Tor, IPFS, Tails, I2P e tutto quello che serve per non lasciare le chiavi di casa su internet. Non sei paranoico. Stai solo leggendo i termini di servizio.
"Se il servizio è gratuito, il prodotto sei tu. Se il servizio è a pagamento, probabilmente sei comunque tu." — legge di Murphy applicata alla privacy.
"Non ho niente da nascondere." Sì, e non chiudi la porta del bagno perché non fai niente di illegale.
La privacy non è per chi fa cose illegali. È per chiunque non voglia che aziende, governi o sconosciuti abbiano accesso permanente a ogni ricerca, ogni messaggio, ogni spostamento, ogni acquisto, ogni momento di debolezza. I dati raccolti oggi vengono usati per profilare, manipolare, vendere e — in certi contesti — perseguire. Il modello di sorveglianza attuale è quello in cui tu non sai chi sa cosa di te, né quando lo useranno. La privacy è igiene digitale, non complotto.
Prima di scegliere gli strumenti, devi capire da chi ti stai proteggendo. Non tutti hanno bisogno dello stesso livello di paranoia.
Google, Meta, Amazon che ti profilano per pubblicità. Il caso di quasi tutti. Si risolve con browser decente, ad blocker, search engine privato e qualche attenzione ai cookie.
Il tuo provider vede tutto il traffico non cifrato. VPN + DNS cifrato + HTTPS everywhere. Tor per chi vuole di più.
Qualcuno vuole scoprire chi sei. Alias separati, email usa-e-getta, Tor, niente dati reali associati a profili pubblici.
Giornalisti, attivisti in contesti ad alto rischio. Tails su USB, Tor su reti diverse, niente smartphone personale durante operazioni sensibili. Qui la guida aiuta ma non basta.
| Attore | Cosa raccoglie | Cosa ci fa |
|---|---|---|
| Ricerche, email, posizione, voce, video YouTube, calendari, documenti | Pubblicità, modelli AI, vendita indiretta a terzi | |
| Meta | Post, like, messaggi (FB/IG/WA), telefono, face recognition, movimenti tra siti | Pubblicità, manipolazione politica documentata |
| Apple | Meno dei precedenti, ma iCloud, Siri, App Store, pagamenti | Profilazione più limitata, ma lì c'è |
| ISP | Ogni richiesta DNS, ogni connessione IP | Log obbligatori per legge, vendita in alcuni paesi, sorveglianza |
| Data broker | Aggregano dati da centinaia di fonti: acquisti, social, posizione, stato di salute | Vendono a chiunque paghi: assicurazioni, datori di lavoro, privati |
| Governi | Variano molto per paese. In EU: GDPR limita ma non elimina. Fuori EU: peggio. | Sorveglianza di massa, intelligence, controllo |
The Onion Router. Sviluppato dalla Marina Militare USA, usato da dissidenti, giornalisti e chi vuole cercare "sintomi influenza" senza che Google lo sappia.
Il tuo traffico viene cifrato in 3 strati (come una cipolla — da qui il logo) e passa attraverso 3 nodi gestiti da volontari nel mondo. Ogni nodo toglie uno strato di cifratura e sa solo da dove è arrivato il pacchetto e dove mandarlo. Nessun nodo conosce insieme mittente e destinazione. Il nodo di ingresso sa chi sei ma non dove vai. Il nodo di uscita sa dove vai ma non chi sei. Quello di mezzo non sa niente di niente e probabilmente preferisce così.
Il modo più semplice per usare Tor. Firefox modificato con NoScript, uBlock Origin, tutte le impostazioni di privacy al massimo e routing automatico su Tor. Scarica da torproject.org e funziona subito.
