Differenza tra Bitlocker, EFS e Crittografia del dispositivo

Chiunque disponga di un sistema Windows 8.1 o Windows 10 installato su di una macchina di recente fattura, è altamente probabile che utilizzi, inconsapevolmente, la funzionalità Crittografia dispositivo.
Tale funzionalità viene oggi attivata di default quando l’utente utilizza un account Microsoft ed un sistema basato su chip TPM (Trusted Platform Module).

Che cos’è il chip TPM

Il chip TPM, integrato nelle schede madri più recenti, fornisce alcune funzionalità crittografiche sfruttabili dal sistema operativo ed, eventualmente, dalle applicazioni installate.
Il TPM, installato sulla scheda madre come modulo aggiuntivo, consente di attestare l'”affidabilità” della piattaforma sulla quale è utilizzato e permette di crittografare i dati inviate sui bus del sistema o memorizzate sulle memorie di massa.
Tali dati vengono salvati usando una chiave che è funzione dello stato del sistema (combinazione hardware e software in uso). La decifratura dei dati, di conseguenza, è praticabile solo utilizzando la medesima configurazione del sistema.
Una apposita chiave RSA identifica in modo univoco il singolo chip TPM: essendo stata inserita al momento della fabbricazione del modulo, i dati cifrati dal chip TPM possono essere decodificati solamente per mezzo dello stesso chip.

Crittografia dispositivo legata a doppio filo con il chip TPM in Windows 10 ed in Windows 8.1

Se si sta usando una macchina Windows 8.1 o Windows 10 vi sono elevate probabilità che i dati memorizzati sul disco fisso o sull’unità SSD siano cifrati usando il chip TPM.

I due sistemi operativi, infatti, rilevando la presenza del chip TPM, di default attivano la Crittografia dispositivo. Ciò significa che i contenuti salvati vengono cifrati usando una chiave che, in questo caso, non viene conservata in locale ma memorizzata sui server Microsoft.

Per verificare se la Crittografia dispositivo sia attiva o meno in Windows 8.1 od in Windows 10, basta digitare Informazioni sul PC nella casella di ricerca del sistema quindi controllare quanto riportato in calce alla finestra.
Nel caso in cui non si trovassero indicazioni, significa che il computer in uso non supporta la crittografia delle unità attivata da parte Windows, generalmente in forza dell’assenza del chip TPM sulla scheda madre. Il sistema operativo, quindi, non consente l’abilitazione della funzionalità Crittografia dispositivo.
Per maggiori informazioni in proposito, suggeriamo la lettura dell’articolo Rendere irrecuperabili i dati quando il computer viene rubato ed, in particolare, del paragrafo Crittografia del disco con Windows 8.1 e Windows 10.

Suggeriamo altresì di visitare questa pagina previo login con le credenziali associato al proprio account utente Microsoft (le stesse usate in Windows 8.1 od in Windows 10).

In caso di utilizzo della funzionalità Crittografia dispositivo, Microsoft visualizzerà le chiavi crittografiche impiegate a protezione del contenuto delle unità disco locali.

Cancellando le chiavi crittografiche qui riportate (suggeriamo di annotarle per maggior sicurezza), Microsoft promette che saranno eliminate dai server dell’azienda pressoché istantaneamente e che saranno rimosse anche le loro copie di backup altrettanto conservate sul cloud.

Per cessare l’utilizzo della crittografia dei dati basata sulla conservazione delle chiavi “in the cloud“, è possibile premere il pulsante Disattiva in corrispondenza di Crittografia dispositivo, nella schermata Informazioni sul PC di Windows.
L’operazione può essere richiesta anche dalla finestra principale di BitLocker: il contenuto dell’unità cifrata verrà così completamente decodificato.

Nel caso in cui si riattivasse la crittografia del disco con Bitlocker (strumento proposto nelle edizioni Pro ed Enterprise di Windows), il sistema operativo chiederà se le chiavi crittografiche dovranno essere salvate e conservate sui server remoti di proprietà di Microsoft (impostazione di default) oppure salvate ad esempio su un file (chiavetta USB, unità esterna e così via).
Peccato che Windows non chieda all’utente quale sia la sua preferenza già in fase di installazione e configurazione del sistema operativo e, per impostazione predefinita, usi l’approccio che implica l’upload delle chiavi sui server Microsoft.

Per evitare di usare Bitlocker ed altre soluzioni Microsoft, è possibile adoperare strumenti come l’ottimo VeraCrypt che non hanno assolutamente la necessità di appoggiarsi al chip TPM.
Consigliamo la lettura degli articoli Rendere irrecuperabili i dati quando il computer viene rubato e Come proteggere il contenuto dell’hard disk con VeraCrypt e Bitlocker.

Che cos’è EFS? Quali le differenze con Bitlocker?

Acronimo di Encrypting File System, EFS è un’estensione del file system NTFS (Differenza tra NTFS, FAT32 e exFAT: ecco cosa cambia).

EFS è stato introdotto con Windows 2000 mentre Bitlocker è stato portato al debutto con il rilascio di Windows Vista, nel 2007.

Mentre BitLocker, sulle versioni di Windows compatibili, consente di crittografare intere unità disco e di creare eventualmente singoli contenitori cifrati (si tratta in buona sostanza di file d’immagine dal contenuto cifrato che Windows considera come normali unità disco), EFS presuppone che sia l’utente a specificare manualmente in file da cifrare.
Con EFS, i file crittografati saranno accessibili solo dall’account utente che ne ha richiesto la cifratura.

Per usare EFS non è necessaria la presenza del chip TPM ed è tutt’altro che improbabile che la chiave crittografica possa essere estratta.

Rispetto ad EFS, quindi, Bitlocker rappresenta una soluzione nettamente più evoluta anche perché si propone come una soluzione “imposta e dimentica“: una volta configurata la funzionalità, il contenuto dell’unità disco viene completamente cifrato in maniera automatica e senza la necessità di ulteriori interventi da parte dell’utente.

Come già fatto presente in precedenza, comunque, chi preferisse evitare l’utilizzo di soluzioni Microsoft e del chip TPM, può volgere lo sguardo ad ottimi strumenti come VeraCrypt, apprezzatissimo “fork” di TrueCrypt.
VeraCrypt non soltanto consente di aprire gli archivi del predecessore TrueCrypt ma consente di crittografare interi dischi fissi, singole partizioni o creare “file-contenitore” cifrati, accessibili solo da parte degli utenti autorizzati.