativo avvolgendolo in un algoritmo matematico. Senza la chiave di decifrazione corretta, inserita in una schermata nera prima ancora che appaia il logo di Windows, il computer risulta essere solo una sequenza di dati casuali incomprensibili.

LEGGI ANCHE: proteggere i dati di una chiavetta USB o drive esterno.

Preparazione del sistema e BIOS

Prima di modificare la struttura del disco, è essenziale effettuare un backup completo dei dati importanti su un supporto esterno. L'operazione di cifratura è sicura e collaudata, ma un'interruzione di corrente o un guasto hardware improvviso durante la scrittura iniziale potrebbero rendere i dati irrecuperabili.

Sui computer moderni (Windows 10, 11 e successivi) dotati di BIOS UEFI, è fondamentale controllare l'impostazione del Secure Boot. Sebbene le versioni recenti di VeraCrypt tentino di installare chiavi certificate per convivere con il Secure Boot, spesso si verificano conflitti che impediscono l'avvio. Per garantire una procedura senza intoppi, si consiglia di entrare nel BIOS all'accensione del PC e disabilitare temporaneamente il "Secure Boot". Sarà possibile tentare di riattivarlo successivamente, ma partire con l'opzione disattivata elimina la maggior parte dei problemi iniziali.

Configurazione della cifratura di sistema

Dopo aver scaricato e installato VeraCrypt (scegliendo l'opzione "Install" e non "Extract" per abilitare le funzioni di sistema), si procede aprendo il menu System e selezionando la voce Encrypt System Partition/Drive.

La procedura guidata chiederà di scegliere tra Normal e Hidden. La modalità normale è quella adatta alla maggior parte degli scenari: il PC chiederà la password all'accensione e poi avvierà Windows. La modalità nascosta serve a creare un sistema operativo "esca" per situazioni di estremo pericolo o spionaggio, ma è eccessivamente complessa per l'uso quotidiano.

Successivamente, si deve decidere se criptare solo la partizione di Windows o l'intero disco (Encrypt the whole drive). Se il computer ha un solo disco interno, criptare l'intero drive è la scelta più sicura per evitare che file temporanei o partizioni di swap rimangano leggibili. Selezionare poi "Single-boot" se sul PC è presente solo Windows, o "Multi-boot" se sono installati altri sistemi operativi in parallelo.

Scelta dell'algoritmo: equilibrio tra velocità e sicurezza

VeraCrypt propone diverse combinazioni crittografiche. La scelta predefinita è solitamente la migliore per mantenere il sistema reattivo:

  • Crittografia AES: È lo standard mondiale. I processori moderni (Intel Core e AMD Ryzen) hanno istruzioni dedicate (AES-NI) che permettono di criptare e decriptare i dati in tempo reale senza rallentare il computer.
  • Algoritmo di Hash (SHA-256 o BLAKE2s): Serve a trasformare la password in una chiave crittografica. BLAKE2s è un'ottima scelta moderna per velocità ed efficienza, mentre SHA-256 è lo standard classico.

Si sconsiglia di usare cascate di algoritmi (come AES-Twofish-Serpent) a meno che non si proteggano segreti di stato: la sicurezza aumenta in modo marginale rispetto ad AES, ma le prestazioni del disco crollano visibilmente.

Password, PIM e Disco di Ripristino

La password scelta deve essere robusta ma memorizzabile. A differenza degli account online, qui non esiste un tasto "Password dimenticata". Se si smarrisce la password, i dati sono persi per sempre.

Il parametro PIM (Personal Iterations Multiplier) controlla quanto tempo il computer deve "macinare" calcoli prima di accettare la password, per rallentare gli attacchi. Lasciarlo vuoto usa il valore di default, che è bilanciato. Inserire un valore alto aumenta la sicurezza ma fa attendere diversi secondi (o minuti) ad ogni avvio prima di caricare Windows.

Un passaggio critico è la creazione del VeraCrypt Rescue Disk. Il software obbliga a creare un'immagine ZIP che va estratta su una chiavetta USB (formattata in FAT32). Questa chiavetta non serve per l'avvio quotidiano, ma diventa fondamentale se il bootloader di Windows si danneggia o se un aggiornamento di sistema sovrascrive VeraCrypt. Conservare questa chiavetta in un luogo sicuro è parte integrante del seguire la rotta di Navigaweb verso una gestione prudente della tecnologia.

Il Pre-Test e la cifratura finale

VeraCrypt non cripta nulla finché non è sicuro che il computer riesca ad avviarsi. Il Pre-Test riavvia il PC e mostra la schermata di richiesta password (bootloader di VeraCrypt). Se inserendo la password corretta Windows si avvia normalmente, il test è superato. Se qualcosa va storto e Windows non parte, basta spegnere e riaccendere: il sistema non è ancora stato toccato e ripartirà come sempre.

Una volta superato il test, cliccando su Encrypt inizia il processo di trasformazione dei dati. L'operazione può durare da poche decine di minuti (su SSD NVMe veloci) a molte ore (su vecchi dischi meccanici). È possibile usare il PC durante il processo, ma è consigliabile lasciarlo lavorare indisturbato collegato alla corrente.

Gestione degli aggiornamenti di Windows

Una volta criptato il sistema, gli aggiornamenti di sicurezza mensili di Windows si installano senza problemi. La situazione cambia con i "Feature Update" (i grandi aggiornamenti annuali che cambiano la versione del sistema, ad esempio passando da Windows 10 a 11 o aggiornamenti di versione come 24H2). Questi aggiornamenti modificano il bootloader e possono fallire se trovano il disco criptato.

La procedura corretta in questi casi prevede di decriptare il sistema (dal menu di VeraCrypt scegliere Permanently Decrypt), effettuare l'aggiornamento di Windows, e poi criptare nuovamente il disco. È un'operazione lunga, ma garantisce che il sistema non resti bloccato in un ciclo di riavvio.

Altri dubbi sulla cifratura

  • Rallenta il PC? Su PC moderni con SSD, l'impatto è impercettibile nell'uso quotidiano (apertura programmi, navigazione). Si nota un rallentamento solo nel trasferimento di file giganti.
  • Cosa succede se l'SSD si rompe? Recuperare dati da un disco rotto è già difficile; da un disco rotto e criptato è quasi impossibile. Il backup esterno rimane l'unica salvezza.
  • Posso toglierlo se non mi piace? Sì, in qualsiasi momento è possibile selezionare "Permanently Decrypt" dall'interfaccia di VeraCrypt. Il processo richiederà tempo per decodificare tutto il disco, ma riporterà il computer allo stato originale senza perdere dati.
  • Funziona con la sospensione/ibernazione? Sì, ma per la massima sicurezza è meglio spegnere o ibernare il PC. La semplice sospensione (Standby) mantiene la chiave di crittografia nella memoria RAM, che teoricamente potrebbe essere estratta con attacchi hardware avanzati (Cold Boot Attack).




Posta un commento