Mantenha o disco criptografado até SSH

Question 1

O que você está pedindo não é possível. Para entrar no sistema por SSH, ele já deve estar inicializado e, para ser inicializado, já deve estar descriptografado. Isto é verdade para qualquer dispositivo criptografado. Telefones, computadores, tablets, não faz diferença. Se o dispositivo estiver criptografado, você deverá inserir uma chave (geralmente uma senha, PIN ou padrão) no momento da inicialização para descriptografar o dispositivo para que ele possa inicializar. Assim que você insere sua senha de descriptografia, seus dados ficam descriptografados. Deve-se presumir que qualquer pessoa com acesso ao sistema naquele ponto terá acesso aos dados em seu estado descriptografado.

Answer

O que você está pedindo não é possível. Para entrar no sistema por SSH, ele já deve estar inicializado e, para ser inicializado, já deve estar descriptografado. Isto é verdade para qualquer dispositivo criptografado. Telefones, computadores, tablets, não faz diferença. Se o dispositivo estiver criptografado, você deverá inserir uma chave (geralmente uma senha, PIN ou padrão) no momento da inicialização para descriptografar o dispositivo para que ele possa inicializar. Assim que você insere sua senha de descriptografia, seus dados ficam descriptografados. Deve-se presumir que qualquer pessoa com acesso ao sistema naquele ponto terá acesso aos dados em seu estado descriptografado.

Question 2

É possível no initramfs ter um servidor ssh de antemão, mas esta pequena parte não será criptografada. Você não estava errado em seu pensamento, afinal existe algum software solicitando sua chave de descriptografia. O projeto dropbear-initramfs pode fornecer ssh antes de montar seu sistema de arquivos raiz criptografado para inicialização. Não conheço uma solução pronta para uso, mas safeboot.dev está bastante próximo, então se você for habilidoso, talvez consiga fazer isso funcionar em metal.
Seu caso de uso para impedir a espionagem da Amazon ou de outros provedores de nuvem não será interrompido por isso. O hardware existe, mas o software está se atualizando para fornecer enclaves seguros onde seu provedor de nuvem não pode ver seus dados em repouso, na memória ou mesmo em processamento, graças aos avanços nas CPUs e na criptografia homomórfica. Veja o projeto Golem. No momento, isso AINDA não é possível, mas em breve será: "Todos os processos no disco rígido seriam executados, sob criptografia". No entanto, você pode tecnicamente fazer dropbear SSH antes de descriptografar o sistema de arquivos raiz se descobrir como implementá-lo.

Answer

É possível no initramfs ter um servidor ssh de antemão, mas esta pequena parte não será criptografada. Você não estava errado em seu pensamento, afinal existe algum software solicitando sua chave de descriptografia. O projeto dropbear-initramfs pode fornecer ssh antes de montar seu sistema de arquivos raiz criptografado para inicialização. Não conheço uma solução pronta para uso, mas safeboot.dev está bastante próximo, então se você for habilidoso, talvez consiga fazer isso funcionar em metal.
Seu caso de uso para impedir a espionagem da Amazon ou de outros provedores de nuvem não será interrompido por isso. O hardware existe, mas o software está se atualizando para fornecer enclaves seguros onde seu provedor de nuvem não pode ver seus dados em repouso, na memória ou mesmo em processamento, graças aos avanços nas CPUs e na criptografia homomórfica. Veja o projeto Golem. No momento, isso AINDA não é possível, mas em breve será: "Todos os processos no disco rígido seriam executados, sob criptografia". No entanto, você pode tecnicamente fazer dropbear SSH antes de descriptografar o sistema de arquivos raiz se descobrir como implementá-lo.

Mantenha o disco criptografado até SSH

Responder1

Responder2

informação relacionada