# Scarica, estrai e avvia
tar -xvJf tor-browser-linux64-*.tar.xz
cd tor-browser
./start-tor-browser.desktop
# Oppure via apt (Debian/Ubuntu)
sudo apt install torbrowser-launcher
torbrowser-launcherInstalla il demone Tor e usa SOCKS5 localhost:9050 per qualsiasi applicazione.
sudo apt install tor
sudo systemctl enable --now tor
# Verifica che giri
curl --socks5 127.0.0.1:9050 https://check.torproject.org/api/ip
# Qualsiasi app con supporto SOCKS5:
# SOCKS5 host: 127.0.0.1 porta: 9050
# curl con tor
curl --socks5-hostname 127.0.0.1:9050 http://sito.onion
# torify: wrappa qualsiasi comando
torify wget https://esempio.itI siti .onion sono hidden service: esistono solo all'interno della rete Tor. Non hanno un IP pubblico, la loro posizione è nascosta. Usati da media (NYT, BBC, ProPublica hanno .onion ufficiali), da servizi di whistleblowing (SecureDrop), e da molto altro che preferiamo non dettagliare.
# Aggiungi in /etc/tor/torrc
HiddenServiceDir /var/lib/tor/hidden_service/
HiddenServicePort 80 127.0.0.1:8080
# 80 = porta esposta su .onion → 8080 = servizio locale
sudo systemctl restart tor
# Il tuo indirizzo .onion:
sudo cat /var/lib/tor/hidden_service/hostname
abc123def456...xyz.onion
# 56 caratteri base32. Non il massimo da memorizzare.Se il tuo ISP o paese blocca Tor, puoi usare i bridge: nodi Tor non pubblicati nella directory pubblica. I Pluggable Transport (obfs4, meek, snowflake) camuffano il traffico Tor per farlo sembrare traffico normale.
# Nel Tor Browser: Connection Settings → Use a bridge
# Opzioni:
# - Built-in bridges: obfs4 (il più usato)
# - Snowflake: si maschera da WebRTC, difficile da bloccare
# - Richiedi bridge a bridges.torproject.org (via HTTPS o email a bridges@torproject.org)
# In torrc (tor demone):
UseBridges 1
Bridge obfs4 IP:PORTA fingerprint cert=...
ClientTransportPlugin obfs4 exec /usr/bin/obfs4proxyIl sistema operativo che si dimentica di te. Boots da USB, passa tutto per Tor, si spegne e non lascia tracce. Come non essere mai stati lì.
Usi il computer, fai quello che devi, spegni e tutto scompare. Niente cookie, niente cronologia, niente file temporanei, niente tracce sul disco. Il prossimo avvio è come se non fossi mai stato lì. Ogni sessione parte da zero. Il computer che usi non importa: Tails porta con sé tutto il necessario e non lascia niente indietro. Nemmeno per errore.
Ogni connessione di rete passa obbligatoriamente per Tor. Se un'app tenta di connettersi direttamente, viene bloccata.
Niente viene scritto sul disco del computer host. RAM azzerata all'avvio (in alcune config). Cronologia, file, password: via a ogni shutdown.
Puoi creare uno storage cifrato sulla USB per salvare file, password, configurazioni tra una sessione e l'altra. Opzionale.
Da tails.boum.org. Verifica la firma OpenPGP o il checksum — non saltare questo passaggio. ISO ~1.4 GB. Aggiornamenti frequenti: stai sempre sull'ultima versione.
Usa Balena Etcher (GUI, tutti i sistemi) o dd. Non fare semplicemente copia-incolla del file: non funziona.
sudo dd if=tails-amd64-*.img of=/dev/sdX bs=16M oflag=direct status=progress
# /dev/sdX = la tua USB. Usa lsblk per trovare il device.
# Attenzione: dd non chiede conferma. Sbagliare il device = dati persi.Riavvia, entra nel boot menu (F8/F12/Esc/Del a seconda del PC) e seleziona la USB. Se il PC non la vede, controlla Secure Boot: potrebbe essere necessario disabilitarlo.
Tails ti chiede lingua, tastiera e se vuoi connessioneadditionale (bridge per Tor, se necessario). Poi si connette automaticamente a Tor. Non si fretta: aspetta che Tor sia connesso prima di usare Tor Browser.
