Crittografia e decrittografia del testo
Cifratura AES-256-GCM, 100 % nel tuo browser.
Usa AES-256-GCM tramite la Web Crypto API. Un IV casuale di 96 bit e un sale di 128 bit vengono generati a ogni cifratura. La password è derivata tramite PBKDF2 (100.000 iterazioni, SHA-256).
Come usare
- Scegli la modalità Cifra o Decifra.
- Inserisci il tuo testo e una password.
- Clicca sul pulsante di azione · il risultato appare sotto.
- Per decifrare, incolla l'output cifrato e usa la stessa password.
Domande frequenti
Questa cifratura è sicura?
Sì. AES-256-GCM è una cifratura di livello militare. Combinato con la derivazione di chiave PBKDF2 (100k iterazioni), offre una protezione robusta. La sicurezza dipende tuttavia dalla forza della tua password.
Puoi recuperare la mia password?
No. Tutto viene eseguito nel tuo browser. Non vediamo mai il tuo testo né la tua password. Se perdi la password, il testo cifrato non può essere recuperato.
Qual è il formato dell'output?
L'output cifrato è una stringa Base64 che contiene il sale, l'IV e il testo cifrato. Basta incollarlo di nuovo nello strumento per decifrarlo.
Cosa succede davvero quando fai clic su Cifra
I cifrari simmetrici come AES usano la stessa chiave per cifrare e decifrare. Questo significa che chiunque possieda la chiave può sia bloccare sia sbloccare i dati, quindi l'intera sfida del loro uso si riduce a una sola domanda: come fanno mittente e destinatario a condividere la chiave senza farla trapelare? La risposta di questo strumento è «te ne occupi tu», concordate una password attraverso un canale fidato separato, poi entrambi incollate qui la stessa stringa.
Dietro le quinte lo strumento esegue quattro passaggi tramite la Web Crypto API nativa del browser:
- Allunga la tua password in una chiave. Una password è una stringa corta e a bassa entropia; una chiave AES-256 è composta da 32 byte di dati casuali ad alta entropia. Lo strumento fa passare la tua password attraverso PBKDF2-HMAC-SHA-256 con 100.000 iterazioni (specificato nella RFC 8018) più un salt casuale a 128 bit. Il salt fa sì che ogni cifratura produca una chiave diversa anche se riutilizzi la password, eliminando gli attacchi con tabelle rainbow. Il numero di iterazioni rallenta i tentativi di forza bruta su base per-tentativo.
- Genera un nonce nuovo. Un IV casuale a 96 bit (la lunghezza raccomandata dal NIST per AES-GCM) viene creato tramite
crypto.getRandomValues: la stessa fonte di casualità crittograficamente sicura che il browser usa per il TLS. - Cifra con AES-256-GCM. Il testo in chiaro viene codificato come byte UTF-8 e fatto passare attraverso AES-256 in modalità Galois/Counter, che produce il testo cifrato più un tag di autenticazione a 128 bit.
- Impacchetta e codifica in Base64. Il salt, l'IV e il testo cifrato+tag vengono concatenati in un unico blob binario e codificati in Base64 così da viaggiare in sicurezza attraverso e-mail, chat o qualunque altro luogo che si aspetti ASCII.
Perché proprio AES-256-GCM
AES (Advanced Encryption Standard) è il cifrario simmetrico che il NIST scelse nel 2000 da un concorso pubblico con 15 candidati. Il progetto vincitore fu Rijndael, dei crittografi belgi Joan Daemen e Vincent Rijmen, formalizzato come FIPS PUB 197 il 26 novembre 2001. Il NIST approva tre dimensioni di chiave (128, 192, 256 bit) e la NSA le approva tutte e tre per i dati SECRET, con AES-256 approvato anche per il TOP SECRET. Dopo più di due decenni di esame pubblico non esiste ancora alcun attacco pratico contro un AES correttamente implementato, il cifrario stesso è essenzialmente inviolabile, quindi l'argomento della sicurezza si sposta interamente sulla gestione delle chiavi e sulla robustezza della password.
