Chiunque si trovi ad operare su un sistema informatico si scontra con l'esigenza di mantenere una assoluta riservatezza su informazioni personali che dovrebbero rimanere inaccessibili a collaboratori e curiosi. La creazione di utenze diversificate protette da password consente una certa separazione tra le aree di lavoro ma non garantisce una confidenzialità assoluta. Un utente con diritti amministrativi sarà infatti in grado di accedere a qualunque dato presente sul sistema.
La diffusione di computer portatili e di dispositivi rimovibili, come hard disk e chiavette Usb, deve mettere in guardia gli utenti da possibili furti. In molti casi il valore delle informazioni memorizzate può essere di gran lunga superiore a quello del supporto su cui sono state salvate. In questo caso è bene limitare il danno alla sola perdita del dispositivo fisico, rendendo inaccessibili i dati critici a chiunque non sia il legittimo proprietario.
La soluzione ad entrambi i problemi descritti è ancora una volta la crittografia. Nell'articolo di questa settimana ci occuperemo di TrueCrypt, uno strumento opensource gratuito disponibile per Windows e Linux. TrueCrypt è un software OTFE (On The Fly Encription) in grado di cifrare intere partizioni ma anche di creare unità disco virtuali criptate all'interno di un singolo file (file container). Dopo aver digitato la password posta a protezione dei dati, si potrà accedere alle unità virtuali come se fossero normali unità disco. Tutte le operazioni crittografiche verranno realizzate "al volo" da TrueCrypt in modo trasparente per l'utente. Altra caratteristica del software è l'implementazione di funzionalità di plausible deniability le quali assicurano che in nessun modo possa essere provata l'esistenza di volumi cifrati sul sistema. Questa è una ulteriore garanzia a difesa dei nostri dati segreti.
Di seguito si descriveranno le funzioni principali del programma e si illustrerà come creare unità protette su disco e su chiavette usb.
Download e installazione
L'attuale versione 4.2 del programma è disponibile per i sistemi Windows 2000/XP/2003/Vista e per varie distribuzioni Linux. Di seguito concentreremo la nostra attenzione sui sistemi di casa Microsoft.
Una volta scaricato il file zip contenete il programma, dovremo estrarne i file e salvarli in una cartella sul desktop. TrueCrypt possiede due modalità di funzionamento che è molto importante comprendere. La prima prevede la sua installazione sul sistema. In questo caso è necessario possedere diritti amministrativi e lanciare il file TrueCrypt Setup.exe
presente nella cartella estratta. Così facendo verranno copiati i file in c:Programmi
e verranno installati nel sistema i device driver per la gestione dei dischi virtuali criptati. Il vantaggio di questa modalità è che, dopo l'installazione, il programma potrà essere usato, con alcune limitazioni, anche da una utenza non amministrativa.
La seconda possibilità è denominata modalità portatile ("traveller mode"). In questo caso potremo lanciare direttamente il programma TrueCrypt.exe,
presente nella sottocartella Setup Files.
Il programma verrà eseguito in versione standalone senza bisogno di essere installato. Questa modalità permette di salvare TrueCrypt su una chiavetta usb per essere utilizzato su ogni sistema. Lo svantaggio della modalità portatile è che saranno sempre necessari diritti amministrativi per eseguire il programma.
TrueCrypt è disponibile in lingua inglese ma tramite un comodo language-pack è possibile tradurlo in italiano. Dopo aver estratto il file xml dall'archivio è sufficiente salvarlo nella cartella di installazione in cui è presente il file di programma TrueCrypt.exe
. Al successivo avvio il programma parlerà la nostra lingua.
Creazione guidata volume
Dopo aver lanciato TrueCrypt ci troviamo di fronte la sua finestra principale.
Figura 1. Finestra principale di TrueCrypt
Nella parte superiore sono visualizzate le lettere di volume disponibili e le eventuali unità TrueCrypt già montate nel sistema. Per accedere alla creazione guidata di una nuova unità è sufficiente premere il pulsante Crea Volume
.
Al primo passo possiamo scegliere se creare un volume standard o un volume nascosto. Nel nostro caso scegliamo la prima opzione. Sarà sempre possibile aggiungere in un secondo tempo una sezione nascosta ad un volume standard esistente (si veda di seguito nell'articolo).
Al passo successivo dobbiamo indicare al programma se criptare un'intera partizione o se creare un file contenitore. Nel primo caso selezioniamo la partizione con il pulsante Sel. dispositivo
. È bene precisare che l'unità verrà formattata e che quindi tutti i dati in essa presenti verranno distrutti. Nel secondo caso, tramite Seleziona File,
indichiamo nome e posizione del contenitore che deve essere generato.
La scelta tra le due modalità dipende dalle esigenze dell'utente. Un file contenitore ha lo svantaggio di poter essere cancellato accidentalmente con la conseguente perdita di tutti i dati in esso memorizzati. In generale si rivela però più versatile in quanto è possibile cambiarne la posizione e crearne delle copie di backup.
Nella terza schermata scegliamo l'algoritmo crittografico che TrueCrypt dovrà usare per proteggere i nostri dati. Per aumentare la sicurezza è persino possibile indicare più algoritmi da utilizzare in cascata ma, in questo caso, i tempi di elaborazione aumenteranno rendendo l'unità più lenta. Se non si è esperti si consiglia di lasciare le impostazioni predefinite.
Figura 2. Scelta del tipo di crittografia
A questo punto della procedura guidata dobbiamo indicare la dimensione del nostro volume. Questa opzione è necessaria solamente se stiamo creando un file contenitore. Nel caso di partizioni criptate le dimensioni saranno imposte dalla dimensione della partizione stessa.
