secure-os.org
ENFRESDEITPT
Tutte le guideQubes OSTailsWhonixLinux rafforzatoCrittografia del discoModello di minaccia
encryption

Cifratura completa del disco nel 2026: LUKS, BitLocker, FileVault e VeraCrypt a confronto

secure-os· Aggiornato 12 giugno 2026· 14 min di lettura #encryption#luks#opsec
Un lucchetto chiuso appoggiato su una tastiera di laptop, a simboleggiare la cifratura completa del disco che protegge i dati memorizzati

La cifratura completa del disco (FDE) è uno dei pochi controlli di sicurezza che offre una garanzia quasi assoluta in un modello di minaccia chiaramente delimitato: se qualcuno prende fisicamente il tuo dispositivo mentre è spento, non può leggere i tuoi file. Questa garanzia si è silenziosamente estesa per un decennio. Nel 2026, tutti i principali sistemi operativi per desktop e laptop vengono forniti con la FDE abilitata per impostazione predefinita o a una casella di distanza. Eppure la maggior parte degli utenti che la abilitano non sa esattamente cosa sta comprando — e, cosa più importante, cosa non sta comprando.

Questa guida copre le quattro soluzioni dominanti — LUKS2 su Linux, BitLocker su Windows, FileVault su macOS e VeraCrypt come opzione multipiattaforma — e ti dà le basi fattuali per sceglierle, configurarle e gestirle correttamente.

Cosa protegge davvero la cifratura completa del disco

Lo scenario classico è un laptop rubato. Il tuo disco è cifrato con una passphrase robusta. Il ladro avvia una USB live, monta il disco e trova solo testo cifrato. Senza la chiave, i dati sono illeggibili. Questo è lo scenario per cui la FDE è stata progettata, e lo gestisce bene.

Uno scenario correlato è il sequestro legale a riposo. Un’ispezione doganale, un mandato di perquisizione eseguito mentre sei assente, un dispositivo sequestrato e clonato prima che tu sia presente. Se il dispositivo è spento al momento del sequestro, la FDE regge. Diversi tribunali in più giurisdizioni hanno affrontato la questione se costringere a rivelare una passphrase sia espressione tutelata; la legge varia, ma la crittografia è solida.

Cosa non protegge la FDE

La cifratura completa del disco protegge i dati a riposo. Una volta che il sistema operativo si è avviato e ha decifrato il volume, i dati sono accessibili a qualsiasi processo in esecuzione su quel sistema — incluso il malware. Se un attaccante ha l’esecuzione di codice da remoto su un sistema in funzione, la FDE non offre alcuna protezione.

Attacchi evil maid. Se un attaccante ha accesso fisico a un dispositivo spento, avvia un sistema operativo live, modifica il tuo bootloader o kernel e restituisce il dispositivo prima che tu te ne accorga, può catturare la tua passphrase la prossima volta che la digiti. Le soluzioni basate su TPM (vedi BitLocker più sotto) mitigano questo misurando la catena di avvio, ma introducono i propri compromessi.

Attacchi cold boot. La DRAM conserva il suo contenuto per secondi o minuti dopo la rimozione dell’alimentazione, più a lungo se raffreddata. Un attaccante con accesso fisico immediatamente dopo lo spegnimento può congelare i moduli RAM, trasferirli a un’altra macchina ed estrarre le chiavi di cifratura presenti in memoria. Le mitigazioni moderne (il kernel sovrascrive il materiale delle chiavi alla sospensione, immagini di sospensione cifrate) riducono ma non eliminano questo rischio.

Sistemi in funzione con schermo bloccato. Un laptop su un tavolino, con lo schermo bloccato, è ancora un sistema cifrato in funzione. Il volume è già sbloccato. In questo stato la FDE non fornisce alcuna protezione aggiuntiva oltre a quella offerta dal controllo degli accessi (schermata di blocco).

Come funziona la cifratura completa del disco

La FDE moderna si basa su un cifrario simmetrico — quasi universalmente AES — operante in modalità XTS, progettata specificamente per la cifratura del disco (IEEE Std 1619-2007). AES-XTS-256 significa due chiavi AES da 128 bit combinate per produrre una chiave effettiva da 256 bit per il tweak di ogni settore.

La chiave di cifratura del volume (VEK) è generata in modo casuale quando il disco viene formattato per la cifratura. Questa chiave non lascia mai il disco in chiaro. Viene memorizzata cifrata da una chiave di cifratura della chiave (KEK), derivata dalla tua passphrase tramite una funzione di derivazione di chiave (KDF). LUKS2 usa Argon2id per impostazione predefinita; VeraCrypt usa PBKDF2-HMAC-SHA512 o Whirlpool con un alto numero di iterazioni; FileVault usa PBKDF2.

