Шифрование диска (Full Disk Encryption, FDE) — криптографическая защита данных на уровне блочного устройства или файловой системы. Без правильного ключа или пароля содержимое диска — нечитаемый набор байтов. Защищает от кражи физического носителя, несанкционированного доступа при выключенном сервере.
LUKS (Linux Unified Key Setup)
Стандарт шифрования дисков в Linux на основе dm-crypt:
# Создать зашифрованный раздел
cryptsetup luksFormat /dev/sdb1
# Открыть зашифрованный раздел
cryptsetup luksOpen /dev/sdb1 encrypted_data
# Создать ФС на расшифрованном устройстве
mkfs.ext4 /dev/mapper/encrypted_data
# Монтировать
mount /dev/mapper/encrypted_data /mnt/data
# Добавить ключевой файл
cryptsetup luksAddKey /dev/sdb1 /root/keyfileАлгоритмы
LUKS2 (рекомендуется с 2018) использует AES-XTS-256 по умолчанию. Argon2id (PBKDF) — защита от брутфорса пароля. VeraCrypt (преемник TrueCrypt) поддерживает скрытые тома.
Ограничения
FDE защищает данные в покое (at rest). Не защищает: атаки на работающую систему, Evil Maid Attack (замена загрузчика), утечку ключей через RAM (Cold Boot Attack), атаки через открытые сетевые сервисы.
История
TrueCrypt — первый популярный открытый FDE (2004–2014). LUKS — Clemens Fruhwirth, 2004. TrueCrypt закрылся в 2014 году при загадочных обстоятельствах. VeraCrypt форкнут в 2013 году. BitLocker появился в Windows Vista (2007). FileVault — macOS X 10.3 (2003).
Связь с хостингом
Шифрование диска важно для VDS с конфиденциальными данными (персональные данные, 152-ФЗ, GDPR). При передаче физического сервера или замене диска без FDE данные могут быть скомпрометированы. Облачные провайдеры (AWS, VK Cloud) предлагают шифрование EBS/дисков на уровне инфраструктуры.
История шифрования дисков
DES (Data Encryption Standard) принят NIST в 1977 году. Первая реализация шифрования жёсткого диска — BestCrypt (1993). TrueCrypt — популярный open-source инструмент (2004-2014), прекратил развитие после аудита. dm-crypt — модуль ядра Linux, появился в 2.6.6 (2004). LUKS (Linux Unified Key Setup) — стандарт для шифрования томов Linux, версия 1.0 в 2005 году, LUKS2 в 2018 году. BitLocker интегрирован в Windows Vista (2007). FileVault 2 для macOS — в OS X Lion (2011). AES-256 — стандартный алгоритм шифрования, одобрен NIST.
Типы шифрования дисков на серверах
| Метод | Уровень | Инструмент |
|---|---|---|
| Full Disk Encryption (FDE) | весь диск | LUKS/dm-crypt, BitLocker |
| Volume encryption | раздел/том | LUKS, VeraCrypt |
| File-level encryption | файл/папка | eCryptfs, GnuPG |
| Database TDE | данные БД | MySQL TDE, PostgreSQL pgcrypto |
Практическое применение на хостинге
Шифрование бэкапов перед отправкой в облако — стандарт безопасности. Для VPS с персональными данными пользователей шифрование разделов с данными защищает от физического доступа к диску. На управляемых хостингах провайдер может предоставить шифрование на уровне Storage Backend (прозрачное для пользователя).
Типичные ошибки
- Шифрование системного раздела без автоматической разблокировки (TPM) — сервер требует ручного ввода пароля при каждой перезагрузке.
- Потеря LUKS-заголовка — невозможно расшифровать данные. Всегда создавайте
cryptsetup luksHeaderBackup. - Слабый пароль шифрования нивелирует преимущества AES-256.