Tor Browser — navigazione anonima
Thunderbird — email con OpenPGP integrato
KeePassXC — password manager locale
OnionShare — condividi file via .onion
Metadata Cleaner — rimuove metadati da file
GnuPG / Kleopatra — cifratura PGP
VeraCrypt — volumi cifrati
MAT2 — Metadata Anonymisation Toolkit
Electrum — wallet Bitcoin
LibreOffice — documenti senza telemetria
InterPlanetary File System. Il web distribuito dove i file esistono finché qualcuno li vuole tenere. Una specie di BitTorrent per il web, ma con indirizzi che sembrano errori di battitura.
Il web normale funziona per location: "vai a questo URL, su questo server". Se il server cade, il contenuto sparisce. IPFS funziona per contenuto: ogni file ha un hash (CID) che lo identifica univocamente. Puoi chiedere quel CID a tutta la rete e chiunque ce l'abbia te lo dà. Il file non può essere alterato senza cambiare il CID. La censura diventa molto più difficile: rimuovere un file significa convincere tutti i nodi che lo hanno a cancellarlo.
# Installa Kubo (implementazione di riferimento)
wget https://dist.ipfs.tech/kubo/v0.27.0/kubo_v0.27.0_linux-amd64.tar.gz
tar xvf kubo_*.tar.gz && cd kubo && sudo bash install.sh
# Inizializza il nodo
ipfs init
generating ED25519 keypair...done
peer identity: 12D3KooW... (questo è il tuo PeerID)
# Avvia il demone
ipfs daemon &
# API: http://localhost:5001 Gateway: http://localhost:8080
# Aggiungi un file alla rete
ipfs add mio-file.txt
added QmZ4tDuvesekSs4qM5ZBKpXiZGun7S2CYtEZRB3DYXkjGx mio-file.txt
# Qm... è il CID (Content Identifier) — l'hash del contenuto
# Recupera un file dal CID
ipfs get QmZ4tDuvesekSs4qM5ZBKpXiZGun7S2CYtEZRB3DYXkjGx
# Visualizza via browser (gateway locale)
# http://localhost:8080/ipfs/QmZ4tDu...
# Pin: tieni il file anche se non è tuo (non viene garbage-collected)
ipfs pin add QmZ4tDuvesekSs4qM5ZBKpXiZGun7S2CYtEZRB3DYXkjGx
ipfs pin ls # lista file pinnatiNon vuoi/puoi installare un nodo? Accedi a contenuti IPFS via gateway HTTP pubblici. Il file è lo stesso, identificato dal CID.
# Gateway Cloudflare (il più veloce)
https://cloudflare-ipfs.com/ipfs/QmCID...
# Gateway ufficiale IPFS
https://ipfs.io/ipfs/QmCID...
# Gateway W3S
https://w3s.link/ipfs/QmCID...
# Via protocollo nativo nel browser (con estensione IPFS Companion)
ipfs://QmCID...Su IPFS, un file esiste finché almeno un nodo lo ha pinnato. Se spegni il tuo nodo e nessun altro ha il file, sparisce. I pinning service sono cloud IPFS che tengono i tuoi file sempre disponibili.
| Servizio | Free tier | Note |
|---|---|---|
| Pinata | 1GB gratis | Il più popolare, API semplice |
| Web3.Storage | 5GB gratis | Da Protocol Labs (creatori IPFS) |
| Filebase | 5GB gratis | S3-compatible API + IPFS |
| Proprio nodo always-on | — | Controllo totale, VPS da €3/mese |
Il CID di un file cambia se il contenuto cambia. IPNS (InterPlanetary Name System) permette di avere un indirizzo stabile che punta all'ultima versione del contenuto.
# Pubblica la tua directory su IPNS (punta al tuo PeerID)
ipfs name publish /ipfs/QmNuovoCID...
Published to k51qzi5uqu5d...: /ipfs/QmNuovoCID...
# Accedi via IPNS (risolve sempre all'ultimo CID pubblicato)
https://ipfs.io/ipns/k51qzi5uqu5d...