La KDF è il fattore che limita il ritmo contro la forza bruta. Argon2id ha vinto la Password Hashing Competition nel 2015 ed è deliberatamente memory-hard — ogni derivazione richiede una quantità configurabile di RAM, rendendo costoso il cracking accelerato da GPU. Una configurazione Argon2id ben calibrata su un laptop moderno punta a circa 1 secondo di tempo di sblocco, che si traduce in un attaccante miliardi di volte più lento dell’AES grezzo.

L’integrazione TPM aggiunge una radice di fiducia hardware. Il TPM (Trusted Platform Module, obbligatorio sull’hardware Windows 11) può sigillare la KEK rispetto a un insieme di misurazioni dei Platform Configuration Register (PCR) — hash del firmware, del bootloader e del kernel. Se un componente cambia, i valori PCR cambiano, il sigillo si rompe e il TPM si rifiuta di rilasciare la chiave. BitLocker, nella sua configurazione predefinita, usa questo meccanismo. Il compromesso: la passphrase non è richiesta all’avvio su un sistema non modificato, il che è comodo ma significa che un dispositivo acceso e rubato (ad es. durante l’attraversamento di una frontiera) è vulnerabile.

Panorama per piattaforma

Un lucchetto su una tastiera di laptop.

SoluzioneCifrario predefinitoKDFIntegrazione TPMOpen sourceMultipiattaforma
LUKS2 (Linux)AES-XTS-256Argon2idOpzionale (systemd-cryptenroll)No
BitLocker (Windows)AES-XTS-128 o 256Scrypt (Win 11 22H2+)Predefinita su hardware modernoNoNo
FileVault 2 (macOS)AES-XTS-128PBKDF2Apple T2/serie M Secure EnclaveParzialeNo
VeraCryptAES-XTS-256 (o cascate)Argon2id / PBKDF2Nessuna

BitLocker (Windows)

BitLocker è incluso in Windows Pro, Enterprise ed Education. Sull’hardware Windows 11 prodotto dopo il 2023, la cifratura del dispositivo è sempre più spesso abilitata per impostazione predefinita durante l’esperienza Out-of-Box se accedi con un account Microsoft — e la chiave di ripristino viene caricata silenziosamente sul tuo account Microsoft nel cloud. Questo comportamento è documentato da Microsoft (learn.microsoft.com) ma sorprende molti utenti. Se ti trovi in un modello di minaccia in cui un mandato governativo a Microsoft è una preoccupazione realistica, questa impostazione predefinita è un problema. La mitigazione consiste nel configurare BitLocker manualmente con un account locale e memorizzare la chiave di ripristino offline.

BitLocker usa per impostazione predefinita AES-XTS-128. Gli amministratori possono imporre AES-XTS-256 tramite Criteri di gruppo. Windows 11 22H2 ha introdotto Scrypt come opzione KDF, sostituendo il più vecchio PBKDF2-SHA256 criticato per un numero insufficiente di iterazioni.

FileVault (macOS)

FileVault 2, introdotto in OS X Lion (2011), usa la cifratura CoreStorage o APFS a seconda della versione di macOS. Su macchine Apple Silicon e T2, la cifratura è sempre attiva a livello hardware; FileVault aggiunge il requisito della passphrase che protegge la chiave del volume a riposo. La Secure Enclave applica la limitazione del ritmo sui tentativi di sblocco indipendentemente dal sistema operativo — una difesa importante contro gli attacchi offline che tentano di aggirare lo stack software. Le chiavi di ripristino possono essere depositate su iCloud o memorizzate localmente; se depositate su iCloud, Apple le detiene.

VeraCrypt

VeraCrypt è il successore mantenuto di TrueCrypt, sottoposto ad audit nel 2015 (audit di iSEC Partners) e risultato privo di vulnerabilità critiche. Anche VeraCrypt è stato sottoposto ad audit indipendenti (Quarkslab, 2016). La versione stabile attuale a giugno 2026 è la 1.26.29.

La caratteristica distintiva di VeraCrypt sono i volumi nascosti: un contenitore cifrato ospita un volume esca (aperto con una passphrase) e un volume nascosto (aperto con un’altra). Sotto coercizione, riveli la passphrase esca; l’esistenza del volume nascosto è crittograficamente negabile. Questa funzione richiede disciplina per essere usata correttamente — scrivere sul volume esterno può sovrascrivere il volume nascosto — ma è l’unica implementazione ampiamente disponibile e sottoposta ad audit della negabilità plausibile per i dati memorizzati.

