TrueCrypt 5.0: creare unità crittografate e proteggere l'intero disco fisso

In questo articolo abbiamo già illustrato, a suo tempo, le funzionalità chiave di TrueCrypt, software opensource – disponibile nelle versioni per Windows, Linux e MacOS – che consente di creare e gestire unità virtuali crittografate.

TrueCrypt adotta una soluzione a chiave simmetrica che implica, per tutte le operazioni di codifica e decodifica, l’utilizzo di una chiave identica.

Il software opensource offre una soluzione pratica da implementare, a costo zero, per proteggere da sguardi indiscreti, ad esempio, file e documenti personali. Le unità virtuali, accessibili – una volta “montate” – da qualsiasi applicazione così come da Risorse del computer, possono essere cifrate ricorrendo a diversi algoritmi: AES, Blowfish, Twofish, Serpent, CAST5 o TripleDES.

La principale novità introdotta in TrueCrypt 5.0 consiste nella possibilità di crittografare la partizione di sistema di Windows oppure, se lo si desidera, l’intero disco fisso. Ciò significa che, su sistemi Windows XP, Windows Server 2003 o Windows Vista, per poter accedere a Windows si dovrà superare una fase di autenticazione che anticipa la procedura di boot vera e propria. Chiunque desideri avere accesso al sistema, in lettura e scrittura, dovrà quindi inserire una password ad ogni avvio del personal computer.

Scegliendo Encrypt System/Partition/Drive… dal menù System di TrueCrypt 5.0, il programma richiede all’utente se intenda crittografare esclusivamente la partizione di sistema di Windows oppure l’intero disco fisso. In quest’ultimo caso (Encrypt the whole drive), TrueCrypt provvederà a cifrate il contenuto di tutto il disco fisso, comprese tutte le varie partizioni presenti, ad eccezione del primo cilindro dell’hard disk che verrà impiegato per memorizzare i file di base del programma (“boot loader”).
Si chiama “cilindro” l’insieme di tracce, contenute nel disco fisso, posizionate alla stessa distanza dal centro dello stesso.

L’autore di TrueCrypt tiene a precisare come il programma non salvi mai dati non cifrati ma si appoggi solamente in modo temporaneo alla RAM per gestirli. Non appena viene riavvio Windows o spento il computer, il volume viene automaticamente “smontato” e tutti i file in esso memorizzati resi inaccessibili perché crittografati. Anche quando il sistema si dovesse spegnere in seguito alla mancanza di alimentazione, tutti i file presenti sul disco rimarranno sempre crittografati.

Come passo successivo, TrueCrypt 5.0 richiede all’utente quali sistemi operativi siano installati sul sistema in uso. Nel caso in cui sul personal computer sia installato un solo sistema operativo, è sufficiente scegliere l’opzione Single-boot. Qualora, invece, l’utente abbia installato più sistemi operativi, anche diversi tra loro, dovrà notificare questo tipo di situazione a TrueCrypt selezionando Multi-boot. Questo tipo di scelta è importante perché consente di allertare TrueCrypt circa la presenza di un “boot loader”, installato da Windows o da una distribuzione Linux.

La finestra successiva consente di selezionare l’algoritmo o gli algoritmi che si desiderano impiegare per cifrare il contenuto del disco fisso. La scelta migliore da operare è funzione della tipologia dei dati memorizzati sul sistema in uso, dell’importanza degli stessi e delle performance che ci si aspetta di ottenere.
Ovviamente, se si opta per l’utilizzo, in cascata, di più algoritmi di crittografia, il livello di sicurezza sul quale si potrà fidare sarà estremamente più elevato ma si dovrà mettere in conto un decadimento prestazionale.
Il pulsante Benchmark offre la possibilità di avviare una serie di test “pratici” sul proprio sistema per verificare il “transfer rate” garantito nelle diverse configurazioni.

E’ bene osservare come le varie misurazioni (“benchmark”) vengano effettuate appoggiandosi alla memoria RAM: le performance su disco saranno, ovviamente, molto più ridotte.

Come algoritmi di hash, TrueCrypt offre tre alternative: RIPEMD-160, SHA-512 e Whirlpool.
Un algoritmo di hash calcola una rappresentazione digitale di lunghezza fissa (nota come “message digest”) di una sequenza di dati in ingresso (il “messaggio”), di lunghezza qualunque. Un algoritmo di hash è detto “sicuro” quando è praticamente impossibile, a livello computazionale, individuare un messaggio che corrisponda ad un dato “message digest” oppure trovare due messaggi distinti che producano lo stesso “message digest”.

