{"id":61,"date":"2026-06-11T20:31:06","date_gmt":"2026-06-11T20:31:06","guid":{"rendered":"https:\/\/shattered.io\/it\/2026\/06\/11\/veracrypt-cifrare-disco-aes-256\/"},"modified":"2026-06-11T20:32:41","modified_gmt":"2026-06-11T20:32:41","slug":"veracrypt-cifrare-disco-aes-256","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/2026\/06\/11\/veracrypt-cifrare-disco-aes-256\/","title":{"rendered":"VeraCrypt: Cifrare un Disco AES-256 in 12 Step [2026]"},"content":{"rendered":"\n

Un portatile aziendale dimenticato su un treno regionale non \u00e8 pi\u00f9 solo un problema di hardware. \u00c8 una potenziale violazione di dati personali ai sensi del GDPR, con obbligo di notifica al Garante entro 72 ore e una multa che pu\u00f2 arrivare al 4% del fatturato globale. La cifratura del disco trasforma quel laptop perso da incubo legale in un semplice costo di sostituzione. VeraCrypt<\/strong>, il software open source mantenuto da IDRIX (Mounir Idrassi), \u00e8 lo strumento gratuito pi\u00f9 collaudato per ottenere questo risultato su Windows, macOS e Linux con lo stesso formato di volume.<\/p>\n\n\n\n

Questa guida pratica copre l’intero percorso: dall’installazione della versione 1.26.24<\/strong> (rilasciata il 30 maggio 2025) alla creazione di volumi cifrati, dai volumi nascosti per la negabilit\u00e0 plausibile fino a uno script Bash completo per automatizzare backup cifrati. Tutti i comandi sono testati sulla riga di comando, cos\u00ec potete replicarli su un server, su una chiavetta USB o sul vostro disco di lavoro. Seguono 12 step operativi, 8 elementi di troubleshooting, esempi di output reali e una sezione dedicata alla conformit\u00e0 GDPR per chi opera in Italia e in Europa.<\/p>\n\n\n\n

Cos’\u00e8 VeraCrypt e perch\u00e9 usarlo nel 2026<\/h2>\n\n\n\n

VeraCrypt \u00e8 un software di cifratura del disco “on-the-fly”. I dati vengono cifrati e decifrati automaticamente in memoria mentre vengono scritti o letti, senza che l’utente debba intervenire. Un file non viene mai salvato sul disco in chiaro. Il progetto nasce nel 2013 come fork di TrueCrypt 7.1a, il software che IDRIX ha ripreso e irrobustito dopo la chiusura improvvisa di TrueCrypt nel 2014. Da allora VeraCrypt ha aumentato in modo netto il numero di iterazioni nella derivazione della chiave, rendendo gli attacchi di forza bruta molto pi\u00f9 costosi, e ha corretto numerose vulnerabilit\u00e0 ereditate dal codice originale.<\/p>\n\n\n\n

La versione 1.26.24 del maggio 2025 conferma che il progetto \u00e8 vivo e curato. Il ciclo di rilascio 2025 ha corretto due CVE che riguardavano i percorsi Linux e macOS, identificate come CVE-2024-54187<\/strong> e CVE-2025-23021<\/strong>, e ha aggiunto BLAKE2s<\/strong> tra le funzioni pseudocasuali (PRF) disponibili. Il supporto a Windows a 32 bit \u00e8 stato rimosso, segno di una manutenzione attenta alle piattaforme moderne. VeraCrypt resta gratuito, open source e revisionabile: il codice ha gi\u00e0 superato l’audit indipendente OSTIF\/Quarkslab del 2016, le cui criticit\u00e0 sono state successivamente risolte.<\/p>\n\n\n\n

Tre casi d’uso giustificano l’adozione di VeraCrypt nel 2026. Primo, la cifratura di chiavette USB e dischi esterni che viaggiano fuori dall’ufficio. Secondo, la creazione di contenitori cifrati portabili che si aprono identici su Windows, macOS e Linux, scenario in cui BitLocker e FileVault non arrivano. Terzo, la protezione di archivi sensibili (documenti legali, anagrafiche clienti, codice sorgente) con la possibilit\u00e0 di nascondere l’esistenza stessa dei dati grazie ai volumi nascosti. Se invece cercate la cifratura dei messaggi in transito, l’approccio \u00e8 diverso e lo trattiamo nella guida alla crittografia end-to-end in Node.js<\/a>.<\/p>\n\n\n\n