Un cifrario a blocchi come AES cifra solo un blocco di dimensione fissa di 128 bit, quindi qualsiasi messaggio reale ha bisogno di una modalità operativa per incollare insieme i blocchi. La modalità conta quanto il cifrario. Il famigerato vecchio default, ECB: cifra ogni blocco in modo indipendente, il che fa trapelare i motivi; la celebre immagine «ECB Penguin» di Tux ancora riconoscibile dopo la cifratura è l'illustrazione ammonitrice standard. Molti vecchi strumenti «AES» online espongono ancora ECB; questo no.
GCM (Galois/Counter Mode), progettata da McGrew e Viega e standardizzata dal NIST in SP 800-38D (novembre 2007), combina la cifratura in modalità counter con un tag di autenticazione su campo di Galois. È una modalità AEAD (Authenticated Encryption with Associated Data) il che significa che fornisce riservatezza e integrità in un'unica operazione. Se un singolo byte dell'output cifrato viene invertito, la decifratura solleva un errore anziché restituire testo in chiaro corrotto. È la stessa modalità che usano TLS 1.2 e TLS 1.3. È davvero la modalità da lavoro della crittografia moderna di internet.
Una password non è una chiave
Una chiave AES-256 è composta da 32 byte di casualità uniforme. La password di un utente (anche una robusta) è corta, per lo più ASCII stampabile, e si raggruppa attorno a schemi da dizionario. Non puoi immettere una password direttamente in AES senza aiuto. Quell'aiuto è una funzione di derivazione di chiave basata su password (KDF). PBKDF2, scrypt e Argon2 sono le tre che vedrai nel codice moderno:
- PBKDF2 (RFC 8018), l'originale. Itera molte volte una funzione pseudocasuale HMAC. Veloce su una CPU, ma non memory-hard: GPU e ASIC violano gli hash PBKDF2 molto più velocemente di quanto il numero di iterazioni suggerirebbe su un normale computer. Questo strumento usa PBKDF2 perché è l'unica KDF per password che la Web Crypto API espone nativamente, Argon2 e scrypt richiederebbero di spedire JavaScript o WebAssembly aggiuntivi.
- scrypt (RFC 7914, 2016, di Colin Percival)) ha aggiunto la memory-hardness: costringe un attaccante ad allocare un grande blocco di RAM per ogni tentativo, sconfiggendo l'hardware parallelo economico.
- Argon2id (RFC 9106, 2021), vincitrice della Password Hashing Competition del 2015; l'attuale raccomandazione di prima scelta di OWASP. Memory-hard, resistente ai canali laterali.
Avvertenza onesta: 100.000 iterazioni PBKDF2 sono ben al di sopra del minimo originale della RFC di 1.000, ma al di sotto dell'attuale indicazione 2026 di OWASP di 600.000 per PBKDF2-SHA-256. Il compromesso è il tempo di cifratura sui telefoni lenti, a 600.000 iterazioni, derivare una chiave su un dispositivo Android economico inizia ad aggiungere una pausa percettibile. Per i segreti a lungo termine ad alto rischio, scegli una password più lunga per compensare, oppure usa un gestore di password dedicato che di solito usa Argon2id con parametri più robusti.
Salt e IV, sembrano simili, fanno cose diverse
- Il salt è un input per la derivazione della chiave. Rende la mappatura password→chiave unica per ogni cifratura, così un testo cifrato rubato non può essere violato usando una tabella precalcolata di chiavi di password comuni. Il salt non deve essere segreto, solo unico e imprevedibile.
- L'IV / nonce è un input per la modalità del cifrario. Per AES-GCM in particolare, è il punto di partenza del contatore a 96 bit. Deve essere unico per ogni coppia (chiave, messaggio); riutilizzarne uno è catastrofico in GCM, permette a un attaccante di recuperare la chiave GHASH e falsificare testi cifrati arbitrari. Lo strumento genera un IV casuale nuovo da
crypto.getRandomValuesa ogni cifratura, il che evita quel rischio.