Prima di crittografare il contenuto del disco, TrueCrypt richiede di una password. Questa parola chiave sarà utilizzata per l’accesso al sistema: è quindi importante scegliere una password piuttosto complessa che non possa essere quindi individuata per tentativi, ad esempio con attacchi “brute-force” o basati sull’uso di dizionari. Una password considerabile come “sicura” dovrebbe contenere lettere e numeri oltre, possibilmente, a qualche carattere “speciale”.

Non appena comparirà la finestra Collecting random data, si provveda a muovere ripetutamente il mouse, nel modo più casuale possibile: TrueCrypt provvederà a generare le chiavi utilizzate per le procedure di codifica e decodifica dei dati.

Come passo finale, TrueCrypt 5.0 richiede se si desideri creare un disco di ripristino (Rescue disk). Questo supporto si rivela di importanza fondamentale nel momento in cui il “boot loader” non dovesse più caricarsi o se si dovessero danneggiare le chiavi utilizzate dal programma. All’interno del disco di ripristino, TrueCrypt provvederà ad inserire una copia del contenuto del primo cilindro dell’hard disk, recuperabile, quindi, anche nel caso in cui, per esempio, il sistema non dovesse più avviarsi in seguito ad una infezione da malware.

Il contenuto del disco di ripristino viene memorizzato in formato ISO: si potrà poi ricorrere ad un qualsiasi software di masterizzazione per creare il “CD di emergenza” vero e proprio. Per masterizzare il file ISO è possibile usare un programma come Nero (trial, software commerciale), CD Burner XP (freeware), ISO Recorder (freeware) o InfraRecorder (opensource).

La creazione del CD di ripristino è un passaggio obbligatorio: dopo aver masterizzato il supporto a partire dal file ISO, cliccando sul pulsante Next, TrueCrypt ne verificherà il contenuto. Solo dopo aver completato questo passo sarà possibile proseguire.

Dopo il controllo del disco di ripristino, TrueCrypt 5.0 richiede se si intenda utilizzare, parallelamente alla protezione basata sull’uso dell’algoritmo o degli algoritmi crittografici prescelti, anche il wiping delle aree libere. Effettuando una sovrascrittura ripetuta delle aree che, sul disco fisso, non contengono alcun dato, si potrà fare in modo di impedire tentativi di recupero da parte di malintenzionati. Il concetto di base è che se il contenuto del disco fisso è crittografato (e quindi non accessibile dagli utenti non autorizzati), l’hard disk potrebbe continuare ad ospitare, in zone libere, dei dati contenenti informazioni personali. Questi, ancora salvati in forma non crittografata, potrebbero essere recuperati utilizzando apposite utility: la funzione di wiping integrata in TrueCrypt permette di scongiurare anche questa eventualità.

TrueCrypt 5.0 informa quindi sull’avvio di un test che ha l’obiettivo di controllare che tutto funzioni correttamente. Come riportato anche nel disclaimer finale, nessun dato, memorizzato sul disco fisso, sarà crittografato fintanto che il riavvio del computer non sarà stato effettuato.
Riavviando il sistema, dovrebbe comparire il boot loader di TrueCrypt: per proseguire bisognerà digitare la password scelta in fase di configurazione.

Se il sistema non dovesse avviarsi pur digitando la password corretta, è sufficiente premere il pulsante ESC: TrueCrypt richiederà se si desidera disinstallare il boot loader. Nel caso in cui questo metodo dovesse fallire, è possibile risolvere la situazione inserendo nel lettore CD/DVD il disco di ripristino precedentemente creato assicurandosi che il sistema venga avviato dal supporto inserito (verificare le impostazioni del BIOS).
A questo punto, sarà sufficiente selezionare la voce Repair Options quindi Restore original system loader. Rimuovendo il CD di emergenza di TrueCrypt il sistema dovrebbe a questo punto avviarsi di nuovo in modo corretto.
Il CD di ripristino di TrueCrypt integra, all’interno del menù Repair Options molte possibilità tra le quali quella che permette di decifrare in modo permanente l’intero disco fisso o singole partizioni (Permanently decrypt system partition/drive).

Solitamente, invece, se tutto andrà liscio, dopo aver digitato la password scelta in fase di configurazione, si avrà nuovamente accesso al sistema operativo e TrueCrypt 5.0 mostrerà il messaggio Pretest completed.