# Con DNSLink: punta un dominio al tuo IPNS via record DNS TXT
# _dnslink.tuodominio.com TXT "dnslink=/ipns/k51qzi5..."
# Poi accessibile come: https://ipfs.io/ipns/tuodominio.comLe alternative a Tor che esistono, funzionano e vengono usate da circa il 3% delle persone che conosci. Forse.
Proxy per il web normale. Ottimo per accedere a siti clearnet in modo anonimo. Rete esterna ben nota, ben studiata, directory pubblica dei relay. Velocità variabile. Il più usato.
Rete interna peer-to-peer. Progettato per servizi dentro la rete (eepSites). Ogni nodo è anche router. Ottimo per comunicazioni interne alla rete, meno per accedere al web esterno. Più privacy di Tor per chi resta dentro I2P.
# Requisito: Java 8+
sudo apt install default-jre
# Scarica installer da geti2p.net
wget https://geti2p.net/_static/i2pinstall_2.x.x.jar
java -jar i2pinstall_2.x.x.jar
# Avvia
~/i2p/i2prouter start
# Console: http://127.0.0.1:7657
# Proxy HTTP: 127.0.0.1:4444 (per eepSites .i2p)
# SOCKS5: 127.0.0.1:4447
# I2P ha bisogno di qualche ora per integrarsi nella rete
# (costruire tunnel, trovare peer). Prima di aspettarsi performance
# decenti, aspetta almeno 30 minuti dalla prima installazione.apt install i2pd), senza interfaccia grafica ma meno esigente di risorse. Buona per server.
Freenet (ora rinominata Hyphanet) è una rete peer-to-peer decentralizzata per pubblicare e accedere a contenuti in modo anonimo. I dati sono distribuiti tra i nodi in forma cifrata. Nessun nodo sa cosa sta memorizzando. Più lenta di Tor e I2P, ma l'obiettivo è la resistenza alla censura e alla rimozione: i contenuti non possono essere cancellati una volta pubblicati.
Modalità: Darknet (connetti solo a persone di cui ti fidi) o Opennet (connetti a nodi casuali). La modalità Darknet è più sicura ma richiede avere amici su Freenet. Situazione classica.
Signal, Matrix, PGP, SimpleX. Perché WhatsApp "ha end-to-end encryption" non significa che Meta non sa con chi parli e quando.
Signal è il riferimento per la messaggistica sicura. End-to-end encryption basata sul Signal Protocol (usato anche da WhatsApp e Telegram Secret Chat), open source, fondazione no-profit, metadati minimizzati.
Cosa cifra: messaggi, chiamate, video, file, reazioni, "sta scrivendo", tempi di lettura.
Cosa sa Signal: il tuo numero di telefono e l'ultimo momento in cui hai usato l'app. Nient'altro. Verificato in tribunale quando hanno ricevuto un mandato.
Note Che Spariscono: imposta un timer per l'auto-cancellazione — usa questa feature per default per conversazioni sensibili.
Username (novità 2024): puoi usare Signal senza condividere il numero di telefono. Finalmente.
Matrix è un protocollo di messaggistica federato e decentralizzato: puoi ospitare il tuo server (Synapse o Dendrite) e comunicare con utenti su altri server, come le email. Element è il client più usato.
Vantaggi su Signal: nessun numero di telefono, self-hosted, bridge verso Telegram/Slack/IRC, stanze pubbliche e private, buon supporto per team.
Svantaggi: i metadati delle stanze restano sul server (chi è nella stanza, quando ha mandato messaggi — il contenuto è cifrato ma il grafo sociale no). Più complesso da configurare.
# Genera config
docker run --rm -v $(pwd)/synapse:/data \
matrixdotorg/synapse:latest generate \
--server-name tuodominio.it \
--report-stats no
# Avvia
docker run -d --name synapse \
-v $(pwd)/synapse:/data \
-p 8448:8448 -p 8008:8008 \
matrixdotorg/synapse:latestSimpleX Chat non ha identificatori utente: niente numero di telefono, niente username, niente ID. Ogni conversazione usa code di messaggi monouso. Il server non sa chi parla con chi. Il più anonimo dei messenger moderni. Ancora giovane ma promettente.