Fase molto importante è la scelta delle chiavi segrete per l'accesso al nuovo volume. La soluzione più comune consiste nell'impostare una semplice password di protezione. Per offrire una sicurezza adeguata, la parola d'ordine deve soddisfare determinati criteri di complessità e lunghezza. Si ricordi che la protezione dei dati sarà affidata unicamente alla parola che avete scelto.
In aggiunta, o in alternativa, alla password è possibile usare il contenuto di un file, denominato keyfile, come chiave per criptare i dati. Allo scopo è possibile usare qualsiasi documento in nostro possesso: ad esempio un file Pdf, un brano mp3, una foto Jpeg. È possibile usare più di un keyfile per ogni singolo contenitore ma si ricordi che la perdita o la corruzione di uno solo di questi renderà completamente inaccessibili i dati. Per usufruire di questa funzionalità è sufficiente selezionare la casella Utilizza keyfiles
e tramite il pulsante apposito indicare il file da adoperare. In alternativa è possibile far generare un keyfile completamente casuale direttamente a TrueCrypt.
Per finire è necessario scegliere il formato del filesystem e formattare l'unità. Se volete la massima compatibilità con tutti i sistemi operativi, soprattutto nel caso usiate una chiavetta Usb, si consiglia l'uso del sistema FAT. Cliccando sul pulsante Formatta
si procede all'inizializzazione del volume che durerà un tempo proporzionale alla sua dimensione.
Montaggio e gestione di un volume
Per accedere al volume appena creato è necessario "montarlo" in modo che il sistema lo riconosca come unità disco virtuale. Attraverso i pulsanti Seleziona file
e Sel. dispositivo,
presenti nella finestra principale di TrueCrypt, possiamo decidere se montare rispettivamente un file contenitore o una partizione. Dopo avere scelto una lettera di unità con la quale vogliamo che il volume venga identificato possiamo premere il pulsante Monta
. A questo punto dovremo autenticarci inserendo la corretta password e gli eventuali keyfile.
Figura 3. Scelta della password
Se tutto è andato a buon fine, TrueCrypt ci segnalerà l'avvenuto riconoscimento del volume. Nell'esempio, l'unità M:
sarà associata al file contenitore G:kryptodrive
di 99MB.
Figura 4. Associazione del volume
Una volta terminate le operazioni sul nostro archivio segreto, possiamo "smontare" l'unità tramite l'apposito pulsante.
Creazioni di volumi portatili su chiavette USB
Le chiavette usb sono il sistema ideale per avere sempre a portata di mano i propri documenti riservati. Per proteggerli sarà sufficiente memorizzarli all'interno di un file contenitore cifrato. Per poter accedere ai dati da ogni postazione possiamo salvare TrueCrypt sul dispositivo in modo da poterlo avviare in modalità portatile.
La funzione Setup disco portatile,
presente nel menu Strumenti,
semplifica e automatizza tutta la procedura descritta e può perfino rendere la nostra chiavetta auto-avviabile (solo su Windows XP sp2).
Figura 5. Creazione di un disco portatile crittografato
Avviata la procedura, dobbiamo indicare la cartella radice della chiavetta. Qui verranno copiati i file necessari. Di seguito possiamo scegliere l'operazione che desideriamo venga eseguita in automatico all'inserimento del dispositivo nel pc. Nell'esempio si è richiesto di montare il file contenitore di nome kriptodrive
già presente sulla chiavetta.
La figura che segue mostra il contenuto della chiavetta dopo la procedura: notiamo il file contenitore da 100MB, il file autorun.ini
con le istruzioni di avvio automatico e la cartella TrueCrypt con l'eseguibile del programma.
Figura 6. Il volume portatile
All'inserimento del dispositivo usb nel sistema una finestra ci richiederà la password segreta per poter montare il volume.
Plausible deniability e volumi nascosti
Come accennato nell'introduzione, TrueCrypt garantisce che non possa essere provato in alcun modo l'utilizzo come contenitori criptati di un file o di una partizione. Visto dall'esterno, infatti, l'intero volume presenterà dei dati del tutto casuali e privi di correlazione.
A ulteriore tutela dell'utente, il programma permette la creazione di volumi nascosti all'interno dei normali volumi standard visti in precedenza. In questo tipo di contenitori lo spazio libero non occupato dai file viene usato per conservare un secondo volume nascosto e protetto da una diversa chiave. Se qualcuno ci dovesse estorcere con la forza la password di accesso, potremmo tranquillamente rivelare quella del contenitore principale. Qui avremo avuto cura di memorizzare dei file fasulli solo in apparenza confidenziali. Di fronte a tali dati il nostro aggressore risulterà soddisfatto e l'unità nascosta, in cui avremo memorizzato i veri dati segreti, rimarrà inviolata. In nessun modo se ne potrà provare l'esistenza.
Per creare un'unità nascosta è sufficiente selezionare l'opportuna voce nel primo passo della Creazione Volume
. È possibile aggiungerla ad un volume esistente oppure creare entrambi in una sola volta. La procedura è semplice e del tutto simile a quella già vista. In fase di montaggio del volume accederemo alla sezione normale o a quella nascosta a seconda della password fornita.
Figura 7. Creazione unità nascosta
Essendo il volume nascosto ricavato dallo spazio inutilizzato di quello principale è possibile che venga corrotto dall'aggiunta di file nel volume esterno. Per evitare questa spiacevole situazione è molto importante che in fase di montaggio del volume principale si selezioni la voce Proteggi volume nascosto contro danni da scrittura sul volume esterno
presente nella sezione Mount option.
In questo caso sarà necessaria anche l'introduzione della password del volume nascosto.
Figura 8. Montare un'unità nascosta
Per ulteriori informazioni sulle funzionalità dei volumi nascosti si consulti la guida online.