Dispositivi

La cifratura del disco, davvero?

BitLocker, FileVault, LUKS: cosa è attivo di default, cosa protegge davvero e gli attacchi che passano lo stesso.

Pubblicato il April 3, 2025 16 min di lettura General

Ultima revisione: February 5, 2026

Ho visto svuotare un laptop aziendale in meno di cinque minuti dentro una sala di controllo. La macchina era «cifrata» — l’IT lo aveva certificato, l’adesivo di conformità era incollato sul retro. Solo che era in sospensione, coperchio chiuso, posata in una borsa nell’auto del dirigente durante una pausa pranzo. Le chiavi erano in RAM, la sessione aperta. Chi ha recuperato la borsa non ha avuto bisogno di conoscere la password. Ha collegato un box, aggirato la schermata di blocco e copiato quello che voleva. Il disco era cifrato. I dati, no.

Angle de lecture

Particulier RSSI / DSI

La trappola abituale

«Il mio disco è cifrato.» È una delle frasi peggio comprese di tutta la sicurezza informatica. Significa, nel 95% dei casi, «ho spuntato una casella nelle impostazioni» oppure «l’IT ha attivato BitLocker al deployment». Non significa «i miei dati sono protetti in questo momento». Sono due affermazioni diverse, e la confusione tra le due è esattamente ciò su cui conta un attaccante con accesso fisico.

La cifratura del disco protegge i suoi dati in uno stato preciso e unico: quando la macchina è spenta. Tutto qui. Appena il sistema è avviato e Lei è connesso, le chiavi di decifratura vengono caricate nella memoria viva e qualsiasi file diventa leggibile come se la cifratura non esistesse. Il sistema operativo decifra al volo, in continuo, in modo totalmente trasparente — è precisamente lo scopo: che Lei non senta alcuna differenza nell’uso. Ma questa trasparenza per Lei è anche una trasparenza per chiunque metta le mani sulla macchina in questo stato.

La domanda giusta non è dunque mai «è cifrato?». È «in che stato si trova la mia macchina nel momento in cui un terzo può accedervi?». Spenta, in sospensione, in ibernazione, schermo bloccato: questi quattro stati offrono livelli di protezione radicalmente diversi con esattamente la stessa cifratura attivata. Il discorso dominante — «attivi la cifratura e sarà tranquillo» — elude tutta questa sfumatura. Ed è in questa sfumatura elusa che si annida la quasi totalità delle estrazioni di dati riuscite su materiale pure «cifrato».

L’altra metà della trappola è credere che la cifratura difenda da minacce che non ha mai avuto la vocazione di coprire. La cifratura del disco non fa nulla contro un malware che gira nella Sua sessione: il programma malevolo legge i Suoi file decifrati esattamente come Lei. Non fa nulla contro il phishing, contro un furto di password, contro un accesso remoto alla Sua macchina accesa, contro un backup cloud mal protetto. Non protegge nemmeno i Suoi dati una volta che hanno lasciato il disco — allegato inviato, file copiato su una chiavetta USB, documento aperto in un’applicazione che sincronizza. La cifratura del disco risponde a una sola domanda, stretta ma reale: «qualcuno recupera fisicamente il mio materiale, cosa può ricavarne?». Confondere questa protezione puntuale con una protezione generale significa credere che una serratura di una porta La protegga mentre la finestra è aperta.

I quattro stati: quando protegge, quando non protegge

La stessa cifratura, attivata una sola volta, La protegge completamente o per niente a seconda dello stato della macchina. Eccoli i quattro, dal più sicuro al più esposto.

Macchina spenta (cold state). L’unico stato in cui la cifratura svolge il suo lavoro integralmente. Il disco contiene solo dati cifrati, la chiave non è da nessuna parte in memoria, e chiunque rubi il disco o la macchina non legge nulla senza la passphrase o la chiave di recupero. È lo scenario per cui la cifratura del disco è stata concepita: il furto di materiale spento. In questo caso preciso, FileVault, BitLocker e LUKS mantengono le loro promesse.

Macchina in ibernazione. L’ibernazione scrive il contenuto della RAM sul disco cifrato, poi taglia l’alimentazione. Ben configurata, è quasi solida quanto uno spegnimento completo, perché la memoria viva è svuotata e cifrata su disco. Su Windows con BitLocker e PIN, l’ibernazione protegge correttamente. Sui Mac Apple Silicon, la sospensione profonda blocca le chiavi nel Secure Enclave. La trappola: molte macchine sono configurate per non ibernare mai e restare in semplice sospensione indefinitamente.