Quando usarlo, e quando no
Lo strumento giusto quando:
- Devi condividere un singolo messaggio segreto tramite un canale non fidato (e-mail, Slack, SMS, un'app per appunti) e disponi di un canale fidato separato (una telefonata, un incontro di persona, una chat Signal) dove puoi consegnare la password.
- Vuoi cifrare uno spezzone localmente prima di incollarlo in un documento sul cloud o in un'app per prendere appunti, così anche se il fornitore subisce una violazione i contenuti restano illeggibili.
- Hai bisogno di una «busta sigillata» allegata a un flusso di lavoro con un partner che ha concordato una password a voce.
Lo strumento sbagliato quando:
- Tu e il tuo destinatario non avete alcun segreto precondiviso né alcun canale fuori banda. Inviare la password attraverso lo stesso canale del testo cifrato è inutile, chiunque possa leggere il testo cifrato può leggere anche la password. Questo è il classico problema dell'uovo e della gallina nella distribuzione delle chiavi, che la crittografia a chiave pubblica esiste per risolvere.
- Hai bisogno della forward secrecy. Signal e TLS 1.3 producono una chiave effimera diversa per ogni sessione, così una fuga di oggi non espone i messaggi passati. Una singola password fissa offre la proprietà opposta: chiunque scopra la password può decifrare ogni messaggio che tu abbia mai cifrato con essa.
- Devi dimostrare chi ha cifrato qualcosa. AES con una password condivisa dimostra il possesso della password, non la paternità. Per le firme digitali usa PGP, age o S/MIME.
- Stai cifrando su larga scala o per molti destinatari. Ogni destinatario ha bisogno di una password condivisa separatamente e la rotazione è penosa. Gli strumenti asimmetrici (age, PGP) e i server di chiavi in stile Signal gestiscono meglio questo caso.
Un modello mentale utile: AES con una password è l'equivalente digitale di un lucchetto da valigia abbinato a una telefonata per condividere la combinazione. Funziona alla perfezione se puoi fidarti della telefonata. Non è un sostituto della messaggistica cifrata end-to-end come Signal, che automatizza lo scambio di chiavi e fornisce la forward secrecy tramite il suo protocollo Double Ratchet.
Quanto forte è «abbastanza forte» per la password?
Poiché il cifrario stesso è inviolabile, l'intera sicurezza dello schema poggia sulla tua password. La matematica rilevante è l'entropia: H = L × log₂(N), dove L è la lunghezza e N è la dimensione dell'insieme di caratteri da cui peschi a caso. Esempi pratici:
- 8 lettere minuscole casuali → circa 37 bit. Violabile in ore su una GPU moderna.
- 8 caratteri con maiuscole e minuscole, cifre e simboli → circa 52 bit. Da ore a giorni alle velocità moderne.
- 12 caratteri con maiuscole e minuscole, cifre e simboli → circa 79 bit. Oltre i budget pratici di attacco per il prevedibile futuro.
- Sei parole casuali da un elenco Diceware di 7.776 parole → circa 78 bit. Più o meno la stessa sicurezza di 12 caratteri casuali ma enormemente più facile da memorizzare.
Le password scelte dagli esseri umani sono drasticamente più deboli: la ricerca citata nelle linee guida del NIST stima la media attorno a 40 bit, ed è per questo che gli attacchi a dizionario prevalgono sulla pura forza bruta. Il consiglio attuale di NIST SP 800-63B per i segreti memorizzati: minimo 8 caratteri, permetterne almeno 64, non imporre regole di composizione (spingono gli utenti verso schemi prevedibili come Password1!), non richiedere la rotazione periodica, e filtrare rispetto a elenchi di password note come violate. Punta a «lunga, memorabile, mai comparsa in una violazione.» Una passphrase casuale di quattro-sei parole che riesci davvero a ricordare batte ogni volta una tortuosa password «complessa» di 8 caratteri.