OpenPGP cifra il contenuto delle email. I metadati (chi scrive a chi, quando) restano visibili sul server. È scomodo — richiede che entrambi gli interlocutori abbiano una chiave PGP — ma è lo standard per comunicazioni email ad alto rischio.
# Genera coppia di chiavi
gpg --full-generate-key
# Scegli: RSA 4096 o Ed25519. Imposta scadenza (1-2 anni).
# Esporta la tua chiave pubblica (da condividere)
gpg --export --armor tua@email.it > pubkey.asc
# Importa chiave di qualcun altro
gpg --import sua_pubkey.asc
# Cifra un file per qualcuno
gpg --encrypt --recipient sua@email.it file.txt
# Decifra
gpg --decrypt file.txt.gpg
# Firma un file (prova che l'hai scritto tu)
gpg --sign --armor file.txt
# Verifica firma
gpg --verify file.txt.asc| App | E2E | Metadati | Account | Quando usarlo |
|---|---|---|---|---|
| Signal | ✓ forte | Minimali | Numero tel. | Default per tutti |
| SimpleX | ✓ forte | Nessuno | Nessuno | Massima anonimia |
| Matrix E2E | ✓ | Parziali | Username | Team, self-hosted |
| ✓ (Signal Protocol) | Meta li raccoglie | Numero tel. | Per il suocero che non installa Signal | |
| Telegram | Solo Secret Chat | Server vede tutto | Numero tel. | Canali pubblici, non per segreti |
| iMessage | ✓ su Apple | Apple metadata | Apple ID | Solo se entrambi su iPhone |
Il browser è la finestra da cui guardi internet. E da cui internet guarda te.
Firefox è open source, indipendente da Big Tech (Mozilla Foundation), e altamente configurabile. Di default non è privato abbastanza, ma con qualche impostazione diventa solido.
Impostazioni consigliate:
about:config per chi vuole spingersi oltre: privacy.resistFingerprinting = true, network.http.sendRefererHeader = 0
Librewolf: fork di Firefox già configurato per la privacy. Niente telemetria, niente Mozilla account, resistenza al fingerprinting attiva di default. Il Firefox "già fatto bene".
Brave: basato su Chromium, ad blocker integrato, fingerprinting protection, Tor integrato (finestra privata Tor). Attenzione: ha avuto controversie su redirect di referral e crypto push. Usabile ma tieni gli occhi aperti.
Tor Browser: per le sessioni dove l'anonimato conta davvero.
| Motore | Backend | Log | Note |
|---|---|---|---|
| DuckDuckGo | Proprio + Bing | Nessuno (dichiarato) | Il più facile da adottare. Risultati decenti. USA-based. |
| Startpage | Nessuno | Risultati Google senza il tracciamento. Olandese. | |
| Brave Search | Proprio | Nessuno | Indice proprio, non dipende da Google/Bing. Buono. |
| SearXNG | Meta-search | Dipende dall'istanza | Open source, self-hostable. Aggrega più motori. Il nerd choice. |
| Whoogle | Nessuno se self-hosted | Google results senza JS, senza tracking. Self-host su Docker in 2 min. |
docker run -d --name whoogle \
-p 5000:5000 \
--restart unless-stopped \
benbusby/whoogle-search
# Apri http://localhost:5000 — Google results, zero trackingGmail legge le tue email. Lo sa fare. Lo ha fatto. Continuerà a farlo. Esistono alternative.
E2E encryption tra utenti Proton. Server in Svizzera. Interfaccia moderna. Piano gratuito disponibile. Usato da milioni di persone, buon track record sulla privacy.
Limite: l'encryption E2E funziona automaticamente solo tra utenti Proton. Per email verso Gmail/Outlook puoi usare PGP manuale oppure le email vanno cifrate solo in transit (TLS).