A questo punto, cliccando sul pulsante Next, i dati del disco fisso saranno crittografati. L’operazione è però piuttosto delicata: prima di procedere, come chiaramente informa anche TrueCrypt, è bene accertarsi di essere in possesso di una copia di backup di tutti i contenuti del disco fisso. Nel caso in cui si sia provveduto ad effettuare una copia di sicurezza di tutti i dati, è possibile cliccare sul pulsante Defer: in qualsiasi momento, riavviando TrueCrypt, il programma consentirà di procedere con la crittografia.
E’ altresì bene accertarsi che il computer in uso sia collegato ad un gruppo di continuità: nel caso in cui dovesse venire a mancare l’energia elettrica durante l’operazione di crittografia, è possibile che alcuni contenuti del disco vengano danneggiati o non risulti più leggibili. Massima cautela, quindi.

Creare con semplicità unità virtuali cifrate

Se la vera novità di TrueCrypt 5.0 consiste proprio nella possibilità di cifrare l’intero contenuto di dischi fissi e partizioni, le funzionalità che permettono la creazione di unità virtuali crittografate sono molto simili a quelle integrate nelle precedenti versioni del software.

Cliccando sul pulsante Create volume, visualizzato nella finestra principale di TrueCrypt, quindi selezionando l’opzione Create a file container, si può realizzare un’unità virtuale crittografata, alla quale – una volta “montata” – sarà automaticamente associata una lettera identificativa. Per “montare” e “smontare” l’unità cifrata ossia per renderne accessibile il contenuto da Risorse del computer così come da tutte le applicazioni Windows installate oppure per nascondere il disco virtuale, indispensabile introdurre la password scelta.

Tra le novità di TrueCrypt 5.0, oltre alla funzionalità – già illustrata – che consente di crittografare il contenuto dell’intero disco (opzione Encrypt the system partition or entire system drive), scegliendo Create a volume within a non-system partition/device si potrà, ad esempio, cifrare l’intero contenuto di qualsiasi partizione così come quello di una qualunque unità rimovibile (i.e. chiavette USB).

Supponendo di selezionare la voce Create a file container, TrueCrypt 5.0 richiede se si intende creare un’unità standard oppure un disco nascosto. Questa seconda opzione si rivela particolarmente utile per proteggersi dai casi in cui qualcuno cerchi di obbligarvi a fornirgli la password per l’accesso all’unità crittografata con TrueCrypt. Optando per Hidden TrueCrypt volume il programma creerà una seconda unità cifrata usando, come contenitore, un altro volume creato sempre con TrueCrypt. La password per il volume nascosto dovrà essere ovviamente differente da quella dell'”unità-contenitore”. Nel caso in cui qualcuno dovesse provare ad estorcerci la password per l’accesso al volume protetto, fornendo solo quella del “contenitore” eviterete che l’utente non autorizzato possa accedere all’unità nascosta (“hidden”).

Il volume nascosto può essere “montato”, ossia reso accessibile da parte del sistema operativo e delle applicazioni installate, nella stessa maniera di un’unità standard cifrata con TrueCrypt. E’ sufficiente cliccare su Select File (o Select Device) per selezionare il “volume-contenitore”, cliccare su Mount quindi digitare la password impostata per l’unità nascosta.

Attraverso la finestra Volume location, va indicato a TrueCrypt il nome del file all’interno del quale sarà memorizzato il contenuto dell’unità crittografata. Il file può essere salvato anche su unità rimovibili.

Il passo successivo consiste nella scelta dell’algoritmo di codifica e di quello di hash da impiegare. TrueCrypt 5.0 richiederà quindi di introdurre la dimensione da assegnare all’unità virtuale cifrata.

Come nel caso della crittografia dell’intero volume, si dovrà poi specificare la password da usare a protezione dell’unità. L’unica differenza consiste nell’opzione che offre la possibilità di specificare il file system da usare (NTFS o FAT).

“Montare” il volume crittografato

Dopo aver ultimato la creazione del volume crittografato, ritornando alla finestra principale di TrueCrypt e scegliendo la lettera di unità che si intende associare, si potrà “montarlo” sul sistema in uso. Per effettuare questa operazione, è sufficiente cliccare, poi, sul pulsante Select file e specificare il file contente l’unità virtuale precedentemente creata.

Dopo aver premuto il pulsante Mount ed introdotto la password definita in fase di creazione, l’unità crittografata sarà immediatamente accessibile da Risorse del computer così come da tutte le applicazioni Windows installate.

Per “smontare” l’unità, sarà sufficiente selezionarla, sempre servendosi della finestra principale di TrueCrypt, e premere il pulsante Dismount.