VeraCrypt vs BitLocker vs FileVault: quale scegliere<\/h2>\n\n\n\n

Windows include BitLocker, macOS include FileVault. Perch\u00e9 installare VeraCrypt? La risposta sta nella portabilit\u00e0 e nel controllo. BitLocker e FileVault sono soluzioni native, integrate nel sistema operativo e ottime per flotte omogenee gestite a livello centrale. VeraCrypt vince quando l’ambiente \u00e8 misto o quando serve un contenitore che si apra ovunque. Un volume creato su un PC Windows si monta senza conversioni su un Mac o su una macchina Linux, una flessibilit\u00e0 che le soluzioni native non offrono.<\/p>\n\n\n\n

Caratteristica<\/th>VeraCrypt 1.26.24<\/th>BitLocker<\/th>FileVault<\/th><\/tr><\/thead>
Piattaforme<\/td>Windows, macOS, Linux<\/td>Windows (Pro\/Enterprise)<\/td>solo macOS<\/td><\/tr>
Costo<\/td>Gratuito, open source<\/td>Incluso (edizioni Pro)<\/td>Incluso<\/td><\/tr>
Volumi portabili cross-OS<\/td>S\u00ec<\/td>No<\/td>No<\/td><\/tr>
Volumi nascosti<\/td>S\u00ec<\/td>No<\/td>No<\/td><\/tr>
Algoritmi a cascata<\/td>S\u00ec (fino a 3)<\/td>No (solo AES)<\/td>No (solo AES)<\/td><\/tr>
Codice revisionabile<\/td>S\u00ec (audit 2016)<\/td>No (proprietario)<\/td>No (proprietario)<\/td><\/tr>
Accelerazione AES-NI<\/td>S\u00ec<\/td>S\u00ec<\/td>S\u00ec<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

La scelta operativa \u00e8 pragmatica. Per un parco macchine interamente Windows gestito con Active Directory, BitLocker con escrow delle chiavi resta la via pi\u00f9 semplice. Per un team che scambia archivi cifrati tra sistemi diversi, o per chi vuole un codice ispezionabile e indipendente da un singolo fornitore, VeraCrypt \u00e8 la risposta. Molte organizzazioni usano entrambi: BitLocker per la cifratura full-disk del sistema operativo e VeraCrypt per i contenitori condivisi e i supporti rimovibili.<\/p>\n\n\n\n

Prerequisiti e versioni richieste<\/h2>\n\n\n\n

Prima di iniziare, verificate di avere a disposizione i componenti elencati di seguito. La guida usa principalmente la riga di comando Linux perch\u00e9 \u00e8 la pi\u00f9 adatta all’automazione e agli script, ma i concetti valgono identici sull’interfaccia grafica di Windows e macOS.<\/p>\n\n\n\n

Componente<\/th>Versione minima<\/th>Note<\/th><\/tr><\/thead>
VeraCrypt<\/td>1.26.24 (mag. 2025)<\/td>Ultima stabile, scaricare solo dal sito ufficiale<\/td><\/tr>
Windows<\/td>Windows 10 o successivo<\/td>Supporto 32 bit rimosso nel 2025<\/td><\/tr>
macOS<\/td>Monterey 12 o successivo<\/td>Richiede macFUSE<\/td><\/tr>
Linux<\/td>Kernel 4.x o superiore<\/td>AppImage o installer generico<\/td><\/tr>
RAM<\/td>512 MB liberi<\/td>1 GB consigliati per cascate<\/td><\/tr>
CPU<\/td>Con AES-NI<\/td>Consigliata per prestazioni AES<\/td><\/tr>
Privilegi<\/td>root \/ amministratore<\/td>Necessari per montare i volumi<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Una verifica fondamentale riguarda l’accelerazione hardware. La maggior parte delle CPU Intel e AMD prodotte dal 2011 in poi include il set di istruzioni AES-NI, che velocizza la cifratura AES di un ordine di grandezza. Su Linux potete controllarne la presenza con un solo comando, mostrato nello step successivo. Senza AES-NI, VeraCrypt funziona comunque, ma le prestazioni in lettura e scrittura calano in modo sensibile, soprattutto sui dischi pi\u00f9 veloci.<\/p>\n\n\n\n

Step 1-2: Installare VeraCrypt e verificare l’AES-NI<\/h2>\n\n\n\n

Scaricate sempre VeraCrypt dal sito ufficiale veracrypt.fr<\/a> e mai da mirror non verificati. Su Debian e Ubuntu potete usare il pacchetto generico. Il comando seguente installa la versione console, ideale per server e automazione. Lo step 2 verifica l’accelerazione AES-NI prima di procedere.<\/p>\n\n\n\n

