VeraCrypt: contenitori cifrati per file sensibili su Windows/Mac/Linux

Pubblicato il 14/05/2026 Sicurezza

Un cliente ti manda dati sensibili, li salvi sul portatile, il portatile finisce in un taxi. Se non sono cifrati, disastro. VeraCrypt risolve creando un file .hc di dimensione fissa che apri con password: dentro ci metti tutto quello che vuoi, protetto AES-XTS 256.

1. Installazione

  • Windows: winget install IDRIX.VeraCrypt o dal sito veracrypt.fr
  • macOS: brew install --cask veracrypt
  • Linux: sudo apt install veracrypt (repo ufficiale su Ubuntu 24.04+)

2. Creare un contenitore

  1. Apri VeraCrypt > Create Volume
  2. "Create an encrypted file container" > Next
  3. "Standard VeraCrypt volume" > Next
  4. Scegli percorso file (es. /home/user/segreti.hc) > Next
  5. Encryption: AES + SHA-512 (default sicuri) > Next
  6. Dimensione: es. 500 MB (fissa, riservata subito) > Next
  7. Password: 20+ caratteri, mix case+numeri+simboli. Ricordala: NON recuperabile
  8. File system: FAT se vuoi cross-platform, exFAT per file >4 GB
  9. Muovi il mouse casualmente per 30 secondi (entropia) > Format

3. Montare / smontare

# GUI: VeraCrypt > scegli slot > Select File > scegli .hc > Mount > password
# Da terminale (Linux/Mac):
veracrypt --text --mount /path/to/segreti.hc /media/segreti
veracrypt --text --dismount /media/segreti

Una volta montato, appare come drive lettera V: (Windows) o cartella /media/segreti (Linux/Mac). Usa come normale disco.

4. Portabile su USB (versione Travel)

Sul Windows crea un installer portable:

VeraCrypt > Tools > Traveler Disk Setup

Copia sull'USB. Ora l'USB porta sia il contenitore .hc sia il binario per aprirlo su qualsiasi PC senza installare nulla.

5. Hidden Volume (plausibile negabilita')

Feature killer: un contenitore puo' avere DUE password.

  • Password A → mostra volume "esca" (foto vacanza, poco importanti)
  • Password B → mostra il volume vero (dati sensibili)

Se qualcuno ti costringe a rivelarla, dai la password A. Il volume nascosto e' matematicamente indistinguibile da spazio libero: nessun modo di provare che esista.

6. Cifrare l'intero disco (Windows/Linux)

VeraCrypt puo' anche cifrare la partizione di sistema completa (alternativa a BitLocker/LUKS):

  1. Create Volume > "Encrypt the system partition or entire system drive"
  2. Segui wizard, genera Rescue Disk (importante: cripta il bootloader, se il disco fallisce serve!)
  3. Password all'avvio prima ancora di Windows

7. Backup del contenitore

Il file .hc e' un normale file. Backup con rsync/rclone/Nextcloud senza problemi: rimane cifrato ovunque vada. Nessun rischio anche se il cloud e' compromesso.

# Backup su cloud (rimane cifrato)
rclone copy segreti.hc gdrive:VeraCryptBackup/

8. Chiavi file al posto/aggiunta della password

Puoi usare un file random (es. una foto specifica sulla tua USB) come chiave. Chi non ha ESATTAMENTE quella foto (byte per byte) non apre. Puoi combinare password + keyfile per 2FA.

9. Confronto con alternative

ToolCross-platformCifratura disco interoHidden volume
VeraCryptWin+Mac+Linux✅ unico
BitLockerWin only
FileVaultMac only
LUKSLinux only
7-Zip AESMulti❌ solo file
CryptomatorMulti❌ cartelle cloud

10. Prestazioni

Overhead cifratura AES-NI (istruzioni CPU dedicate, tutte le CPU dal 2010): <5% throughput. Su SSD NVMe la differenza si nota solo su file >10 GB. Per uso quotidiano: impercettibile.

Rischio password persa: se dimentichi la master password, i tuoi dati sono PERSI. VeraCrypt e' matematicamente sicuro anche contro attacchi statali (finora nessun caso documentato di rottura). Non c'e' backdoor, nessun "reset password". Conservane copia stampata in cassaforte fisica.