Macchina in sospensione (sleep / suspend). Lo stato predefinito quando Lei chiude il coperchio. La RAM è mantenuta sotto tensione, dunque le chiavi di decifratura vi sono presenti, in chiaro. Un attaccante con accesso fisico può estrarle — per forensics della memoria, per attacco DMA su una porta Thunderbolt mal bloccata, o per cold boot — e decifrare il disco senza mai conoscere la Sua password. È lo stato più pericoloso precisamente perché è lo stato in cui il Suo laptop passa l’essenziale della sua vita.

Macchina accesa, schermo bloccato. I volumi sono montati e decifrati. La schermata di blocco è una porta software davanti a un disco già aperto. L’aggiramento di questa schermata non tocca affatto la cifratura — attacca il sistema di autenticazione di sessione, che ha la propria superficie d’attacco (account locali, exploit della schermata di login, porte di debug). La cifratura, qui, non svolge alcun ruolo protettivo.

La conseguenza pratica è brutale e controintuitiva: la macchina che Lei crede «protetta perché cifrata e bloccata» nella Sua borsa, in riunione, in albergo, è nello stato meno protetto che ci sia. Chiudere il coperchio non mette in sicurezza nulla. Solo lo spegnimento completo riporta la macchina nel cold state.

Si metta nei panni dell’attaccante per due minuti, è l’unico modo per capire perché lo stato conta più della cifratura. Lei recupera un laptop in una borsa. Prima cosa che fa: guarda se è caldo, se il LED lampeggia, se uno schermo si accende quando muove il mouse. Una macchina tiepida in sospensione è un regalo. La collega alla rete elettrica perché non si spenga, la posa su una stazione di analisi, e lavora su un bersaglio le cui chiavi sono già in memoria. La password di sessione non Le interessa nemmeno. Al contrario, una macchina fredda e spenta La lascia davanti a un blocco cifrato: può tenerla per mesi, lanciare del brute-force, non darà nulla se la passphrase è corretta. È esattamente questa asimmetria che la maggior parte delle persone annulla semplicemente chiudendo il coperchio invece di spegnere.

Il modello di minaccia corretto non è dunque «rischio il furto del mio SSD nudo?» — scenario raro, che presuppone che qualcuno sviti la Sua macchina — ma «in quali situazioni la mia macchina lascia il mio controllo, e in che stato è in quel momento?». Risposta onesta per la maggior parte delle persone: in riunione (bloccata, montata), in treno (sospensione), in albergo durante la colazione (sospensione), affidata a un riparatore (accesa o in sospensione), sequestrata a una frontiera (a seconda della Sua disciplina). In quasi tutti questi casi, la sospensione o il blocco dominano, e la cifratura non svolge alcun ruolo protettivo reale.

Cold boot: la RAM ricorda più a lungo di quanto si creda

Lo studio di Princeton del 2008 (Halderman et al.) ha dimostrato che la DRAM conserva il suo contenuto da diversi secondi a diversi minuti dopo l’interruzione dell’alimentazione — e ben più a lungo se i banchi vengono raffreddati con aria compressa rovesciata o azoto. L’attacco: tagliare la corrente, estrarre la RAM, leggerla in un’altra macchina, recuperare le chiavi di cifratura che vi erano in chiaro. Sugli ultrabook recenti a memoria saldata e Secure Boot, il vettore si è nettamente complicato. Ma contro un avversario motivato e attrezzato — servizio statale, concorrente industriale serio — resta una ragione sufficiente per non lasciare mai una macchina in sospensione in una zona a rischio. Quindici anni dopo, il paper resta citato perché la fisica della DRAM, lei, non è cambiata.

Per OS: cosa è realmente implementato, e dove si rompe

I tre sistemi cifrano. Ciò che li distingue è quello che succede all’avvio e allo sblocco — ed è lì che si giocano le vere differenze di protezione.

macOS — FileVault 2. Cifratura XTS-AES-128 sui volumi APFS. Sui Mac con chip T2 (Intel di fascia alta dal 2018) e su tutti gli Apple Silicon, le chiavi hardware sono gestite dal Secure Enclave e non transitano mai in RAM in modo esposto. Concretamente, su un MacBook M-series, chiudere il coperchio innesca un vero blocco delle chiavi da parte del Secure Enclave; il riavvio rapido viene da una riacquisizione della chiave allo sblocco, non da una chiave rimasta in memoria. È architetturalmente ben più solido di tutto ciò che precede il T2.

