Con il termine disk encryption di solito si intende un sistema di cifratura dell'intero disco, o chiave usb, in modo trasparente per l'utente.

A seconda del software e dell'hardware disponibile, alcune zone potrebbero non essere cifrate, ad esempio il Master Boot Record. File encryption, invece, è una cifratura che opera su singoli file o directory, scelti dall'utente.

Senza dubbio, il primo tipo offre maggiore protezione, a prezzo di perdita di prestazioni, diminuzione di interoperabilità e complessità di installazione. Il secondo è più semplice da usare e può anche essere impiegato insieme al primo per aumentarne la sicurezza. Un sistema di disk encryption di solito impiega la stessa chiave per tutto il disco: se un attaccante riesce a penetrare nel sistema in funzione, può accedere a tutte le sue parti. Per contro, un sistema di file encryption di solito non cifra i metadati, che potrebbero fornire informazioni preziose. Per di più non è facilissimo essere sempre sicuri che i dati da proteggere non escano dalla zona cifrata (cosa succede quando ibernate il computer?).

Naturalmente la cifratura, disk o file, non protegge dal phishing, dai virus, dai siti che installano malware o dai meccanismi di sorveglianza come keylogger, tap sulle fibre ottiche, ecc. ecc.

Qualunque sistema pensiate di usare, leggete attentamente la documentazione e fate molta attenzione ai falsi sensi di sicurezza. Tanto per fare un esempio, se usate BitLocker (Windows) con un Trusted Platform Module, un chip presente su molti sistemi, il default è che non venga richiesta la passphrase al boot perché conservata nel chip: il disco sarà quindi leggibile semplicemente accendendo il computer. I software di disk encryption sono moltissimi e tipicamente specifici per il sistema operativo che si usa [v.gd/oTJhRJ]. Per l'impiego con chiavi usb è molto raccomandabile VeraCrypt, multipiattaforma, il successore di truecrypt, non più mantenuto.

Un interessante impiego di un software di file encryption è per la protezione dei dati che conserviamo/sincronizziamo in rete, dato che molti cloud provider, Dropbox primo tra tutti, sono in grado di accedere ai nostri file. Le soluzioni possibili sono due: utilizzare un provider che rispetta la privacy [v.gd/LaL8Hy] o cifrare i dati sul disco prima del trasferimento in rete. Per questa seconda scelta, sempre in un'ottica multipiattaforma, la soluzione che mi sembra preferibile è EncFS e le sue versioni Windows, Mac OS e Android. Con EncFS vengono create coppie di cartelle, una cifrata dentro il folder da sincronizzare, e una ”virtuale“, in chiaro, all'esterno, su cui si fanno le modifiche. Un'altra possibilità è l'uso di un volume VeraCrypt, con l'inconveniente che viene visto dal provider cloud come un unico file.

In conclusione, consiglio sempre di cifrare i file che salvate in rete; sui portatili e sulle chiavi usb (per gli smartphone il tempo probabilmente non è ancora maturo) anche una disk encryption è raccomandabile [v.gd/OOOAkU].