Tedesco, E2E di default, open source client. Cifra anche oggetto e allegati. Piano gratuito. La differenza principale da Proton: usa un sistema proprio invece di PGP standard, quindi interoperabilità con PGP esterno è limitata.
Un alias email riceve email e le inoltra al tuo indirizzo reale. Usi un alias diverso per ogni sito. Se un sito viene bucato o ti manda spam, disabiliti quell'alias. Il tuo indirizzo reale non viene mai esposto.
| Servizio | Free tier | Note |
|---|---|---|
| SimpleLogin | 10 alias gratis | Open source, acquisito da Proton. Il migliore. |
| AnonAddy / addy.io | Illimitati | Open source, self-hostable. |
| Firefox Relay | 5 alias gratis | Integrato in Firefox, semplice. |
| Apple Hide My Email | Con iCloud+ | Solo ecosistema Apple ma funziona bene. |
Per registrazioni rapide dove non ti importa ricevere email in futuro.
# Servizi web (niente installazione)
temp-mail.org # ricevi email temporanee nel browser
guerrillamail.com # classico, funziona da anni
mailnull.com # indirizzi che scadono in 10 minuti
# Self-hosted con poste.io o mailu
# + catch-all su dominio tuo: *@tuodominio.it → tua inboxIl software di base che gira sulla tua macchina decide quanto ti fidi di quello che succede sotto il tuo naso.
Linux è open source: puoi (in teoria) verificare che non faccia cose strane. Nessuna telemetria forzata, nessun account richiesto, niente keylogger built-in, niente screenshot periodici dei tuoi schermi (ciao, Windows Recall).
Distro per la privacy:
Windows raccoglie telemetria, ha Cortana, ha Recall (screenshot ogni tot secondi su Copilot+ PC), sincronizza con account Microsoft, ha publicità nell'interfaccia. Si può ridurre con tool come O&O ShutUp10 o WPD ma non si elimina del tutto.
Se devi restare su Windows: account locale (non Microsoft), telemetria al minimo, disabilita Recall, uBlock Origin, VPN.
OOBE\BYPASSNRO durante il setup o con Rufus (crea USB con bypass integrato).
Se qualcuno ruba o sequestra il tuo laptop, senza FDE i dati sono leggibili semplicemente avviando da USB esterna. Con FDE, senza la passphrase non si accede a niente. Dovrebbe essere attiva di default su qualsiasi dispositivo.
# Meglio abilitare durante l'installazione (opzione nel installer)
# Per una partizione/disco separato:
# Formatta con LUKS (DISTRUGGE I DATI esistenti)
cryptsetup luksFormat /dev/sdX
# Apri il volume cifrato
cryptsetup open /dev/sdX nomevolume
# Formatta e monta
mkfs.ext4 /dev/mapper/nomevolume
mount /dev/mapper/nomevolume /mnt/sicuro
# Info sul volume
cryptsetup luksDump /dev/sdX
# Windows: BitLocker (integrato, richiede Pro/Enterprise o TPM)
# macOS: FileVault (integrato, abilitalo in Impostazioni → Privacy)VeraCrypt crea volumi cifrati (file o partizioni) accessibili su Windows, macOS e Linux. Supporta la plausible deniability: un volume nascosto dentro un altro volume, con due passphrase diverse per due "versioni" del contenuto. Sotto coercizione mostri il contenuto innocuo.
# Crea volume cifrato da 1GB
veracrypt --text --create /percorso/volume.vc \
--size 1G --encryption AES --hash SHA-512 \
--filesystem ext4 --password tuapassword \
--volume-type normal
# Monta il volume
veracrypt --text --mount /percorso/volume.vc /mnt/sicuro \
--password tuapassword
# Smonta
veracrypt --text --dismount /mnt/sicuroGli strumenti da soli non bastano. Come combinarli dipende da chi ti preoccupa.
Riduce drasticamente il profiling commerciale senza cambiare radicalmente le abitudini. Tempo di setup: 30 minuti.
Aggiunge protezione dall'ISP, separa le identità, limita la superficie di attacco. Tempo di setup: qualche ora.