# Step 1: installazione su Debian\/Ubuntu (riga di comando)\n# Scaricare il pacchetto console dal sito ufficiale, poi:\nsudo apt update\nsudo apt install .\/veracrypt-console-1.26.24-Debian-12-amd64.deb\n\n# Verificare la versione installata\nveracrypt --version\n# Output atteso: VeraCrypt 1.26.24\n\n# macOS (con Homebrew, richiede macFUSE)\nbrew install --cask macfuse\nbrew install --cask veracrypt\n\n# Step 2: verificare il supporto AES-NI sulla CPU (Linux)\ngrep -m1 -o aes \/proc\/cpuinfo\n# Output atteso: aes\n# Se non compare nulla, la CPU non ha AES-NI<\/code><\/pre>\n\n\n\n
Se il comando grep<\/code> restituisce “aes”, la CPU \u00e8 pronta per la cifratura accelerata. In caso contrario, considerate l’uso di un algoritmo meno esigente o l’aggiornamento dell’hardware per i carichi di lavoro intensi. Su Windows e macOS l’installer grafico gestisce tutto in automatico: vi basta seguire la procedura guidata e accettare le richieste di privilegi amministrativi, necessarie perch\u00e9 VeraCrypt installa un driver di sistema per il montaggio dei volumi.<\/p>\n\n\n\n
Step 3-4: Creare il primo volume contenitore cifrato<\/h2>\n\n\n\n
Il modo pi\u00f9 sicuro per iniziare \u00e8 il volume contenitore: un singolo file che si comporta come un disco virtuale cifrato. \u00c8 portabile, non richiede di toccare le partizioni esistenti e si presta perfettamente all’apprendimento. Lo step 3 crea un contenitore da 1 GB cifrato con AES e PRF SHA-512. Lo step 4 verifica il risultato. Useremo la modalit\u00e0 testuale (--text<\/code>) per controllo completo.<\/p>\n\n\n\n
# Step 3: creare un volume contenitore da 1 GB\nveracrypt --text --create \/home\/utente\/segreto.hc \\\n  --size=1G \\\n  --encryption=AES \\\n  --hash=SHA-512 \\\n  --filesystem=exFAT \\\n  --volume-type=normal \\\n  --pim=0 \\\n  --keyfiles=\"\" \\\n  --random-source=\/dev\/urandom \\\n  --password=\"UnaPasswordMoltoLungaE_Robusta_2026!\"\n\n# Output atteso (estratto):\n# Done: 100.000%  Speed: 142 MB\/s  Left: 0 s\n# The VeraCrypt volume has been successfully created.\n\n# Step 4: il filesystem exFAT viene creato durante lo step 3.\n# Per verificare, montate il volume (vedi Step 7) e controllate:\nveracrypt --text --list\n# Output atteso:\n# 1: \/home\/utente\/segreto.hc \/dev\/mapper\/veracrypt1 \/media\/veracrypt1<\/code><\/pre>\n\n\n\n
Tre parametri meritano attenzione. --filesystem=exFAT<\/code> garantisce compatibilit\u00e0 tra Windows, macOS e Linux: scegliete exFAT per i volumi che viaggiano tra sistemi diversi, ext4 se restano solo su Linux. --random-source<\/code> alimenta il generatore di entropia: in produzione muovete il mouse o usate una sorgente hardware per massimizzare la casualit\u00e0. Sull’interfaccia grafica, VeraCrypt vi chiede esplicitamente di muovere il mouse per qualche secondo, raccogliendo entropia dai movimenti. Non saltate questo passaggio, perch\u00e9 la qualit\u00e0 della chiave dipende dalla qualit\u00e0 della casualit\u00e0 iniziale.<\/p>\n\n\n\n
Step 5: Scegliere l’algoritmo di cifratura e la PRF<\/h2>\n\n\n\n
VeraCrypt offre cinque algoritmi di cifratura singoli e diverse cascate che ne concatenano fino a tre. Gli algoritmi disponibili sono AES, Serpent, Twofish, Camellia e Kuznyechik. Le cascate, come AES-Twofish-Serpent, cifrano i dati tre volte con cifrari indipendenti: la sicurezza aumenta sulla carta, ma le prestazioni calano in proporzione e solo AES beneficia dell’accelerazione AES-NI su gran parte delle CPU.<\/p>\n\n\n\n
Algoritmo<\/th>Tipo<\/th>Accelerazione HW<\/th>Quando usarlo<\/th><\/tr><\/thead>
