Mantenga el disco cifrado hasta SSH

Lo que preguntas no es posible. Para ingresar mediante SSH al sistema, ya debe estar iniciado y, para iniciarse, ya debe estar descifrado. Esto es válido para cualquier dispositivo cifrado. Teléfonos, computadoras, tabletas, no hay diferencia. Si el dispositivo está cifrado, debe ingresar una clave (a menudo una contraseña, PIN o patrón) en el momento del inicio para descifrar el dispositivo y que pueda iniciarse. Tan pronto como ingresa su contraseña de descifrado, sus datos estarán en un estado descifrado. Se debe suponer que cualquier persona que tenga acceso al sistema en ese momento tendrá acceso a los datos en su estado descifrado.

1. Es posible en initramfs tener un servidor ssh de antemano, pero esta pequeña parte no estará cifrada. No estaba equivocado en su pensamiento, después de todo, hay algún software que le solicita su clave de descifrado. El proyecto dropbear-initramfs puede proporcionar ssh antes de montar su sistema de archivos raíz cifrado para el arranque. No conozco una solución lista para usar, pero safeboot.dev está bastante cerca, por lo que si tiene experiencia, tal vez pueda hacer que esto funcione en metal.

2. Esto no detendrá su caso de uso para evitar que Amazon u otros proveedores de la nube espíen. El hardware existe, pero el software se está poniendo al día para proporcionar enclaves seguros donde su proveedor de nube no puede ver sus datos en reposo, en la memoria o incluso en procesamiento gracias a los avances en las CPU y el cifrado homomórfico. Ver el proyecto Golem. En este momento, esto TODAVÍA no es posible, pero pronto será: "Todos los procesos en el disco duro se ejecutarán, bajo cifrado". Sin embargo, técnicamente puede hacer dropbear SSH antes de descifrar el sistema de archivos raíz si puede descubrir cómo implementarlo.