Dettaglio che sorprende molti utenti Mac: su Apple Silicon, il volume di sistema è in realtà cifrato in permanenza a livello hardware, indipendentemente da FileVault. Ciò che FileVault aggiunge è l’esigenza di un identificativo utente per liberare la chiave all’avvio. Senza FileVault, la chiave è derivabile senza password, e un Mac rubato si avvia direttamente sul desktop di un account senza password. In altri termini, «il disco è cifrato» è tecnicamente vero anche con FileVault disattivato — e totalmente ingannevole, perché senza FileVault la cifratura non La protegge da nulla. È l’esempio perfetto dello scarto tra «cifrato» e «protetto». Il punto debole restante non è tecnico ma organizzativo: all’attivazione, macOS propone di memorizzare la chiave di recupero in iCloud. Se Lei accetta, la protezione del Suo disco diventa forte tanto quanto il Suo account Apple — e non di più. Un Apple ID phishato, e la chiave segue.

Windows — BitLocker. Il sistema più diffuso in azienda, e quello che si pianta più spesso alla configurazione. BitLocker può funzionare in modalità TPM da solo: la chiave è derivata dal TPM 2.0 all’avvio e, se le misure di integrità del boot corrispondono, il disco si decifra da solo, senza alcun inserimento. È il difetto comodo di molti grandi parchi, perché nessun supporto ama gestire ticket «ho dimenticato il mio PIN». È anche il buco: una macchina rubata con batteria carica si avvia e si decifra da sola fino alla schermata di login, e certi attacchi (DMA, sniffing del bus tra TPM e CPU su materiale non sicuro) recuperano la chiave senza conoscere alcunché. Dei ricercatori hanno pubblicamente estratto chiavi BitLocker ascoltando il bus LPC o SPI tra un TPM discreto e il processore su macchine economiche — l’operazione richiede un saldatore e qualche decina di euro di materiale, non un laboratorio di Stato.

La modalità TPM + PIN, lei, esige un codice prima del caricamento dell’OS: la chiave è derivata congiuntamente dal TPM e da ciò che Lei digita. Il PIN non lascia mai il perimetro dell’avvio sicuro, e senza di esso il TPM non libera nulla. È l’unica configurazione BitLocker che considero seria contro il furto di macchina. Attivazione tramite criterio di gruppo (Require additional authentication at startup) o da riga di comando amministratore: manage-bde -protectors -add C: -TPMAndPIN. Una variante ancora più stretta, TPM + PIN + chiave USB di avvio, esiste per i profili molto esposti, al prezzo di un’ergonomia faticosa quotidianamente.

Linux — LUKS / dm-crypt. Lo strato standard sotto Linux, e il più trasparente concettualmente: nessuno sblocco automatico silenzioso di default, la protezione si basa sulla passphrase inserita al boot. Ciò che Lei digita è ciò che protegge, punto. LUKS2 (default su Ubuntu 20.04+, Fedora 33+) utilizza Argon2id come funzione di derivazione — resistente agli attacchi tramite GPU e ASIC, contrariamente al vecchio PBKDF2. Concretamente, Argon2id obbliga l’attaccante a dedicare memoria e tempo a ogni tentativo di password, il che rende il brute-force massivo su schede grafiche economicamente poco interessante; PBKDF2, lui, si rompeva a ritmi industriali. LUKS gestisce anche fino a otto slot di chiave (keyslots): Lei può avere una passphrase umana, una chiave di recupero lunga memorizzata offline, e un meccanismo di unlock di rete (Clevis/Tang) per i server, ciascuno nel suo slot, revocabile indipendentemente.

La trappola classica sotto Linux non è la cifratura del disco principale ma ciò che passa accanto: lo swap e /boot. Se la Sua partizione di swap non è cifrata, frammenti di chiavi e di dati sensibili trapelano su disco in chiaro — un dump di memoria intero può atterrarvi durante un’ibernazione. La partizione /boot, lei, è tradizionalmente in chiaro perché il bootloader deve leggerla prima di ogni decifratura; un attaccante può modificarvi il kernel o l’initramfs (attacco detto «evil maid») per catturare la Sua passphrase al prossimo avvio. La configurazione LVM-on-LUKS (tutto il gruppo di volumi, swap compreso, in un container cifrato) risolve il problema dello swap; la firma del boot tramite Secure Boot o un /boot su chiavetta USB che Lei tiene con sé affronta l’evil maid. Verifica rapida: lsblk -f deve mostrare le Sue partizioni sensibili come crypto_LUKS, non come ext4 nudo.

L’approccio giusto: configurare per lo stato, non per la casella

Attivare la cifratura è una decisione di cinque minuti che si prende una volta. Renderla realmente protettiva dipende da tre impostazioni che si dimenticano quasi sistematicamente.