AES<\/td>Singolo (256 bit)<\/td>S\u00ec (AES-NI)<\/td>Scelta predefinita, miglior equilibrio<\/td><\/tr>
Serpent<\/td>Singolo (256 bit)<\/td>No<\/td>Margine di sicurezza pi\u00f9 alto, pi\u00f9 lento<\/td><\/tr>
Twofish<\/td>Singolo (256 bit)<\/td>No<\/td>Alternativa ad AES, buona velocit\u00e0<\/td><\/tr>
Camellia<\/td>Singolo (256 bit)<\/td>Parziale<\/td>Standard approvato in UE e Giappone<\/td><\/tr>
Kuznyechik<\/td>Singolo (256 bit)<\/td>No<\/td>Standard russo GOST, casi specifici<\/td><\/tr>
AES-Twofish-Serpent<\/td>Cascata (3x)<\/td>Parziale<\/td>Massima paranoia, prestazioni ridotte<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
Per la PRF, ovvero la funzione hash usata nella derivazione della chiave, VeraCrypt supporta SHA-512, SHA-256, Whirlpool, BLAKE2s e Streebog. La combinazione consigliata per la maggior parte degli scenari \u00e8 AES con SHA-512<\/strong>: AES \u00e8 veloce grazie ad AES-NI e SHA-512 offre un’ampia dimensione di output per la derivazione. SHA-512 e Whirlpool usano un numero di iterazioni pi\u00f9 alto rispetto agli altri, aumentando il costo degli attacchi a dizionario. Se volete approfondire come funzionano queste funzioni, la nostra guida alle funzioni hash crittografiche<\/a> e l’articolo su SHA-256<\/a> spiegano i meccanismi sottostanti.<\/p>\n\n\n\n
Step 6: Password robuste, keyfile e PIM<\/h2>\n\n\n\n
La cifratura \u00e8 forte solo quanto la password che la protegge. Per i volumi non di sistema, VeraCrypt consiglia una passphrase di almeno 20 caratteri. Per la cifratura del disco di sistema, dove lo spazio della password \u00e8 pi\u00f9 esposto agli attacchi, il minimo consigliato sale. Una passphrase composta da quattro o cinque parole casuali \u00e8 pi\u00f9 facile da ricordare e pi\u00f9 difficile da forzare di una password breve piena di simboli.<\/p>\n\n\n\n
I keyfile<\/strong> aggiungono un secondo fattore: il volume si apre solo se fornite sia la password sia uno o pi\u00f9 file specifici (un’immagine, un PDF, qualsiasi file il cui contenuto resti immutato). Il PIM<\/strong> (Personal Iterations Multiplier) permette invece di regolare il numero di iterazioni della derivazione della chiave. Secondo la documentazione ufficiale di VeraCrypt<\/a>, per i volumi non di sistema con un PIM specificato il numero di iterazioni si calcola come 15000 + (PIM \u00d7 1000). Un PIM pi\u00f9 alto rallenta gli attacchi di forza bruta, ma allunga anche il tempo di montaggio per l’utente legittimo.<\/p>\n\n\n\n
# Step 6: creare un volume protetto da password + keyfile + PIM\n# Prima generiamo un keyfile casuale di 256 byte\nveracrypt --text --create-keyfile \/home\/utente\/chiave.key\n\n# Creare il volume usando password, keyfile e un PIM elevato (485)\nveracrypt --text --create \/home\/utente\/blindato.hc \\\n  --size=2G \\\n  --encryption=AES \\\n  --hash=SHA-512 \\\n  --filesystem=exFAT \\\n  --volume-type=normal \\\n  --pim=485 \\\n  --keyfiles=\/home\/utente\/chiave.key \\\n  --random-source=\/dev\/urandom \\\n  --password=\"cavallo-batteria-graffetta-corretto-2026\"\n\n# Con PIM=485 le iterazioni sono: 15000 + (485 x 1000) = 500.000\n# Il montaggio richiedera' piu' tempo, ma la forza bruta diventa\n# molto piu' costosa.<\/code><\/pre>\n\n\n\n
Conservate i keyfile separatamente dal volume cifrato. Se mettete keyfile e contenitore sulla stessa chiavetta, vanificate la protezione del secondo fattore. La gestione delle password resta il punto critico di ogni sistema crittografico: i principi che valgono qui valgono ovunque, come spiega la nostra guida alla sicurezza delle password<\/a>.<\/p>\n\n\n\n
Step 7: Montare e smontare il volume<\/h2>\n\n\n\n
