Bueno, hay un viejo dicho de Microsoft (lo sé, no el mejor fuente de seguridad) que dice:
Ley # 3: si un malvado tiene acceso físico sin restricciones a tu computadora, ya no es tu computadora.
¿Y por qué es eso aplicable a su caso? Porque si tiene suficiente criptografía, su disco duro está seguro si alguien lo roba. Pero si la persona puede tener acceso a sus chips de RAM inmediatamente después de apagar su servidor, puede intentar recuperar las claves en el escenario que acaba de decir.
El almacenamiento de las claves en el caché de la CPU lo minimizaría, como dijiste, pero los datos sin cifrar aún podrían estar disponibles en los chips de RAM.
¿Y qué pasa si él tiene acceso a su computadora antes de que la encienda? ¿Está considerando la protección física antes de arrancar? de lo contrario, el malo puede crear una pantalla de inicio de sesión falsa y capturar su contraseña incluso si todo su sistema está cifrado. O puede adjuntar algunos keylogger. O puede adjuntar algún dispositivo y clonar sus chips de RAM desde el principio. O él puede cambiar su BIOS y hacer eso también. O ... bueno, eche un vistazo al catálogo de la NSA, por ejemplo, para tener algunas ideas del posible ataque.
Entonces tu computadora tiene que estar físicamente segura. Y con eso, significa que no solo el acceso físico debe ser difícil (por ejemplo, si se le da suficiente tiempo para que desaparezca el contenido de la RAM), sino también que no puede capturar la radiación magnética de la CPU o la placa base o el teclado, ni ruidos Imágenes de usted escribiendo o moviendo el mouse.
Si realmente necesita ese nivel de seguridad que para eliminar los chips de memoria RAM de su computadora, probablemente necesite más seguridad de la que espera.
Actualizar
Después de tu comentario:
Quiero protección para que los datos de mis clientes no puedan recuperarse físicamente del servidor mientras se está ejecutando, solo se haya apagado recientemente o se haya apagado por un tiempo.
Creo que puedo ampliar un poco mi respuesta, solo pensando en este aspecto físico.
- Para proteger sus datos después de que su servidor se apague por un tiempo:
El cifrado es tu amigo. Si alguien saca un HDD que está cifrado con un algoritmo fuerte y una contraseña segura, tomará una fuerza bruta para atacarlo por siempre.
Puntos a considerar:
a) todo el cifrado del disco requiere que usted o algún programa "escriba" la contraseña al montarla. Si eres tú, tendrás que estar disponible para encenderlo cada vez. Si es un programa, dónde almacenar la clave
b) cifrar solo datos / carpetas, existe el mismo problema "dónde almacenar la clave para activarlo".
- Para proteger los datos después de que el servidor se apagó recientemente o durante la ejecución:
Mientras se ejecuta, necesitaría que la ruta entre HDD - RAM - CPU esté encriptada, como lo explica la respuesta de Thomas Pornin, y que no conozco ningún servidor con una CPU capaz de hacerlo. Y debería preocuparse por la compatibilidad con algunos periféricos, ya que PCI, PCI Express, FireWire, etc., confían en DMA para acelerar las cosas. Por lo tanto, podría tener problemas de rendimiento.
Una forma más fácil de evitar eso es, bueno, proteger físicamente su servidor. Como en una habitación segura, donde el servidor se apaga y se calienta a cierta temperatura (para evitar que alguien le robe los chips de memoria RAM). O incluso destruir chips con picos de explosión o voltaje controlados. Cualquier cosa que haga que sea más difícil para alguien entrar e irse con su servidor bajo sus brazos.
Y, por supuesto, todo esto deja de lado el hecho de que muchos ataques se pueden hacer de forma remota, sin ninguna presencia física, solo usando software, etc.