Ho svolto ricerche sulla crittografia su disco / file system e, in superficie, mi sembra una buona idea per molte cose. Ma mentre approfondisco, la sicurezza che offre sembra più miraggio che reale.
Ad esempio, sembra che non abbia molto senso crittografare i tuoi file system in un data center da qualche parte, perché i dipendenti devono avere un accesso fisico al sistema per fare backup, sostituendo l'hardware fallito, che genere di cose. E se il server si riavvia, è necessario fornire con la chiave / passphrase per l'avvio. Se non glielo dai, probabilmente devi capire come ssh in o qualcosa da fornire, che è a) un PITA, e b) non è comunque sicuro, poiché se possono accedere fisicamente alla macchina potrebbero teoricamente leggere la memoria e la chiave ecc.
Se qualcuno esegue l'accesso tramite la rete, non importa che i tuoi dati siano crittografati perché se qualcuno ha root vedrà un testo in chiaro. Quindi mi sembra che sarebbe più utile fare uno sforzo per trovare un data center con persone / sicurezza di cui ti fidi, o ospitarlo tu stesso se sei un paranoico. Crittografare un filesystem su un sistema su cui non hai il controllo fisico mi sembra sicuro quanto il DRM e per ragioni simili.
Laddove la crittografia del file system sembra avere un senso è quella di archiviare i backup: se si memorizzano in più sedi fuori sede, potrebbe non essere possibile fidarsi di loro, quindi la crittografia sarebbe gradita. Se hai archiviato i backup delle chiavi e dei pass-frasi in aree diverse, potrebbe comunque valere la pena farlo perché è molto più facile nascondere una chiave USB piuttosto che nascondere un HDD o un nastro.
Un'altra area che sembra avere un senso è in un laptop. Mantenere una chiavetta USB sulla tua persona insieme a un'unità crittografata sul tuo portatile sarebbe una buona sicurezza se il portatile venisse rubato. Non lasciare mai che il portatile fuori dalla tua vista sia quasi altrettanto buono.
Se controlli la sicurezza fisica e hai accesso alla macchina (ad esempio server, workstation o desktop a casa, ad esempio), potrebbe essere una buona idea crittografare. Anche in questo caso, controllare e proteggere una chiave USB è molto più semplice che proteggere un computer.
Queste sono le conclusioni cui sono giunto fino ad ora, ma c'è una buona possibilità che io trascuri qualcosa - ed è per questo che ho pensato di chiedere qui. Pensieri? Essere d'accordo? Non sono d'accordo?