Un volume cifrato \u00e8 inutile finch\u00e9 non lo si monta. Montare significa rendere disponibile il disco virtuale decifrato in una cartella del sistema, dove potete leggere e scrivere file normalmente. Quando smontate, i dati tornano inaccessibili e nessuna chiave resta in memoria. Questa \u00e8 la regola d’oro: smontate sempre i volumi quando finite di lavorare, soprattutto sui portatili.<\/p>\n\n\n\n
# Step 7: montare il volume in una cartella specifica\nsudo mkdir -p \/media\/segreto\nveracrypt --text --mount \/home\/utente\/segreto.hc \/media\/segreto \\\n  --pim=0 \\\n  --keyfiles=\"\" \\\n  --protect-hidden=no \\\n  --password=\"UnaPasswordMoltoLungaE_Robusta_2026!\"\n\n# Verificare che sia montato\nveracrypt --text --list\n# Output: 1: \/home\/utente\/segreto.hc \/dev\/mapper\/veracrypt1 \/media\/segreto\n\n# Ora si puo' usare \/media\/segreto come un disco normale\necho \"dato riservato\" > \/media\/segreto\/nota.txt\n\n# Smontare un volume specifico\nveracrypt --text --dismount \/home\/utente\/segreto.hc\n\n# Smontare TUTTI i volumi montati (utile a fine giornata)\nveracrypt --text --dismount<\/code><\/pre>\n\n\n\n
Sull’interfaccia grafica, il montaggio \u00e8 ancora pi\u00f9 immediato: selezionate uno slot libero, indicate il file del volume, inserite la password e cliccate “Mount”. Per smontare, selezionate il volume e cliccate “Dismount”. Un dettaglio importante riguarda lo spegnimento: VeraCrypt smonta automaticamente i volumi al logout o allo shutdown, ma non fidatevi di questo comportamento come unica difesa. Smontate manualmente prima di lasciare la postazione incustodita.<\/p>\n\n\n\n
Step 8: Cifrare un’intera partizione o una chiavetta USB<\/h2>\n\n\n\n
Oltre ai contenitori-file, VeraCrypt pu\u00f2 cifrare un’intera partizione o un dispositivo rimovibile. \u00c8 lo scenario tipico delle chiavette USB aziendali che devono lasciare l’ufficio. Attenzione: questa operazione distrugge tutti i dati presenti sul dispositivo. Fate un backup prima di procedere e identificate con assoluta certezza il device corretto, perch\u00e9 un errore qui cancella il disco sbagliato.<\/p>\n\n\n\n
# Step 8: identificare la chiavetta USB (ATTENZIONE al nome corretto)\nlsblk\n# Esempio output:\n# sdb      8:16   1  28,9G  0 disk\n# +-sdb1   8:17   1  28,9G  0 part\n\n# Smontare la partizione se montata dal sistema\nsudo umount \/dev\/sdb1\n\n# Creare un volume VeraCrypt sull'intera partizione\nsudo veracrypt --text --create \/dev\/sdb1 \\\n  --encryption=AES \\\n  --hash=SHA-512 \\\n  --filesystem=exFAT \\\n  --volume-type=normal \\\n  --pim=0 \\\n  --keyfiles=\"\" \\\n  --random-source=\/dev\/urandom \\\n  --password=\"ChiavettaAziendale_Cifrata_2026!\"\n\n# Montare la chiavetta cifrata\nsudo veracrypt --text --mount \/dev\/sdb1 \/media\/usb-cifrata \\\n  --pim=0 --keyfiles=\"\" --protect-hidden=no \\\n  --password=\"ChiavettaAziendale_Cifrata_2026!\"<\/code><\/pre>\n\n\n\n
Per la cifratura dell’intero disco di sistema (la partizione da cui parte Windows), VeraCrypt offre una procedura guidata dedicata che crea un bootloader di pre-avvio: la password viene richiesta prima ancora che il sistema operativo si avvii. Su Linux questa funzione \u00e8 pi\u00f9 limitata e spesso si preferisce LUKS per il disco di sistema, riservando VeraCrypt ai contenitori e ai supporti rimovibili. Valutate il caso d’uso prima di scegliere l’approccio full-disk.<\/p>\n\n\n\n
Step 9: Volumi nascosti e negabilit\u00e0 plausibile<\/h2>\n\n\n\n
