我想知道在建立 SSH 连接之前是否可以对我的硬盘使用全盘加密。硬盘上的所有进程都将在加密下运行,即服务器仍将通过适当的渠道(例如网站)输出正常的未加密内容。
我想阻止像亚马逊或其他小公司这样的公司通过物理分析硬盘来访问我的数据 - 不是远程攻击者,而是拥有磁盘的人。即使这意味着要设置个人 ubuntu 服务器,我想知道这是否可行?
答案1
您所要求的是不可能的。要通过 SSH 进入系统,系统必须已经启动,而要启动,系统必须已经解密。对于任何加密设备都是如此。手机、电脑、平板电脑,没有区别。如果设备已加密,则必须在启动时输入密钥(通常是密码、PIN 码或图案)来解密设备,以便启动。输入解密密码后,您的数据将处于解密状态。应该假设此时有权访问系统的任何人都可以访问处于解密状态的数据。
答案2
在 initramfs 中可以预先有一个 ssh 服务器,但这一小部分不会被加密。你的想法并没有错,毕竟有些软件会提示你输入解密密钥。dropbear-initramfs 项目可以在安装加密的根文件系统进行引导之前提供 ssh。我不知道有没有现成的解决方案,但 safeboot.dev 相当接近,所以如果你熟练的话,也许你可以在 metal 上使用它。
您阻止亚马逊或其他云提供商窥探的用例实际上不会因此而停止。硬件存在,但软件正在迎头赶上以提供安全区域,由于 CPU 和同态加密的进步,您的云提供商无法看到您的静态数据、内存数据甚至处理数据。请参阅 Golem 项目。目前这还不可能,但很快就会实现:“硬盘上的所有进程都将在加密下运行”但是,如果您能弄清楚如何实现它,您可以在解密根文件系统之前执行 dropbear SSH。