Prima impostazione: il blocco pre-boot. Su BitLocker, è il PIN (modalità TPM + PIN). Su LUKS, è la passphrase al boot (già il default). Su macOS Apple Silicon, il Secure Enclave svolge questo ruolo nativamente non appena FileVault è attivo. Senza questo blocco prima del caricamento dell’OS, la cifratura protegge solo contro il furto del disco nudo estratto dalla macchina — non contro il furto della macchina intera, che è invece lo scenario realistico. È la differenza tra «protetto contro qualcuno che svita il mio SSD» e «protetto contro qualcuno che parte con il mio laptop».

Seconda impostazione: il comportamento alla chiusura del coperchio. Forzi l’ibernazione o lo spegnimento piuttosto che la sospensione semplice per ogni contesto mobile. Su Windows, l’ibernazione dopo un breve tempo di inattività. Su Linux, configuri suspend-then-hibernate o disattivi la sospensione a favore dell’ibernazione. L’obiettivo: che la macchina lasci da sola lo stato in cui le chiavi vivono in RAM, senza dipendere dalla Sua disciplina.

Terza impostazione, la più sabotata: la memorizzazione della chiave di recupero. La chiave di recupero dà un accesso completo al disco senza altra verifica. È una chiave maestra. Memorizzarla in iCloud sulla macchina che protegge, in un account Microsoft senza MFA, in un file di testo sul desktop, o in una mail «inviata a se stessi», significa annullare la cifratura dalla porta sul retro. La regola è semplice: la chiave di recupero vive su un supporto distinto dal dispositivo che protegge. Copia cartacea in una cassaforte, o gestore di password cifrato con MFA forte installato su un altro dispositivo. Mai sulla macchina interessata.

Un ultimo punto sulla chiave di recupero che si dimentica quasi sempre di spiegare: non serve solo a risolvere un oblio di password. Su BitLocker, il TPM misura lo stato dell’avvio; ogni aggiornamento del firmware, cambiamento nell’ordine di boot, o reset del BIOS modifica queste misure e innesca una richiesta di chiave di recupero al prossimo accensione. È un comportamento normale, non un attacco — ma se la chiave non è da nessuna parte, Lei è bloccato fuori dalla Sua stessa macchina dopo un semplice aggiornamento Windows un po’ aggressivo. Da qui l’importanza di un escrow pulito: la chiave deve essere recuperabile da Lei, in un posto che Lei controlla, e inaccessibile a chiunque altro. Queste due esigenze tirano in sensi opposti, ed è tutta la posta in gioco della sua memorizzazione.

E prima di tutto questo: verifichi che sia realmente attiva. Sulle macchine riprese, migrate o ri-provisionate, la cifratura si disattiva talvolta senza che nessuno se ne accorga — una reinstallazione di sistema che non riattiva FileVault, un volume aggiunto non cifrato, un parco ereditato da un’acquisizione. sudo fdesetup status su macOS deve visualizzare FileVault is On. Get-BitLockerVolume -MountPoint C: su Windows deve mostrare ProtectionStatus: On con un protector di tipo TpmPin — se Lei vede solo Tpm, è in modalità senza PIN, da correggere. sudo cryptsetup luksDump /dev/sdaX su Linux conferma il formato (LUKS2) e la funzione di derivazione (argon2id). Si verifica, non si suppone — e si riverifica dopo ogni operazione di manutenzione pesante.

Cosa comporta concretamente

Per Lei, in quanto persona

Verifichi che la cifratura sia veramente attiva — Apra le impostazioni oggi: Privacy e sicurezza → FileVault su Mac, Crittografia unità BitLocker su Windows. Se vede «attivata», è il minimo. Costo: zero, dieci minuti.
Aggiunga un blocco pre-boot e cambi il comportamento di chiusura — Su Windows, attivi il PIN BitLocker (manage-bde -protectors -add C: -TPMAndPIN) e imposti la chiusura del coperchio su «ibernazione» nelle opzioni di alimentazione. Su Mac recente, è già gestito dal Secure Enclave. Costo: zero, venti minuti.
Faccia uscire la Sua chiave di recupero dal dispositivo — La annoti su carta, la riponga in un cassetto chiuso o in una piccola cassaforte da 30-50 €, e cancelli ogni copia digitale memorizzata sulla macchina stessa. Tolga la spunta dalla memorizzazione iCloud/Microsoft se è minimamente esposto. Costo: meno di 50 €, mezz’ora.

