SSH 연결이 이루어질 때까지 내 하드 드라이브에서 전체 디스크 암호화를 사용할 수 있는지 궁금합니다. 하드 디스크의 모든 프로세스는 암호화된 상태에서 실행됩니다. 즉, 서버는 웹 사이트와 같은 적절한 채널을 통해 암호화되지 않은 일반적인 내용을 계속 출력합니다.
제가 막고 싶은 것은 Amazon이나 다른 소규모 회사와 같은 회사가 하드 드라이브를 물리적으로 분석하여 내 데이터에 액세스하는 것입니다. 원격 공격자가 아니라 디스크를 소유한 사람입니다. 대신 개인 우분투 서버를 설정하는 것을 의미하더라도 이것이 가능한지 궁금합니다.
답변1
문의하신 내용은 불가능합니다. 시스템에 SSH로 접속하려면 이미 부팅되어 있어야 하며, 부팅하려면 이미 암호가 해독되어 있어야 합니다. 이는 모든 암호화된 장치에 해당됩니다. 휴대폰, 컴퓨터, 태블릿 등은 아무런 차이가 없습니다. 장치가 암호화된 경우 부팅할 때 장치의 암호를 해독하려면 부팅 시 키(종종 비밀번호, PIN 또는 패턴)를 입력해야 합니다. 암호 해독 비밀번호를 입력하자마자 데이터는 암호 해독된 상태가 됩니다. 해당 시점에 시스템에 액세스할 수 있는 사람은 누구나 해독된 상태의 데이터에 액세스할 수 있다고 가정해야 합니다.
답변2
이는 initramfs에서 미리 SSH 서버를 갖는 것이 가능하지만 이 작은 부분은 암호화되지 않습니다. 당신의 생각이 틀리지 않았습니다. 결국 당신의 암호 해독 키를 묻는 소프트웨어가 있기 때문입니다. dropbear-initramfs 프로젝트는 부팅을 위해 암호화된 루트 파일 시스템을 마운트하기 전에 ssh를 제공할 수 있습니다. 나는 즉시 사용 가능한 솔루션에 대해 알지 못하지만 safeboot.dev는 상당히 가깝기 때문에 숙련된 경우 금속에서 이 작업을 수행할 수 있습니다.
Amazon 또는 기타 클라우드 제공업체의 스누핑을 방지하는 사용 사례는 이로 인해 실제로 중단되지는 않습니다. 하드웨어는 존재하지만 소프트웨어는 CPU 및 동형 암호화의 발전 덕분에 클라우드 공급자가 미사용 데이터, 메모리 또는 처리 중인 데이터를 볼 수 없는 안전한 영역을 제공하기 위해 따라잡고 있습니다. 골렘 프로젝트를 참조하세요. 현재로서는 이것이 가능하지 않지만 곧 다음과 같이 될 것입니다: "하드 디스크의 모든 프로세스가 암호화되어 실행됩니다." 그러나 구현 방법을 알아낼 수 있다면 루트 파일 시스템의 암호를 해독하기 전에 기술적으로 dropbear SSH를 수행할 수 있습니다.