Strumenti

Archiviare file nel cloud è comodo, ma la parola «cifrato» sulla pagina marketing di un fornitore può voler dire cose molto diverse. Capire quale tipo di cifratura un servizio offre fa la differenza tra file che solo tu puoi leggere e file che il fornitore — o chiunque lo costringa — può leggere anch'esso. Meglio afferrare bene questa distinzione prima di affidare qualcosa di sensibile a un servizio.

Due tipi di cifratura nel cloud

La forma più comune è la cifratura a riposo, in cui il fornitore cifra i tuoi file sui suoi server ma possiede anche le chiavi. Questo protegge i tuoi dati se qualcuno ruba un disco rigido dal data center, ma non li protegge dal fornitore stesso, da un dipendente malintenzionato, né da un'ingiunzione legale che obblighi il fornitore a consegnare copie leggibili. È una vera protezione contro alcune minacce e nessuna protezione contro altre.

La cifratura end-to-end, talvolta chiamata zero-knowledge o cifratura lato client, è il modello più solido. Qui i tuoi file vengono cifrati sul tuo stesso dispositivo prima di essere inviati, con una chiave che il fornitore non vede mai. Il fornitore archivia solo un testo cifrato che non può leggere, così neanche lui può accedere ai tuoi file. Il compromesso: se perdi la tua password o la tua chiave di recupero, in genere non c'è modo per il fornitore di recuperare i tuoi dati — la proprietà che ti protegge fa anche sì che nessuno possa salvarti.

I servizi che cifrano end-to-end

Diversi servizi offrono una vera cifratura end-to-end. Proton Drive, che fa parte della suite Proton con sede in Svizzera, cifra i file end-to-end per concezione. pCloud propone una funzione opzionale di cifratura lato client, commercializzata con il nome di pCloud Crypto, per i file collocati nella sua cartella cifrata. Tresorit e altri puntano allo stesso modello zero-knowledge. Il punto comune: la cifratura avviene sul tuo dispositivo, non solo sui server del fornitore.

• Cifratura a riposo: il fornitore possiede le chiavi e può leggere i tuoi file
• End-to-end / zero-knowledge: cifrato sul tuo dispositivo, illeggibile per il fornitore
• Proton Drive (end-to-end per concezione) e pCloud Crypto (opzionale) ne sono esempi
• Zero-knowledge = nessun recupero della password — conserva la tua chiave in un luogo sicuro
• A strati: archiviazione generalista per l'ordinario, cifrata per il sensibile

I servizi generalisti diffusi occupano un altro punto dello spettro, ed è giusto dirlo con onestà. I grandi servizi di archiviazione cifrano in genere i dati in transito e a riposo con chiavi che controllano, il che va bene per la comodità e la protezione dal furto esterno, ma non è cifratura end-to-end. Se il tuo scopo è che il fornitore non possa leggere i tuoi file, questi servizi non lo soddisfano per impostazione predefinita, qualunque sia il linguaggio rassicurante impiegato.

Scegliere in base a ciò che proteggi

Scegliere tra questi modelli dipende da ciò che proteggi e dal livello di sicurezza nel recupero che vuoi. Per file ordinari e non sensibili, una comoda cifratura a riposo presso un fornitore affidabile è del tutto ragionevole. Per documenti che devi davvero mantenere riservati — estratti conto, documenti d'identità, scritti personali — la cifratura end-to-end è il modello che mantiene davvero la promessa, a patto di accettare la responsabilità delle tue chiavi.

Qualunque sia la tua scelta, valgono alcuni punti pratici. Conserva una copia della tua password di cifratura o della tua chiave di recupero in un luogo sicuro, perché con i servizi zero-knowledge non c'è alcun ripristino. Ricorda che i nomi dei file e la struttura delle cartelle a volte sono meno protetti del contenuto, a seconda del servizio. E riconosci che una solida cifratura dell'archiviazione smette di proteggere un file non appena ne condividi una copia leggibile con qualcun altro.

Un approccio pratico e a strati

Aiuta anche riflettere su dove poggia infine la tua fiducia. Con la cifratura a riposo, ti fidi dell'onestà del fornitore e della sua resistenza alle pressioni legali; con la cifratura end-to-end, ti fidi piuttosto della matematica e della tua gestione delle chiavi. Nessuna delle due elimina del tutto la fiducia, ma la collocano in mani molto diverse, e sapere quali preferisci rende la scelta tra i servizi assai più chiara.

Un approccio ragionevole per la maggior parte delle persone è un approccio a strati. Usa un'archiviazione generalista comoda per la massa dei file ordinari in cui contano accesso e condivisione, e riserva un servizio cifrato end-to-end, o una cartella cifrata, al piccolo insieme di documenti che devono davvero restare riservati. Così ottieni la comodità dove aiuta e una vera riservatezza dove conta, senza pretendere che un solo strumento faccia tutto.

Se vuoi una singola raccomandazione per iniziare, un'opzione cifrata end-to-end come Proton Drive o una cartella pCloud cifrata è la scelta predefinita più sicura per i contenuti sensibili, perché il fornitore non può leggere ciò che archivi. Costruisci la tua abitudine attorno a questo per i file che contano, conserva la tua chiave di recupero in un luogo sicuro, e avrai un'archiviazione cloud la cui riservatezza poggia sulla crittografia anziché su una promessa.