Per Lei, CISO / Direzione IT / dirigente

1. La cifratura «attivata» non è un KPI utile. I Suoi dashboard di conformità mostrano un tasso di cifratura al 98%, e tutti sono rassicurati. Ma quanti di questi endpoint hanno un blocco pre-boot? La maggior parte dei grandi deployment BitLocker sono in TPM da solo, senza PIN, perché è trasparente e non genera ticket al supporto. Conseguenza diretta: il Suo vero tasso di protezione contro il furto di laptop è la percentuale di macchine con PIN pre-boot — spesso 0%, e non appare da nessuna parte nei Suoi report.

2. L’escrow delle chiavi di recupero è un punto unico di compromissione. Le chiavi caricate in Active Directory, Azure AD o nel Suo MDM (Intune, Jamf) sono la buona pratica — a condizione che l’accesso a questo vault sia esso stesso protetto da MFA hardware e con audit-log. Conseguenza diretta: se un admin può elencare le chiavi di recupero di tutto il parco senza allerta né registrazione, Lei ha ricreato un disco intero decifrabile da una sola compromissione di account di amministrazione.

3. La sospensione in mobilità annulla la cifratura di fatto. I Suoi collaboratori chiudono il coperchio tra due riunioni, in treno, in aeroporto. Il parco passa la sua vita nello stato meno protetto. Conseguenza diretta: una politica di cifratura senza politica di spegnimento/ibernazione forzata in mobilità protegge contro il furto di disco nudo — uno scenario raro — e non contro il furto di laptop aperto o la perquisizione alla frontiera, che sono gli scenari reali.

Errori che si vedono di continuo

BitLocker senza PIN, di default al deployment. La macchina si decifra da sola all’avvio. Protezione contro il furto di disco nudo soltanto, non contro il furto della macchina.
Chiave di recupero FileVault in iCloud, sul Mac che protegge. Compromettere l’Apple ID basta a recuperare la chiave. La cifratura diventa forte quanto la password iCloud.
Macchina messa in sospensione prima di una frontiera. «È cifrata, chiudo solo il coperchio.» No: le chiavi sono in RAM, la perquisizione a caldo legge il disco. Spegnimento completo, sempre.
Swap non cifrato sotto Linux. Il disco principale è in LUKS, lo swap è in chiaro, e frammenti sensibili vi atterrano. Verifichi con lsblk -f.
Supporre senza verificare. La cifratura era attiva sei mesi fa, dunque lo è oggi. Falso dopo ogni migrazione, reinstallazione o ripresa di macchina.

Checklist azionabile

N1 Verificare che FileVault / BitLocker / LUKS sia realmente attivo (fdesetup status, Get-BitLockerVolume, cryptsetup luksDump)
N1 Identificare il comportamento attuale di chiusura del coperchio: sospensione, ibernazione o spegnimento
N1 Memorizzare la chiave di recupero su un supporto distinto dal dispositivo che protegge
N2 Attivare un blocco pre-boot: PIN BitLocker (TPM+PIN), passphrase LUKS, Secure Enclave su Mac
N2 Forzare l'ibernazione o lo spegnimento alla chiusura del coperchio in mobilità (≤ 5 min)
N2 Verificare la cifratura dello swap sotto Linux (lsblk -f) o passare a LVM-on-LUKS
N2 Togliere la spunta dalla memorizzazione cloud della chiave di recupero per i profili esposti
N3 Spegnimento completo sistematico prima di frontiera, dogana o zona a intercettazione matura
N3 Per profili molto esposti: LUKS con passphrase forte, nessuno sblocco automatico
N3 Audit annuale dell'escrow aziendale: chi legge le chiavi, registrazione, MFA hardware sul vault

Per approfondire

Le implementazioni evolvono velocemente — verifichi sempre la documentazione ufficiale per la Sua versione esatta. La documentazione FileVault di Apple(opens in a new tab) dettaglia il ruolo del Secure Enclave a seconda dell’hardware, e la documentazione BitLocker di Microsoft(opens in a new tab) copre la configurazione TPM + PIN tramite GPO. Per Linux, la pagina del progetto cryptsetup(opens in a new tab) resta il riferimento su LUKS2 e Argon2id. E per capire perché lo spegnimento completo non è paranoia, il paper di Princeton sui cold boot attacks(opens in a new tab) resta attuale quindici anni dopo la sua pubblicazione.

Fonti e approfondimenti

Apple — FileVault and encrypted storage security overview [official]
Microsoft — BitLocker documentation [official]
cryptsetup / LUKS — project page [official]
Halderman et al. — Lest We Remember: Cold Boot Attacks on Encryption Keys (Princeton, 2008) [paper]
ACN — Agenzia per la Cybersicurezza Nazionale [official]