Crittografia dei dati in Linux: guida pratica con LUKS, GPG e VeraCrypt

Se perdi un laptop, un disco esterno o i tuoi backup finiscono in mani sbagliate, la crittografia è l’unica difesa reale. Linux offre strumenti potenti, gratuiti e integrati per proteggere interi dischi, cartelle o singoli file. In questa guida imparerai a usare LUKS (per cifrare dischi/partizioni), GPG (per file sensibili) e VeraCrypt (per compatibilità con Windows/macOS).

Quando crittografare?

Dischi portatili (USB, HDD esterni)
Backup caricati in cloud (Google Drive, Dropbox, ecc.)
Documenti personali, fiscali, medici o aziendali
Computer portatili che viaggiano fuori casa

1. Cifrare un intero disco o partizione con LUKS

LUKS (Linux Unified Key Setup) è lo standard de facto per la crittografia a disco in Linux. Funziona a livello di blocco, è trasparente per il sistema e supporta chiavi multiple.

Passo 1: Installa cryptsetup (se non presente)

sudo apt install cryptsetup # Debian/Ubuntu sudo dnf install cryptsetup-luks # Fedora

Passo 2: Inizializza una partizione con LUKS

sudo cryptsetup luksFormat /dev/sdb1

⚠️ Attenzione: questo cancella TUTTI i dati su /dev/sdb1!

Passo 3: Apri il volume cifrato

sudo cryptsetup open /dev/sdb1 backup_cifrato

Ora il dispositivo è disponibile come /dev/mapper/backup_cifrato.

Passo 4: Crea un filesystem e montalo

sudo mkfs.ext4 /dev/mapper/backup_cifrato sudo mkdir -p /mnt/backup_cifrato sudo mount /dev/mapper/backup_cifrato /mnt/backup_cifrato

Passo 5: Chiudi il volume quando finisci

sudo umount /mnt/backup_cifrato sudo cryptsetup close backup_cifrato

💡 Backup della chiave LUKS: genera una chiave di ripristino!
sudo cryptsetup luksHeaderBackup /dev/sdb1 --header-backup-file luks-header-backup.bin
Conservala in un luogo sicuro (es. chiavetta in cassaforte).

2. Cifrare singoli file con GPG

GPG (GNU Privacy Guard) è perfetto per file sensibili: documenti PDF, fogli Excel, database, ecc.

Cifrare un file con password

gpg --symmetric --cipher-algo AES256 documento.pdf

Genera documento.pdf.gpg. Per decifrare:

gpg --decrypt documento.pdf.gpg > documento_originale.pdf

Cifrare per un destinatario (con chiave pubblica)

gpg --encrypt --recipient maria@email.it documento.pdf

Maria potrà decifrarlo solo con la sua chiave privata.

3. VeraCrypt: crittografia cross-platform

Se condividi dischi con Windows o macOS, VeraCrypt è la scelta migliore. È open source, sicuro e supporta container cifrati (file che simulano dischi).

Installazione

# Ubuntu/Debian sudo add-apt-repository ppa:unit193/encryption sudo apt update sudo apt install veracrypt # Oppure scarica da https://www.veracrypt.fr

Usa l’interfaccia grafica per:

Creare un “volume cifrato” (es. archivio.vc)
Montarlo come disco virtuale
Trasferirlo su cloud o USB

Sia Windows che Linux potranno aprirlo con la stessa password.

⚠️ ATTENZIONE: Se perdi la password di LUKS, GPG o VeraCrypt, i dati sono irrecuperabili. Non esiste “password dimenticata”.

4. Cifrare i backup prima del cloud

Modifica lo script del backup (visto nella guida sui backup) per cifrare con GPG:

#!/bin/bash DATA=$(date +%Y%m%d) tar -czf - /home/utente | gpg --symmetric --cipher-algo AES256 -o /backup/home_$DATA.tar.gz.gpg

Ora puoi caricare .gpg su Dropbox in totale sicurezza.

Best practice per la crittografia

Usa password lunghe e uniche (almeno 12 caratteri, con simboli).
Non memorizzare password in chiaro sullo stesso dispositivo.
Fai backup delle chiavi LUKS/VeraCrypt su supporto offline.
Evita di cifrare il disco di sistema se non necessario (complica il ripristino).
Verifica periodicamente di poter decifrare i tuoi file.

Alternative avanzate

ecryptfs: crittografia a livello di cartella (usata da Ubuntu per “cartella home cifrata”).
EncFS: simile a VeraCrypt ma basato su filesystem FUSE (meno sicuro, non più consigliato).
restic + crittografia: per backup cifrati end-to-end con deduplica.

La crittografia non è solo per “hacker” o aziende: è uno strumento essenziale per ogni utente consapevole. Con questi metodi, i tuoi dati resteranno privati anche se il dispositivo finisce nelle mani sbagliate.