RasPiによる宅内サーバーとデータ保護

RasPiを使って宅内サーバーを建てる場合、廃棄時のリスクを考えてデータボリュームを暗号化したい。RasPiのボリューム暗号化はそれ自身がチャレンジだが、復号キーの保管法についてはさらにハードルが上がる。

復号キーは

• タンパーレジストなストレージに保存する。
• RasPi サーバーの外部に置く。

のいずれかが好ましく、後者についてはさらに

• 復号化キーを持ったカーネルを別の宅内サーバーからリモートブートする。
• ブートローダーが別の宅内サーバーから復号化キーを取得する。

といった方法も考えられる。宅内サーバーが余分に必要だが、後者に関してはブート時だけであることを考えれば、VMWare上に構築するなどしてもいい。

いずれも面倒な方法となる。考えているうちに

「Intel N100のミニPCにBitlocker暗号化したWindow上を設定し、そのうえでサーバーを走らせた方が楽」

という結論になりがち。

Ubuntu 23.10 DesktopからTPMベースのFDEに実験的に対応しているようなので、Ubuntu 26.04 ServerあたりからはTPMベースのFDEに対応するかも。