Cifratura completa del disco su Linux passo dopo passo

La cifratura completa del disco su Linux è gestita dal sottosistema dm-crypt del kernel tramite lo strumento userspace cryptsetup. LUKS2 è il formato predefinito dalla versione 2.1 di cryptsetup (rilasciata nel 2019).

Configurazione al momento dell’installazione

Ogni programma di installazione delle principali distribuzioni — Fedora, Ubuntu, Debian — offre la FDE come opzione a casella durante l’installazione. Questo è il percorso consigliato per la maggior parte degli utenti. Il programma di installazione gestisce automaticamente il layout delle partizioni, la configurazione di GRUB e la derivazione iniziale della chiave.

Ubuntu usa LUKS2 con Argon2id e una chiave da 32 byte per impostazione predefinita. Fedora usa lo stesso con parametri Argon2id leggermente diversi, calibrati sull’hardware rilevato al momento dell’installazione.

Configurazione manuale di LUKS2

Per dischi esterni o configurazioni personalizzate:

# Sovrascrivi prima la partizione con dati casuali (richiede tempo ma è consigliato)
sudo dd if=/dev/urandom of=/dev/sdX bs=4M status=progress

# Formatta la partizione come LUKS2 con Argon2id
sudo cryptsetup luksFormat --type luks2 \
  --cipher aes-xts-plain64 \
  --key-size 512 \
  --hash sha256 \
  --pbkdf argon2id \
  --iter-time 3000 \
  /dev/sdX

# Apri la partizione cifrata (la mappa su /dev/mapper/secure)
sudo cryptsetup open /dev/sdX secure

# Crea un filesystem sul dispositivo mappato
sudo mkfs.ext4 /dev/mapper/secure

# Montalo
sudo mount /dev/mapper/secure /mnt/secure

Il flag --iter-time 3000 dice a cryptsetup di calibrare Argon2id in modo che la derivazione della chiave impieghi circa 3 secondi sull’hardware attuale. Riduci (a 2000) se la macchina è molto lenta o aumenta (a 5000) per una maggiore sicurezza su hardware veloce.

Esegui il backup dell’header LUKS

Questo passaggio è fondamentale e viene quasi universalmente saltato dagli utenti alle prime armi. L’header LUKS contiene gli slot delle chiavi e la chiave del volume cifrata. Se viene danneggiato — da un disco che si guasta, da un’operazione di partizionamento mal riuscita o da una scrittura casuale — i dati sul volume sono persi in modo permanente e irrecuperabile.

# Esegui il backup dell'header in una posizione esterna
sudo cryptsetup luksHeaderBackup /dev/sdX \
  --header-backup-file /path/to/external/drive/sdX-luks-header.img

# Verifica che il backup sia leggibile
sudo cryptsetup luksDump --header /path/to/external/drive/sdX-luks-header.img

Conserva questo backup dell’header in almeno due posizioni fisicamente separate. Non contiene la passphrase — l’header da solo non può decifrare i tuoi dati — ma senza di esso non puoi nemmeno tentare la decifratura.

Se un header viene danneggiato e non hai un backup, alcuni servizi professionali di recupero dati elencano la ricostruzione dell’header LUKS come operazione supportata, ma il successo non è garantito e dipende dall’entità del danno.

Cifratura di dischi esterni e chiavette USB

Lo stesso flusso di lavoro cryptsetup luksFormat si applica ai dischi USB. Su Windows, BitLocker To Go gestisce i dischi esterni ed è leggibile su qualsiasi installazione di Windows Pro o Enterprise senza software aggiuntivo. Su macOS, l’opzione “Codifica” del Finder su un disco formattato in APFS usa una cifratura in stile FileVault. I contenitori VeraCrypt sono portabili su tutte e tre le piattaforme, il che li rende la scelta pragmatica per i dischi che si spostano tra sistemi operativi. Per una guida passo dopo passo, vedi come cifrare una chiavetta USB.

Una nota operativa: un disco cifrato con LUKS che è sbloccato e montato non richiede una nuova autenticazione per la durata della sessione. Smonta e chiudi il mapper prima di lasciare il disco incustodito.

sudo umount /mnt/secure
sudo cryptsetup close secure

Passphrase, backup e realtà operative

Scegliere una passphrase robusta

La KDF limita il throughput dell’attaccante, ma non può compensare una passphrase debole. Una frase Diceware di sei parole (elenco di parole EFF) fornisce circa 77 bit di entropia — sufficienti contro qualsiasi attacco offline realistico con Argon2id configurato correttamente. Otto parole (circa 100 bit) sono comode per un disco che ti aspetti rimanga rilevante per un decennio.