La funzione pi\u00f9 distintiva di VeraCrypt \u00e8 il volume nascosto. Dentro un volume esterno (l’esca) ne vive un secondo, invisibile, protetto da una password diversa. Se qualcuno vi costringe a rivelare la password, fornite quella del volume esterno: i dati davvero sensibili restano celati nel volume nascosto e la loro esistenza non \u00e8 dimostrabile. Questo principio si chiama negabilit\u00e0 plausibile<\/strong> ed \u00e8 documentato nella pagina ufficiale sui volumi nascosti<\/a>.<\/p>\n\n\n\n
# Step 9: creare un volume nascosto dentro un volume esterno\n# VeraCrypt crea prima il volume esterno, poi quello nascosto\nveracrypt --text --create \/home\/utente\/doppio.hc \\\n  --size=4G \\\n  --encryption=AES \\\n  --hash=SHA-512 \\\n  --filesystem=exFAT \\\n  --volume-type=hidden \\\n  --pim=0 --keyfiles=\"\" \\\n  --random-source=\/dev\/urandom \\\n  --password=\"PasswordVolumeEsterno_Esca_2026\" \\\n  --hidden-volume-size=1G \\\n  --hidden-password=\"PasswordVolumeNascosto_Segreto_2026\"\n\n# Montare il volume NASCOSTO: si usa la password nascosta\nveracrypt --text --mount \/home\/utente\/doppio.hc \/media\/nascosto \\\n  --pim=0 --keyfiles=\"\" --protect-hidden=no \\\n  --password=\"PasswordVolumeNascosto_Segreto_2026\"\n\n# Montare il volume ESTERNO proteggendo quello nascosto da scrittura\nveracrypt --text --mount \/home\/utente\/doppio.hc \/media\/esca \\\n  --pim=0 --keyfiles=\"\" --protect-hidden=yes \\\n  --password=\"PasswordVolumeEsterno_Esca_2026\" \\\n  --protect-hidden-password=\"PasswordVolumeNascosto_Segreto_2026\"<\/code><\/pre>\n\n\n\n
C’\u00e8 un rischio concreto da conoscere. Se montate il volume esterno senza l’opzione --protect-hidden=yes<\/code> e ci scrivete sopra molti dati, potreste sovrascrivere e distruggere il volume nascosto. Per questo VeraCrypt prevede la modalit\u00e0 di protezione: quando lavorate sull’esca sapendo che esiste un volume nascosto, attivate sempre la protezione fornendo entrambe le password. Riempite il volume esterno con dati credibili ma sacrificabili (vecchie foto, documenti banali), cos\u00ec l’esca regge l’ispezione.<\/p>\n\n\n\n
Step 10: Automazione con uno script Bash completo<\/h2>\n\n\n\n
Ecco il progetto completo e funzionante: uno script che crea un backup cifrato di una cartella, montando un volume VeraCrypt, copiando i file e smontando in sicurezza. \u00c8 pensato per essere eseguito da cron, ad esempio ogni notte. Lo script legge la password da una variabile d’ambiente, non la scrive in chiaro nel codice, e gestisce gli errori in ogni fase.<\/p>\n\n\n\n
#!\/usr\/bin\/env bash\n# backup-cifrato.sh - Backup automatico su volume VeraCrypt\n# Uso: VC_PASS=\"lapassword\" .\/backup-cifrato.sh\nset -euo pipefail\n\nVOLUME=\"\/srv\/backup\/vault.hc\"\nMOUNTPOINT=\"\/media\/vault\"\nSORGENTE=\"\/home\/utente\/documenti\"\nSIZE=\"10G\"\n\n# La password arriva dall'ambiente, mai nel codice\n: \"${VC_PASS:?Definire VC_PASS con la password del volume}\"\n\n# 1. Creare il volume al primo avvio se non esiste\nif [[ ! -f \"$VOLUME\" ]]; then\n  echo \"[*] Creazione volume cifrato da $SIZE...\"\n  veracrypt --text --create \"$VOLUME\" \\\n    --size=\"$SIZE\" --encryption=AES --hash=SHA-512 \\\n    --filesystem=exFAT --volume-type=normal \\\n    --pim=0 --keyfiles=\"\" --random-source=\/dev\/urandom \\\n    --password=\"$VC_PASS\"\nfi\n\n# 2. Montare il volume\necho \"[*] Montaggio volume...\"\nmkdir -p \"$MOUNTPOINT\"\nveracrypt --text --mount \"$VOLUME\" \"$MOUNTPOINT\" \\\n  --pim=0 --keyfiles=\"\" --protect-hidden=no \\\n  --password=\"$VC_PASS\"\n\n# 3. Sincronizzare i dati (rsync copia solo le differenze)\necho \"[*] Copia dei dati in corso...\"\nrsync -a --delete \"$SORGENTE\/\" \"$MOUNTPOINT\/\"\n\n# 4. Smontare sempre, anche in caso di errore\necho \"[*] Smontaggio e chiusura...\"\nveracrypt --text --dismount \"$VOLUME\"\n\necho \"[OK] Backup cifrato completato: $(date)\"<\/code><\/pre>\n\n\n\n
