Как защитить свои данные

[icoz]

А электричество вырубается, когда открываешь дверь в серверную? А что насчет coldboot-атаки?

[icoz]

Тогда уж, если сервер без введенного пароля, то заходи кто хочет. А вот после ввода… уже по вашему сценарию. :)

[bya]

Читайте внимательно, наверху написано
«Изучение винчестеров должно показать обычную систему, т.е. ничего и еще большой не отформатированный кусок винчестера»
Да и из кода понятно должно быть.

[icoz]

Ну про неотформатированный — это вы загнули. LUKS все-таки имеет определенный формат. Так что сам факт шифрования вы не скрыли. И мой вопрос связан с ситуацией захвата сервера включенного со введенным паролем. В этом случае есть полный доступ ко всем данным, ибо ключ есть в ОЗУ.
Дорого, конечно, но не невозможно.

[icoz]

Вообще странная у вас модель. Вы данные от себя прячете. Ведь если ваш удаленный человек под трамвай попадет, то вы без информации останетесь…
Может опишете поподробнее ваш use case.

[bya]

Статья посвящена, как не дать доступ к данным при физическом изъятии сервера (из розетки то нужно будет выдернуть) при котором даже не будет ясно, хранили ли на нем что-нибудь. Вопрос сохранения копий и паролей можно решить многими способами и в статье это не обсуждается.

[blind_oracle]

А зачем прятать-то? От терморектального криптоанализа что-ли?

В нашей стране, если взять за данность исполнение закона, еще не могут заставить свидетельствовать против себя, в отличии от той же Англии, где ты не можешь отказаться ввести пароль от криптоконтейнера.

Была какая-то история, когда из-за записи белого шума с телескопа там какого-то товарища хотели посадить, инкриминируя ему что это криптоконтейнер и требовали пароль. Чем закончилась — не знаю.

А так на деле ваша система скроет наличие контейнера только от дуболомов, а любой понимающий увидил образ и LUKS-заголовки в нём.

[Spewow]

Лучше, чтобы у этого надежного человека в другой стране так-же и сервер стоял.

Бэкап сверхсекретных данных как реализован?