Criptare il disco del PC e l'avvio di Windows con Veracrypt
Aggiornato il:
Guida per crittografare il contenuto del computer con Veracrypt in modo sicuro e protetto a partire dall'avvio di Windows
Alcuni nuovi computer con Windows 10 e Windows 11 possono essere protetti con la funzione di crittografia del disco BitLocker, disponibile solo nelle versioni ProOltre a Bitlocker c'è anche un altro programma che può essere utilizzato, gratis e senza limitazioni, per crittografare l'intero contenuto dell'hard disk del PC in modo che non sia possibile accedere ai dati se non si conosce la password di accesso.
Il programma da utilizzare è VeraCrypt, programma open source che funziona su ogni PC Windows, erede dell'ormai abbandonato Truecrypt, che puù essere usato per proteggere i dati di una chiavetta USB o drive esterno.
La crittografia permette di rendere i file nel disco completamente illeggibili ed irrecuperabili, se non si conosce la chiave di decriptazione, anche per la polizia o l'FBI.
Questa protezione è diversa rispetto la richiesta di password per accedere a Windows che, come sappiamo, è facile da bypassare, per esempio avviando il computer con un altro sistema operativo da penna USB.
Se invece un disco è criptato, anche staccandolo da quel computer e collegandolo ad un altro non potremo mai estrarre i file al suo interno.
VeraCrypt è uno strumento gratuito e open-source che è possibile utilizzare per attivare la crittografia completa del disco su qualsiasi PC Windows 10, 8, 7, Vista, e anche XP e disponibile anche per Mac e Linux.
VeraCrypt è un progetto basato sul codice sorgente del vecchio software TrueCrypt, il cui sviluppo è stato interrotto qualche anno fa.
VeraCrypt è quindi un programma aggiornato, che supporta anche i PC moderni con Windows 10 e partizioni di sistema EFI.
Si può utilizzare per crittografare il contenuto di una penna USB, di un secondo hard disk, di una cartella oppure anche per proteggere l'accesso ai file di tutto il disco principale, quello in cui è installato Windows.
Usare questo tipo di programmi per proteggere il PC criptando l'intero disco di sistema significa ricevere la richiesta di una password ogni volta che si avvia il PC, subito dopo l'accensione del computer.
Vediamo quindi in questa guida come installare VeraCrypt e crittografare l'unità di sistema in modo da proteggere tutto quello che sta dentro il PC, sul disco di installazione, tipicamente il disco C: .
Prima di tutto, quindi, scaricare VeraCrypt ed eseguire il programma di installazione mantenendo anche tutte le impostazioni di default, andando avanti tranquilli e senza pericoli di sponsor o adware.
Una volta installato VeraCrypt, aprire il menu Start, lanciare il programma.
A questo punto si può scegliere di crittografare uno dei drive elencati oppure il disco di sistema.
Per quest'ultimo scopo, andare sul menù in alto System e poi selezionare Encrypt System Partition / Drive.
Verrà chiesto se utilizzare la modalità Normal o la crittografia di sistema Hidden.
L'opzione Normal cripta la partizione o l'unità di sistema normalmente quando si avvia il computer sarà necessario fornire la password di cifratura per accedervi.
L'opzione Hidden, invece, crea un sistema operativo in un volume VeraCrypt nascosto ed uno che fa da esca, fasullo.
In questo caso, quando si avvia il PC, è possibile inserire la password di veracrypt per avviare il sistema operativo nascosto oppure scrivere la password del sistema operativo esca.
Per capire cosa si intende si può pensare come di essere in un film di azione, dove il criminale o la polizia ci chiede di accedere al nostro PC e mostrargli la password ed il contenuto e noi, grazie a Veracrypt, possiamo nascondere il sistema nascosto e mostrargli invece quello fasullo che non ha nulla di strano.
In termini di crittografia, la modalità "Normale" mantiene i file di altrettanto sicuri ed a meno che non ci si sente ocme minacciati da qualcuno, è l'opzione da scegliere.
Andando avanti, la seconda scelta che viene richiesto di fare è quella tra Intero disco o partizione di sistema.
In pratica si richiede se si vuol crittografare tutto il disco o solo la partizione in cui è installato Windows.
Se quella di installazione è l'unica partizione, allora questa scelta è ininfluente.
VeraCrypt chiederà poi quanti sistemi operativi abbiamo sul PC.
Se ne abbiamo uno solo, scegliere il SingleBoot altrimenti selezionare "Multi-boot" per avere la scelta di quale avviare.
Per il tipo di crittografia da utilizzare è consigliabile accettare le impostazioni di default, ossia la crittografia "AES" e l'algoritmo di hash "SHA-256".
Alla fine verrà chiesto di inserire una password, che sia sicura e non facile da intuire.
La procedura guidata consiglia di scegliere una password da 20 caratteri o di più, fino al massimo 64 caratteri.
Una password ideale è la combinazione casuale di diversi tipi di caratteri, con lettere maiuscole e minuscole, numeri e simboli.
Certamente anche una password da 7 caratteri pu; bastare se non abbiamo cose di interesse nazionale sul nostro PC.
L'opzione del keyfiles richiede di fornire alcuni file per sbloccare il disco e funziona con i drive USB.
L'opzione del PIM è praticamente una seconda protezione oltre la password ed è la scelta del tasto per confermare la password (che di default è il tasto Invio).
Notare che Veracrypt, nell'inserire la password, cambia la tastiera da Italiano in Inglese perchè è quella che si attiva per prima all'avvio del PC.
VeraCrypt chiederà poi di spostare il mouse in modo casuale all'interno della finestra, per rinforzare la chiave di crittografia.
La procedura guidata VeraCrypt non può terminare senza creare un'immagine Veracrpyt come disco di ripristino.
In sostanza, se il bootloader o altri dati vengono danneggiati, si potrà utilizzare questo disco per avviare il computer e accedere ai file (sempre con password).
L'immagine ISO che viene creata e salvata sul PC dovrà quindi essere masterizzata su un CD o DVD (questo bisogna farlo da soli, non da Veracrypt).
Ogni disco di ripristino vale solo per il PC da cui è stato creato.
Ancora non è finita, si può anche definire la modalità wipe che si vuol utilizzare, per la protezione contro il recupero di dati.
Si può anche saltare questo passaggio che diventa anche troppo paranoico.
Alla fine, VeraCrypt verifica che tutto funzioni correttamente e prima di crittografare il disco o la partizione di sistema, chiede di fare un test fornendo anche le istruzioni da seguire nel caso di problemi in avvio.
Praticamente, se Windows non si avviasse correttamente, bisogna riavviare il PC e premere il tasto "Esc" sulla tastiera nella schermata del bootloader di VeraCrypt.
Windows dovrebbe chiedere se si vuol disinstallare il bootloader VeraCrypt.
In alternativa, si deve avviare il PC dal disco di recupero VeraCrypt e dalle opzioni ripristinare il bootloader di Windows originale.
Ad ogni avvio del computer quando il disco è crittografato con Veracrypt, bisognerà digitare la password e premere il tasto Invio oppure il tasto personalizzato se era stata selezionata l'opzione PIM.
Veracrypt è lo strumento di crittografia più potente per un PC, anche se bisogna considerare il rischio che tutti i dati possano essere persi nel caso di problemi col disco.
Ricordare quindi di avere sempre un backup su un altro disco esterno dei dati importanti che non si intende perdere.
Nel caso si volesse tornare indietro e decriptare il disco, dal programma Veracrypt si può sempre scegliere l'opzione System > decrypt system partition drive, per rimuovere la cifratura dei dati.