Rendete lo script eseguibile con chmod +x backup-cifrato.sh<\/code> e pianificatelo con cron. Per passare la password senza scriverla in un file, usate un gestore di segreti o la voce pass<\/code>. Lo script usa set -euo pipefail<\/code> per interrompersi al primo errore, evitando di lasciare un volume montato dopo un fallimento. In produzione, aggiungete una trap che smonta il volume anche se rsync va in errore, cos\u00ec non lasciate mai dati esposti.<\/p>\n\n\n\n
Step 11: Benchmark e ottimizzazione delle prestazioni<\/h2>\n\n\n\n
VeraCrypt include un benchmark integrato che misura la velocit\u00e0 dei vari algoritmi sul vostro hardware specifico. \u00c8 lo strumento giusto per decidere quale cifrario usare: i numeri reali dipendono da CPU, AES-NI e velocit\u00e0 del disco, quindi misurate invece di indovinare. Sull’interfaccia grafica, il benchmark si trova nel menu Tools. Da riga di comando potete usare lo strumento di benchmark interno.<\/p>\n\n\n\n
# Step 11: esempio di output del benchmark VeraCrypt\n# (i valori variano in base alla CPU e all'accelerazione AES-NI)\n\nAlgoritmo      Cifratura      Decifratura     Media\nAES            3,8 GB\/s       4,1 GB\/s        3,9 GB\/s\nTwofish        420 MB\/s       430 MB\/s        425 MB\/s\nSerpent        310 MB\/s       300 MB\/s        305 MB\/s\nCamellia       380 MB\/s       390 MB\/s        385 MB\/s\nAES-Twofish    390 MB\/s       400 MB\/s        395 MB\/s\n\n# Nota: con AES-NI attivo, AES e' nettamente piu' veloce\n# delle alternative. Senza AES-NI il divario si riduce.<\/code><\/pre>\n\n\n\n
L’esempio mostra perch\u00e9 AES con AES-NI \u00e8 la scelta predefinita: l’accelerazione hardware lo rende molto pi\u00f9 veloce delle alternative software, al punto che su SSD moderni la cifratura non \u00e8 pi\u00f9 il collo di bottiglia. Se i vostri numeri di AES sono bassi, controllate che AES-NI sia attivo (Step 2) e che nessuna policy del BIOS lo disabiliti. Per le cascate a tre algoritmi, mettete in conto un calo di prestazioni proporzionale: usatele solo quando il modello di minaccia lo giustifica davvero.<\/p>\n\n\n\n
Step 12: Backup dell’header e disaster recovery<\/h2>\n\n\n\n
L’header di un volume VeraCrypt contiene la chiave master cifrata. Se l’header si corrompe, ad esempio per un settore danneggiato o una scrittura interrotta, il volume diventa illeggibile anche con la password corretta. Per questo VeraCrypt permette di salvare una copia di backup dell’header. \u00c8 il passo che troppi saltano e che fa la differenza tra un incidente recuperabile e una perdita totale dei dati.<\/p>\n\n\n\n
# Step 12: salvare un backup dell'header del volume\nveracrypt --text --backup-headers \/home\/utente\/segreto.hc\n# VeraCrypt salva l'header esterno e quello nascosto (se presente)\n# Conservate il file di backup in un luogo sicuro e separato\n\n# Ripristinare l'header da backup in caso di corruzione\nveracrypt --text --restore-headers \/home\/utente\/segreto.hc\n# Seguite le istruzioni a schermo per scegliere\n# header interno o backup esterno<\/code><\/pre>\n\n\n\n
Conservate il backup dell’header su un supporto diverso dal volume originale e, idealmente, fuori sede. Cambiate la password? Aggiornate anche il backup dell’header, perch\u00e9 quello vecchio resta valido con la vecchia password e rappresenta un rischio se finisce nelle mani sbagliate. Documentate la procedura di ripristino nella vostra policy di disaster recovery: in un’emergenza non volete improvvisare con i comandi giusti.<\/p>\n\n\n\n
