SSHまでディスクを暗号化したままにする

Question 1

あなたが尋ねていることは不可能です。システムに SSH で接続するには、システムがすでに起動している必要があり、起動するには、すでに暗号化されている必要があります。これは、暗号化されたデバイスすべてに当てはまります。電話、コンピューター、タブレット、違いはありません。デバイスが暗号化されている場合は、起動時にキー (多くの場合、パスワード、PIN、またはパターン) を入力してデバイスを暗号化し、起動できるようにする必要があります。暗号化解除パスワードを入力するとすぐに、データは暗号化解除された状態になります。その時点でシステムにアクセスできる人は誰でも、暗号化解除された状態のデータにアクセスできると想定する必要があります。

Answer

あなたが尋ねていることは不可能です。システムに SSH で接続するには、システムがすでに起動している必要があり、起動するには、すでに暗号化されている必要があります。これは、暗号化されたデバイスすべてに当てはまります。電話、コンピューター、タブレット、違いはありません。デバイスが暗号化されている場合は、起動時にキー (多くの場合、パスワード、PIN、またはパターン) を入力してデバイスを暗号化し、起動できるようにする必要があります。暗号化解除パスワードを入力するとすぐに、データは暗号化解除された状態になります。その時点でシステムにアクセスできる人は誰でも、暗号化解除された状態のデータにアクセスできると想定する必要があります。

Question 2

initramfs で事前に ssh サーバーを用意することは可能ですが、この小さな部分は暗号化されません。あなたの考えは間違っていません。結局のところ、復号化キーを要求するソフトウェアがあります。dropbear-initramfs プロジェクトは、起動用に暗号化されたルートファイルシステムをマウントする前に ssh を提供できます。すぐに使えるソリューションは知りませんが、safeboot.dev はかなり近いので、スキルがあればこれを Metal で動作させることができるかもしれません。
Amazon や他のクラウドプロバイダーによるスヌーピングを防止するというユースケースは、これで実際に阻止されるわけではありません。ハードウェアは存在しますが、CPU と準同型暗号化の進歩により、ソフトウェアが追いつき、クラウドプロバイダーが保存中、メモリ内、さらには処理中のデータを見ることができない安全なエンクレーブを提供しています。Golem プロジェクトを参照してください。現時点ではまだ実現できませんが、すぐに実現できるようになります。「ハードディスク上のすべてのプロセスが暗号化された状態で実行されます」ただし、実装方法がわかれば、ルートファイルシステムを復号化する前にドロップベア SSH を技術的に実行できます。

Answer

initramfs で事前に ssh サーバーを用意することは可能ですが、この小さな部分は暗号化されません。あなたの考えは間違っていません。結局のところ、復号化キーを要求するソフトウェアがあります。dropbear-initramfs プロジェクトは、起動用に暗号化されたルートファイルシステムをマウントする前に ssh を提供できます。すぐに使えるソリューションは知りませんが、safeboot.dev はかなり近いので、スキルがあればこれを Metal で動作させることができるかもしれません。
Amazon や他のクラウドプロバイダーによるスヌーピングを防止するというユースケースは、これで実際に阻止されるわけではありません。ハードウェアは存在しますが、CPU と準同型暗号化の進歩により、ソフトウェアが追いつき、クラウドプロバイダーが保存中、メモリ内、さらには処理中のデータを見ることができない安全なエンクレーブを提供しています。Golem プロジェクトを参照してください。現時点ではまだ実現できませんが、すぐに実現できるようになります。「ハードディスク上のすべてのプロセスが暗号化された状態で実行されます」ただし、実装方法がわかれば、ルートファイルシステムを復号化する前にドロップベア SSH を技術的に実行できます。

SSHまでディスクを暗号化したままにする

答え1

答え2

関連情報