» continua
In funzione della release di cui disponete, Windows Vista si presenta con due opzioni per la crittografia di un hard disk. Come tutte le versioni di Windows XP e Windows 2000, anche tutte le edizioni di Vista supportano NTFS su disco e la crittografia a livello file. Ma la crittografia tramite NTFS ha molti svantaggi, primo fra tutti quello di essere codificata soltanto a livello file. Questo limita la sua utilità in quegli ambienti in cui è importante cifrare l'intero contenuto di un disco.
Vista Business e Ultimate includono anche BitLocker, una tecnica di crittografia on-the-fly che codifica il disco di sistema, compreso i file eseguibili del sistema operativo e i file di boot. Questo è un modo utile per impedire, per esempio, che un notebook venga compromesso se cade in mani sbagliate. Ma BitLocker cifra soltanto il volume di sistema; non agisce sui volumi aggiuntivi o i driver removibili. Per risolvere efficacemente questo problema, dovete puntare su una soluzione di terzi.
Una delle migliori utility disponibilio, non solo per la portata delle sue potenzialità ma anche per il licensing e l'implementazione, è TrueCrypt, un'applicazione di crittografia open source gratuita, disponibili per sia Windows sia per Linux e con il codice sorgente C++ disponibile a tutti.
La crittografia open source di TrueCrypt permette di generare volumi cifrati sia da un intero drive fisico o da una partizione, oppure trasformando un normale file in un disco virtuale cifrato. Tutti i dati che passano da e per il volume sono codificati e decodificati on-the-fly secondo la procedura di crittografia scelta (256-bit AES, Serpent, Twofish o loro combinazioni) o algoritmi hash (Whirlpool, RIPEMD-160 e SHA-1). Senza una password adeguata, tutto quanto memorizzato sul volume risulta cifrato e indistinguibile da dati casuali.
Inoltre, non è possibile distinguere un volume cifrato con TrueCrypt: tale volume non ha intestazione specifica, estensione o parametri identificabili. Windows vede il volume cifrato soltanto come un altro drive e tutti le operazioni che possono essere effettuate su un normale file system possono essere effettuate su un volume TrueCrypt.
TrueCrypt dispone di alcune altre caratteristiche di elevata-sicurezza opzionali ma molto utili:
- Keyfiles: Un keyfile è un qualsiasi file - una parte di testo, un'immagine, un file MP3 e così via - che il disco crittografiato di TrueCrypt combina con una password definita per decifrare un volume particolare. Senza keyfile e password, il volume non può essere decodificato. Keyfiles può essere combinato con altri tipi di crittografia. Per esempio, se avete un keyfile memorizzato su un volume di boot cifrato con BitLocker (o persino in un altro volume TrueCrypt), il contenuto del volume TrueCrypt può essere gestito soltanto se qualcuno ha anche accesso al volume BitLocker. Questo è valido anche se il volume TrueCrypt è memorizzato su un drive rimovibile o su un'altra partizione.
- Volumi nascosti: I volumi nascosti permettono di montare due partizioni all'interno di un dato volume TrueCrypt: una normale, che di default viene rivela il suo contenuto quando viene fornita una password, e un'altra, che non è rilevabile (ed è celata con una differente password). Potreste perciò memorizzare una determinata quantità di informazioni non-cruciali in un volume esterno e se foste costretti a rivelare la password principale per il volume, potreste farlo essendo sicuri di non compromettere i dati veramente sensibili presenti sul volume interno.
- Compatibilità con Windows Vista. Dalla release 4.3, TrueCrypt supporta completamente Windows Vista, compreso lo User Account Control (UAC). Gli eseguibili di TrueCrypt sono stati firmati digitalmente con un certificato riconosciuto come affidabile per evitare i problemi di autenticazione in Vista. Si noti che soltanto un amministratore può installare TrueCrypt su un dato sistema con Vista.
- Traveler mode: E' una funzione che consente di memorizzare una copia runtime di TrueCrypt su un driver rimovibile e di farla girare sui sistemi di Windows in cui TrueCrypt non è installato. Il programma TrueCrypt ha un wizard per automatizzare questo processo e permette persino al volume di montarsi (con la password adeguata, naturalmente) quando viene inserito. Si noti che non si può usare il Travel mode in Vista a meno che non stiate usando un account con i privilegi di amministratore.
- Supporto della cifratura di interi dispositivi fisici. Se necessario, potete inizializzare un intero dispositivo fisico non partizionato - un hard drive, un flash drive - come un volume di TrueCrypt per la massima sicurezza. Questo può richiedere moltissimo tempo, poiché l'intero dispositivo deve essere sovrascritto con dati casuali per essere veramente sicuro, ma, una volta fatto, se non si conosce la password per accedere, il drive risulta solo un volume con dati cancellati in modo casuale. Montando una partizione o un dispositivo come volume cifrato (anziché un file) è più difficile per un attacker effettuare il reverse-engineer delle informazioni che potrebbero essere memorizzate nel volume se state usando un file system come NTFS.
Precisiamo che bisogna osservare alcune precauzioni quando usano TrueCrypt, precauzioni che sono state documentate dagli autori del programma. Il modo migliore per proteggere i dati è attraverso i file di ibernazione/paging. Se i dati non cifrati sono scritti dalla memoria in entrambi questi file, potrebbero essere analizzati da terzi se il volume in cui sono scritti a non è cifrato. Tuttavia, se usate TrueCrypt insieme con un volume di boot BitLocker, dovreste ridurre la superficie di attacco totale dato che ogni dato decifrato che potrebbero essere scritto “in chiaro” dovrebbe tipicamente essere scritti in un volume BitLocker.
Le terze parti hanno creato alcuni add-on per TrueCrypt, poiché le Api di TrueCrypt sono totalmente open e documentate. Uno dei più significativi contributi di terze parti al progetto TrueCrypt è un add on denominato, TCTEMP che automatizza il processo di cifratura dei file di paging, dei file temporanei generate dal sistema e dei file dello spooler di stampa - ciascuno di questi potrebbe comportare i rischi di sicurezza accennati in precedenza. Però TCTEMP non codifica ancora i file di ibernazione. Un altro add on di terze parti, TCGINA cifra i profili utente di Windows.