Compartimentalizzazione forte, nessuna identità incrociata, strumenti air-gap per operazioni critiche.
Qualcosa non funziona. Probabilmente non sei stato hackerato. Probabilmente.
Tor è sempre più lento di una connessione normale — 3 hop di latenza è by design. Ma se è inutilizzabile:
Tor bloccato dall'ISP o rete: prova i bridge. In Tor Browser: Impostazioni → Connessione → Usa un bridge → obfs4 o Snowflake.
Clock out of sync: Tor richiede che l'orologio di sistema sia corretto (entro un'ora). timedatectl status su Linux, verifica l'orario di sistema.
Firewall locale: assicurati che la porta 9001 (o la porta del bridge) non sia bloccata dal tuo firewall.
Versione vecchia: scarica sempre l'ultima versione da torproject.org. Le versioni vecchie possono essere compromesse o bloccate.
Secure Boot: la causa più comune. Entra nel BIOS (F2/F12/Del all'avvio) e disabilita Secure Boot. Tails non supporta Secure Boot.
USB non bootable: hai copiato il file ISO invece di scrivere l'immagine. Usa Balena Etcher o dd correttamente. Il file deve essere il .img (non .iso) per dd.
Fast Boot: alcuni PC con Fast Boot non mostrano il boot menu. Disabilitalo nel BIOS o tieni premuto Shift durante l'avvio (Windows) per forzare il menu.
USB porta: prova una porta USB diversa, preferibilmente USB 2.0 se disponibile — alcuni PC hanno problemi con USB 3.0 al boot.
PC troppo vecchio: Tails richiede 64-bit e almeno 2GB RAM. Se il PC è pre-2008 potrebbe non andare.
Firewall blocca le porte: IPFS usa le porte 4001 (swarm), 5001 (API), 8080 (gateway). Assicurati che 4001 sia raggiungibile dall'esterno se vuoi connetterti alla rete.
File non pinnato da nessuno: se nessun nodo ha il file che cerchi, non lo trovi. I contenuti IPFS sono disponibili solo se qualcuno li ha pinnati e il suo nodo è online.
Pochi peer: ipfs swarm peers | wc -l. Se meno di 10, aspetta o aggiungi bootstrap: ipfs bootstrap add /ip4/...
CID v0 vs v1: i CID che iniziano con Qm sono v0 (base58), quelli con bafy sono v1 (base32). Se usi gateway, assicurati che supporti il formato giusto.
Hai fatto login. Se accedi al tuo account Google/Facebook/qualsiasi cosa su Tor, il sito sa chi sei. Il routing anonimo non aiuta quando ti presenti con il tuo nome.
Cookie residui: nel Tor Browser usa sempre la "nuova identità" (icona scopa) tra sessioni diverse. O chiudi e riapri il browser.
JavaScript fingerprinting: se hai abilitato JavaScript su siti non HTTPS, potresti essere fingerprinted. Tor Browser blocca JS di default per sicurezza, non disabilitare questa protezione.
Correlazione di traffico: se qualcuno controlla sia la tua connessione di ingresso che il sito di destinazione, può correlarti per timing anche senza decriptare. Contro avversari statali, Tor non è sufficiente da solo.
Chiave privata persa: i messaggi cifrati con la tua chiave pubblica sono irrecuperabili. Non esiste recupero. Se hai configurato una chiave con scadenza, alla scadenza il danno si limita ai messaggi futuri.
Passphrase dimenticata: uguale. Nessun recupero. Motivo per cui il backup della chiave privata (su storage cifrato, offline) è fondamentale.
Revoca certificato: se pensi che la chiave sia compromessa (o persa), pubblica il certificato di revoca sui keyserver: gpg --send-keys --keyserver keyserver.ubuntu.com KEYID. Genera il certificato di revoca quando crei la chiave, non dopo.
Backup: gpg --export-secret-keys --armor tua@email.it > backup_chiave_privata.asc. Cifra questo file e tienilo offline.
Il riassunto. Da leggere quando non ricordi niente di tutto il resto.