L'essenziale
rclone crypt è una sovrapposizione di cifratura lato client integrata in rclone, lo strumento open source a riga di comando che gestisce e sincronizza file su 70+ fornitori cloud. Il backend crypt avvolge un altro remote e cifra il contenuto dei tuoi file - e, in opzione, i loro nomi - sulla tua stessa macchina prima dell'upload, poi li decifra al download. Il fornitore memorizza sempre e solo ciphertext. Questo rende zero-knowledge qualsiasi cloud a cui lo punti.
A chi è rivolto? A chiunque abbia dimestichezza con un terminale e voglia una cifratura scriptabile e automatizzabile: backup cifrati notturni, un server headless senza interfaccia, o semplicemente aggiungere cifratura lato client sopra un fornitore - Google Drive, Backblaze B2, S3, OneDrive - senza modalità zero-knowledge nativa. Se preferisci non toccare la riga di comando, Cryptomator copre lo stesso obiettivo con una cassaforte grafica, e confrontiamo i due più sotto.
Questa guida spiega esattamente come rclone crypt cifra, come configurarlo passo per passo, le modalità per i nomi e una trappola onesta che la maggior parte dei tutorial salta: il modo in cui rclone.conf memorizza la tua password.
Come cifra (contenuto e nomi)
rclone crypt svolge tutto il suo lavoro in locale, con primitive documentate:
- Il contenuto dei file è cifrato con XSalsa20-Poly1305, il cifrario autenticato della costruzione NaCl SecretBox. Autenticato significa che ogni manomissione viene rilevata al download.
- La chiave di cifratura è derivata dalla tua password tramite scrypt (una funzione di derivazione memory-hard), con una seconda password opzionale - chiamata sale, o
password2- per rafforzarla ulteriormente. - I nomi dei file, nella modalità
standardpredefinita, sono cifrati con EME (una modalità AES a blocco largo), così un carattere modificato ovunque cambia l'intero nome cifrato.
Ciò che resta visibile al fornitore con la cifratura completa attiva: all'incirca la dimensione di ogni file cifrato e il numero di file. Non il contenuto, non i nomi. È lo stesso principio - spostare la fiducia su una password locale - che sta alla base di tutta la cifratura lato client.
Configurare rclone crypt (passaggi di config)
La configurazione si basa su due remote: un remote di base che parla con il tuo cloud, e un remote crypt che lo avvolge. Comandi il tutto tramite rclone config.
- Crea il remote di base. Esegui
rclone config, sceglin(nuovo remote), assegna un nome (es.gdrive) e segui le richieste del fornitore (OAuth per Google Drive, chiavi per S3/B2, ecc.). - Crea il remote crypt. Esegui di nuovo
rclone config,nper nuovo, assegna un nome (es.secret) e scegli il backendcrypt. - Puntalo a un sotto-percorso del remote di base, così i blob cifrati atterrano in una cartella dedicata:
remote> gdrive:encrypted
- Scegli le modalità di cifratura dei nomi di file e cartelle (vedi la sezione successiva), poi imposta una password e, in opzione, una seconda password (sale). Puoi lasciare che rclone ne generi una forte e casuale.
Una volta creato il remote secret:, cifrare e caricare è un solo comando:
rclone copy ~/files secret:
Tutto ciò che è scritto in secret: viene cifrato in locale e memorizzato sotto gdrive:encrypted. La rilettura (rclone copy secret: ~/restore) decifra in modo trasparente. Lo stesso schema funziona con rclone sync, rclone mount e qualsiasi altro comando rclone.
Modalità di cifratura dei nomi
Quando crei il remote crypt, rclone chiede come gestire i nomi dei file. Tre modalità:
| Modalità | Cosa fa | Compromesso |
|---|---|---|
standard | Cifra i nomi con EME (AES) - la predefinita | Massima privacy; i nomi cifrati sono più lunghi |
obfuscate | Un offuscamento più leggero dei nomi | Più veloce, nomi più corti, più debole di standard |
off | I nomi restano leggibili | Nessuna privacy dei nomi; la struttura trapela al fornitore |
La cifratura dei nomi delle cartelle è un'opzione sì/no distinta. Attivarla nasconde anche il tuo albero di cartelle al fornitore. Se imposti sia la cifratura dei nomi di file sia quella delle cartelle su off, solo il contenuto del file è protetto e il fornitore può vedere l'intera struttura delle cartelle - metadati utili a un attaccante, quindi preferisci standard a meno che tu non abbia un motivo preciso per non farlo.
La trappola del rclone.conf (password offuscata)
È l'avvertenza che la maggior parte delle guide salta, e conta. Per impostazione predefinita, rclone memorizza la tua password crypt in rclone.conf offuscata - non fortemente cifrata. L'offuscamento è reversibile: chiunque possa leggere il file può recuperare la password (rclone reveal fa esattamente questo). Un rclone.conf che trapela fa quindi trapelare la tua chiave di cifratura.
Due cose da fare:
- Imposta una password di configurazione. In
rclone config, scegli Set configuration password (s). Questo cifra l'intero filerclone.conf, così la password crypt offuscata non è più leggibile senza quella password di configurazione. - Blocca il file. Limita i permessi (
chmod 600 rclone.conf), tienilo fuori da percorsi condivisi o salvati in chiaro, e trattalo come un segreto su qualsiasi server headless.