Step extra: cambiare la password e ruotare i keyfile<\/h2>\n\n\n\n
La rotazione periodica delle credenziali \u00e8 una buona pratica anche per i volumi cifrati. Se sospettate che una password sia stata vista, o se un dipendente con accesso lascia l’azienda, dovete poter cambiare la password senza ricreare il volume da zero. VeraCrypt riscrive solo l’header con la nuova chiave derivata: i dati restano dove sono e l’operazione \u00e8 rapida, perch\u00e9 non comporta la ricifratura dell’intero contenuto.<\/p>\n\n\n\n
# Cambiare la password di un volume esistente (riga di comando)\nveracrypt --text --change \/home\/utente\/segreto.hc \\\n  --password=\"UnaPasswordMoltoLungaE_Robusta_2026!\" \\\n  --new-password=\"NuovaPasswordAncoraPiuLunga_2027!\" \\\n  --new-pim=0 \\\n  --new-keyfiles=\"\"\n\n# Output atteso:\n# Password and\/or keyfile(s) successfully changed.\n\n# Aggiungere un keyfile a un volume gia' protetto da password\nveracrypt --text --change \/home\/utente\/segreto.hc \\\n  --password=\"NuovaPasswordAncoraPiuLunga_2027!\" \\\n  --new-password=\"NuovaPasswordAncoraPiuLunga_2027!\" \\\n  --new-keyfiles=\/home\/utente\/chiave.key<\/code><\/pre>\n\n\n\n
Dopo ogni cambio di password, rigenerate subito il backup dell’header (Step 12). Il backup vecchio resta valido con la vecchia password: se finisce nelle mani sbagliate, vanifica la rotazione appena fatta. Distruggete in modo sicuro i vecchi backup dell’header con uno strumento di cancellazione che sovrascrive i dati. Documentate ogni rotazione in un registro interno: in un audit di sicurezza, dimostrare la gestione del ciclo di vita delle chiavi \u00e8 spesso richiesto quanto la cifratura stessa.<\/p>\n\n\n\n
VeraCrypt o LUKS: quale scegliere su Linux<\/h2>\n\n\n\n
Sui sistemi Linux esiste un’alternativa nativa molto diffusa: LUKS (Linux Unified Key Setup), gestito tramite cryptsetup<\/code> e integrato nel kernel. La domanda ricorrente di chi amministra server \u00e8 quando preferire VeraCrypt e quando LUKS. La risposta dipende dalla portabilit\u00e0 richiesta e dal contesto operativo.<\/p>\n\n\n\n
LUKS \u00e8 la scelta naturale per la cifratura del disco di sistema su Linux. \u00c8 integrato negli installer di Debian, Ubuntu e Fedora, supporta pi\u00f9 slot per chiave (fino a otto passphrase diverse sullo stesso volume) e si sblocca all’avvio tramite initramfs. Per un server che deve cifrare l’intero disco dati o di sistema e resta in ambiente esclusivamente Linux, LUKS offre l’integrazione migliore e prestazioni eccellenti grazie al modulo dm-crypt del kernel.<\/p>\n\n\n\n
VeraCrypt vince in tre situazioni precise. Primo, quando il volume deve essere letto anche su Windows o macOS: LUKS non si apre nativamente su quei sistemi, mentre un contenitore VeraCrypt s\u00ec. Secondo, quando serve la negabilit\u00e0 plausibile dei volumi nascosti, una funzione che LUKS non offre. Terzo, quando volete un contenitore-file portabile da spostare come un normale documento, senza toccare la tabella delle partizioni. In pratica, molte aziende usano LUKS per i dischi dei server Linux e VeraCrypt per gli archivi condivisi che attraversano sistemi operativi diversi. Le due soluzioni non si escludono: rispondono a esigenze complementari nella stessa strategia di cifratura a riposo.<\/p>\n\n\n\n
6 errori comuni da evitare con VeraCrypt<\/h2>\n\n\n\n
Anche utenti esperti commettono errori che indeboliscono la cifratura o causano perdite di dati. Ecco i sei pi\u00f9 frequenti, con la soluzione corrispondente.<\/p>\n\n\n\n