Festplatte bis zum SSH verschlüsselt halten

Was Sie verlangen, ist nicht möglich. Um per SSH auf das System zuzugreifen, muss es bereits gestartet sein, und um gestartet werden zu können, muss es bereits entschlüsselt sein. Dies gilt für jedes verschlüsselte Gerät. Telefone, Computer, Tablets, es macht keinen Unterschied. Wenn das Gerät verschlüsselt ist, müssen Sie beim Booten einen Schlüssel (häufig ein Passwort, eine PIN oder ein Muster) eingeben, um das Gerät zu entschlüsseln, damit es hochfahren kann. Sobald Sie Ihr Entschlüsselungspasswort eingeben, sind Ihre Daten entschlüsselt. Es sollte davon ausgegangen werden, dass jeder, der zu diesem Zeitpunkt Zugriff auf das System hat, auf die Daten im entschlüsselten Zustand zugreifen kann.

1. Es ist möglich, in initramfs vorab einen SSH-Server einzurichten, aber dieser kleine Teil wird nicht verschlüsselt. Sie haben sich in Ihrer Annahme nicht geirrt, schließlich gibt es eine Software, die Sie nach Ihrem Entschlüsselungsschlüssel fragt. Das Projekt dropbear-initramfs kann SSH bereitstellen, bevor Ihr verschlüsseltes Root-Dateisystem zum Booten gemountet wird. Mir ist keine sofort einsatzbereite Lösung bekannt, aber safeboot.dev kommt dem ziemlich nahe, also können Sie das vielleicht auf Metal zum Laufen bringen, wenn Sie über entsprechende Kenntnisse verfügen.

2. Ihr Anwendungsfall, das Schnüffeln von Amazon oder anderen Cloud-Anbietern zu verhindern, wird dadurch nicht wirklich gestoppt. Die Hardware ist vorhanden, aber die Software holt auf und bietet sichere Enklaven, in denen Ihr Cloud-Anbieter Ihre Daten dank Fortschritten bei CPUs und homomorpher Verschlüsselung weder im Ruhezustand noch im Speicher oder sogar während der Verarbeitung sehen kann. Siehe das Golem-Projekt. Derzeit ist dies NOCH NICHT möglich, wird es aber bald sein: „Alle Prozesse auf der Festplatte würden verschlüsselt ausgeführt.“ Technisch können Sie jedoch Dropbear SSH ausführen, bevor Sie das Root-Dateisystem entschlüsseln, wenn Sie herausfinden, wie Sie es implementieren können.