E una regola senza scappatoie: se perdi la password crypt, i tuoi dati sono irrecuperabili. Nessun reset, nessuna chiave di recupero, nessuna assistenza. Salva la password in un gestore di password con una copia offline cifrata.
rclone crypt vs Cryptomator (quale scegliere)
Entrambi sono open source, lato client e zero-knowledge. La differenza è l'interfaccia e il flusso di lavoro, non il modello di sicurezza.
| rclone crypt | Cryptomator | |
|---|---|---|
| Interfaccia | Riga di comando (CLI) | Grafica (GUI) |
| Modello di accesso | Comandi rclone / rclone mount | Monta una cassaforte come unità virtuale |
| Ideale per | Server headless, backup automatizzati, scripting | Uso desktop e mobile interattivo |
| Fornitori | Qualsiasi dei 70+ remote di rclone | Client cloud (Dropbox, Drive, iCloud, pCloud, OneDrive…) |
| App mobili ufficiali | No | Sì (iOS + Android) |
| Open source | Sì | Sì |
| Zero-knowledge | Sì | Sì |
Scegli rclone crypt se automatizzi i backup, gestisci una macchina headless o vuoi cifrare sopra qualsiasi remote rclone dalla riga di comando. Scegli Cryptomator se vuoi una cassaforte da montare con un clic, apribile anche sul telefono. Non sono rivali - molti usano rclone crypt per i backup dei server e Cryptomator per i file desktop quotidiani. Per scegliere il fornitore da mettere sotto l'uno o l'altro strumento, vedi la nostra panoramica dei servizi di cloud storage cifrato.
Conclusione
rclone crypt trasforma qualsiasi dei 70+ fornitori cloud in un bersaglio zero-knowledge con primitive collaudate - XSalsa20-Poly1305 per il contenuto, scrypt per la chiave, EME per i nomi. È lo strumento giusto quando vuoi una cifratura lato client automatizzabile e scriptabile, soprattutto su un server. Le due cose da impostare bene sono oneste: scegli la cifratura dei nomi standard a meno che tu non abbia un motivo per non farlo, e proteggi rclone.conf con una password di configurazione, perché la password crypt memorizzata è solo offuscata, non cifrata. Fai questo, tieni un backup sicuro della password, e avrai una cifratura lato client che sopravvive a una violazione o a un ordine giudiziario presso il fornitore.
FAQ
Le domande più comuni sono trattate nel blocco FAQ strutturato qui sopra (mostrato anche nel rich snippet di Google): cos'è rclone crypt e a chi è rivolto, la crittografia che usa, la cifratura di nomi di file e cartelle, la sicurezza della password dentro rclone.conf, e il confronto con Cryptomator.
Domande frequenti
- Cos'è rclone crypt e a chi è rivolto?
- rclone crypt è un backend (una sovrapposizione) di rclone, lo strumento open source a riga di comando che sincronizza file su 70+ fornitori cloud. crypt avvolge un altro remote e cifra il contenuto dei tuoi file (e, in opzione, i loro nomi) sulla tua macchina prima dell'upload, poi decifra al download. Il fornitore cloud vede sempre e solo ciphertext, quindi è zero-knowledge. È rivolto a chi ha dimestichezza con un terminale: chiunque esegua backup cifrati automatizzati, un server headless, o voglia aggiungere cifratura lato client sopra un fornitore senza opzione zero-knowledge nativa (Google Drive, Backblaze B2, S3, OneDrive e così via).
- Quale crittografia usa rclone crypt?
- Il contenuto dei file è cifrato con XSalsa20-Poly1305, il cifrario autenticato della costruzione NaCl SecretBox. La chiave di cifratura è derivata dalla tua password tramite scrypt, con una seconda password opzionale (chiamata sale, o password2) per maggiore robustezza. I nomi dei file, nella modalità standard predefinita, sono cifrati con EME (una modalità AES a blocco largo). Tutto avviene in locale prima di qualsiasi transito di rete, così né il contenuto né i nomi raggiungono il fornitore in chiaro.
- rclone crypt cifra anche i nomi di file e cartelle?
- Sì, in opzione. La modalità predefinita per i nomi è standard, che cifra i nomi dei file con EME (AES). Puoi anche scegliere obfuscate (un offuscamento più leggero e veloce) o off (i nomi restano leggibili). La cifratura dei nomi delle cartelle è un'opzione separata, attivabile o meno durante la configurazione. Se imposti la cifratura dei nomi di file e cartelle su off, solo il contenuto è protetto e la struttura resta visibile al fornitore, il che può far trapelare metadati.
- La mia password è al sicuro dentro rclone.conf?
- Non per impostazione predefinita, ed è l'avvertenza più importante. rclone.conf memorizza la tua password crypt offuscata, non fortemente cifrata. L'offuscamento è reversibile: chiunque possa leggere il tuo rclone.conf può recuperare la password con rclone reveal. Per proteggerla davvero, imposta una password di configurazione tramite rclone config (Set configuration password), che cifra l'intero file rclone.conf. Limita sempre i permessi del file rclone.conf e, idealmente, cifralo. Tratta quel file come un segreto.
- rclone crypt o Cryptomator - quale scegliere?
- Entrambi sono open source, lato client e zero-knowledge, quindi la scelta riguarda il flusso di lavoro. rclone crypt è uno strumento a riga di comando: scriptabile, perfetto per server headless e backup automatizzati, e funziona con qualsiasi dei 70+ remote di rclone. Cryptomator è anzitutto grafico, monta una cassaforte cifrata come unità virtuale e offre app mobili ufficiali per iOS e Android, il che lo rende migliore per un uso desktop e mobile interattivo. Se vivi in un terminale o automatizzi i backup, scegli rclone crypt. Se vuoi una cassaforte da montare con un clic, apribile anche sul telefono, scegli Cryptomator. Molti usano entrambi.
Aggiungi cifratura zero-knowledge → pCloud Crypto
Cifratura lato client · solo tu hai la chiave · giurisdizione svizzera