Dove si colloca rispetto ad altri strumenti di cifratura
- TLS / HTTPS cifra in transito tra te e un server. Il server stesso può leggere tutto una volta che arriva. Risolve il problema dell'intercettatore, non il problema del server.
- Signal / WhatsApp / iMessage sono cifratura end-to-end completa con scambio automatico di chiavi e forward secrecy. Risolvono entrambi i problemi, ma richiedono che entrambe le parti usino la stessa app.
- PGP / age sono asimmetrici, cifri verso la chiave pubblica pubblicata di qualcuno senza bisogno di un segreto condiviso prima. Risolve la distribuzione delle chiavi, ma storicamente penoso da usare;
ageè la moderna alternativa minimalista. - La cifratura del disco a livello di sistema operativo (FileVault, BitLocker, LUKS) cifra i dati a riposo su un singolo dispositivo usando AES-XTS. Modello di minaccia diverso: protegge dal furto del dispositivo, non dall'intercettazione di rete.
- I gestori di password usano AES-GCM (o simili) con KDF robuste (oggi tipicamente Argon2id) dentro un caveau cifrato che sincronizza il testo cifrato tramite un backend del fornitore che non può leggerlo.
Un cifratore di testo basato su password è il membro meno specializzato di questa famiglia, pura crittografia senza alcuna opinione su identità, trasporto o archiviazione. È proprio quel minimalismo l'attrattiva: è lo strumento giusto quando ti serve specificamente solo AES-256 con una password e nient'altro.
Altre domande
Questo è cifrato end-to-end?
In un certo senso sì, la cifratura avviene interamente nel tuo browser e Absolutool non vede mai il testo in chiaro né la password. Nel senso stretto in cui lo usano i prodotti di messaggistica come Signal, no: Signal fornisce in più lo scambio automatico di chiavi asimmetriche e il legame con l'identità, così gli utenti non hanno bisogno di un canale fidato separato per condividere una password. Questo strumento fa la metà della cifratura senza quegli extra, ed è ciò che rende la consegna della password una tua responsabilità.
Esiste un recupero del tipo «password dimenticata»?
No, per scelta progettuale. Lo strumento non vede mai la tua password e non memorizza nulla. Se perdi la password il testo cifrato è irrecuperabile. Salva la password in un gestore di password o annotala da qualche parte su un supporto fisico.
Perché l'output cifrato sembra Base64 casuale?
Perché è esattamente ciò che è. Il salt, l'IV e il testo cifrato più il tag di autenticazione vengono concatenati in un unico blob binario e codificati in Base64 così che il risultato viaggi in sicurezza attraverso sistemi che si aspettano ASCII stampabile (e-mail, JSON, stringhe di query). Tutti e tre i componenti servono al momento della decifratura, ed è per questo che vengono impacchettati insieme, lo strumento li ri-estrae quando reincolli il blob.
AES-256 è illegale da qualche parte?
La crittografia di massa è ampiamente legale in essenzialmente ogni prodotto destinato ai consumatori in tutto il mondo nel 2026. Le Crypto Wars statunitensi degli anni '90 si conclusero con l'Executive Order 13026 (1996) e l'allentamento per il mercato di massa del 2000. Specifiche destinazioni sotto embargo (Iran, Corea del Nord, Siria, Cuba) e una manciata di paesi con proprie restrizioni di importazione o uso sulla crittografia forte (tra cui Cina, Russia, Vietnam e Arabia Saudita) vale comunque la pena di verificarli rispetto alla legge locale se stai usando lo strumento in quelle giurisdizioni.
Viene inviato qualcosa a un server?
No. La Web Crypto API funziona nativamente nel browser; crypto.subtle richiama la stessa libreria crittografica che il browser usa per il TLS (BoringSSL su Chrome, NSS su Firefox, CommonCrypto su Safari). Nulla lascia il tuo dispositivo. La pagina richiede anche HTTPS, imposto dal browser, la Web Crypto è disponibile solo su contesti sicuri per impedire a un attaccante di rete di sostituire il JavaScript prima che venga eseguito.