Evita frasi da dizionario, nomi, date o qualsiasi cosa useresti come password su un servizio web. La passphrase protegge una chiave che non puoi cambiare (senza ricifrare l’intero volume), quindi trattala di conseguenza.

Il problema del backup

È qui che la cifratura completa del disco uccide più dati di quanti ne uccideranno mai gli attaccanti.

Un disco cifrato è un singolo punto di guasto. Se il disco muore, l’header LUKS si danneggia o dimentichi la passphrase, i dati sono persi. Non c’è alcun percorso di recupero. La cifratura non rende i dati più resilienti — li rende più fragili in assenza di una strategia di backup.

La risposta canonica è un backup cifrato fuori sede. Il backup stesso dovrebbe essere cifrato a riposo (così non scambi la cifratura del disco con un archivio cloud non cifrato), e la cifratura dovrebbe essere end-to-end in modo che il fornitore cloud non possa accedere al testo in chiaro.

Esegui il backup dell’header LUKS separatamente dai dati. Conserva le chiavi di ripristino (BitLocker) o le chiavi di ripristino personali di FileVault in un luogo fisicamente sicuro — stampate su carta in una cassaforte è una strategia legittima per le chiavi che speri di non dover mai usare.

Verdetto

Per la maggior parte degli utenti, la scelta giusta è la soluzione integrata del proprio sistema operativo, configurata correttamente:

  • Linux: LUKS2 al momento dell’installazione tramite il programma di installazione della distribuzione. Esegui subito il backup dell’header LUKS. Considera systemd-cryptenroll con un TPM per lo sblocco basato su PIN se l’hardware lo supporta.
  • Windows: BitLocker con AES-XTS-256 tramite Criteri di gruppo, usando un account locale, con la chiave di ripristino memorizzata offline — non nel tuo account Microsoft.
  • macOS: FileVault abilitato, chiave di ripristino memorizzata localmente (non depositata su iCloud a meno che quel modello di fiducia sia accettabile), con backup Time Machine su un volume cifrato.
  • Multipiattaforma / dischi portatili / volumi nascosti: VeraCrypt 1.26.29. Supportato da audit, open source e l’unica opzione mainstream con negabilità plausibile.

La FDE è un problema risolto a livello tecnico. Le modalità di guasto sono quasi interamente operative: passphrase dimenticate, chiavi di ripristino perse, mancanza di backup dell’header e incomprensione del modello di minaccia. Risolvi questi, e i tuoi dati a riposo sono protetti contro un avversario realistico con accesso fisico.

Per il contesto storico su come questi strumenti venivano discussi prima di diventare mainstream, vedi le discussioni archiviate della mailing list Secure Desktops, che hanno seguito questo ambito dal 2015 al 2017, quando LUKS2 e i nuovi standard KDF erano ancora in fase di finalizzazione.

Letture correlate: Tails OS e l’archiviazione persistente LUKS spiega come Tails usa LUKS per proteggere il volume di archiviazione persistente tra le sessioni. Qubes OS abilita la cifratura completa del disco per impostazione predefinita durante l’installazione, integrata con il suo modello di sicurezza a isolamento dei domini.

Domande frequenti

La cifratura completa del disco rallenta il mio computer?

Sull’hardware moderno, a malapena. Le CPU hanno istruzioni AES dedicate (AES-NI) che gestiscono la cifratura con un sovraccarico trascurabile per l’uso quotidiano; la maggior parte degli utenti non nota alcuna differenza. Macchine molto vecchie o carichi di lavoro pesanti sul disco possono subire un piccolo calo. Il guadagno in sicurezza — i tuoi dati illeggibili se il dispositivo viene perso o rubato — supera di gran lunga il costo minimo.

Qual è la differenza tra cifratura completa del disco e cifratura dei file?

La cifratura completa del disco (FDE) cifra l’intero disco, incluso il sistema operativo, quindi tutto è protetto una volta che la macchina è spenta o bloccata — la sblocchi una volta all’avvio. La cifratura di file o cartelle protegge elementi specifici mentre il resto del disco rimane leggibile. La FDE difende dal furto del dispositivo; la cifratura a livello di file aggiunge una protezione per ogni file (utile per la sincronizzazione cloud o la condivisione). Molte configurazioni usano entrambe.

La cifratura completa del disco mi protegge mentre il computer è acceso?

Solo parzialmente. La FDE protegge i dati a riposo — quando il dispositivo è spento o in ibernazione. Una volta avviato e sbloccato, il disco è decifrato durante l’uso, quindi il malware o qualcuno con accesso alla macchina in funzione e sbloccata può leggere i file. La FDE è una protezione contro la perdita/il furto fisico, non contro un sistema in funzione compromesso.