Но каков шанс у атакующего скрутить сразу всех носителей секрета

сценарий из Элементарно кажется, там их просто по тихому травили йадом после вычисления личностей.
наверное нужно дополнить, для понимания сценария.
если «грохнуть» критическую массу носителей секрета, то информационная система станет не доступна никому.
или будет инициализирован процесс монопольного получения доступа, где тебя и примут.

SAN с шифрованными дисками. На эти шифрованные диски писать разделы с шифрованием. Серверы в одном ДЦ с SAN не размещать. Шифрование для каждого сервера своё, на локальных дисках только бут. Устройств SAN несколько, в страйпе, чтобы полного набора данных не было ни на одном.

Таким образом, чтобы спереть много данных, надо будет спереть более 1 SAN и более 1 сервера разом, причём именно спереть целиком, от вскрытия или утаскивания 1-2 дисков смысла никакого.

Да, устройства SAN в разных ДЦ, серверы тоже. Стоить это будет фигову тучу бочек нефти, конечно...

Запаять.

> Разместить внутри ручную гранату не вариант )

Корабельный гудок

Прошу прощения, но если мы разделили секрет по схеме Шамира и грохнули критическую массы то нам остается только перебирать точки по прямой. Их там бесконечно! Мы соснуле! Какой, к черту, процесс монопольного доступа!?

Мы соснуле!

в Elementary s05e06 речь шла про ICANN, на основе реалстори о семи кейхолдерах — http://www.businessinsider.com/the-internet-is-controlled-by-secret-keys-2016-10
чего там хотел злоумышленник уже не помню, надо пересматривать, но у него точно был план как не соснульнуть.

если «грохнуть» критическую массу носителей секрета, то информационная система станет не доступна никому.

У меня ноды страхуют друг друга, если кого-нить грохнешь, то его ключ моментально будет заменен. Поэтому, чтобы система стала не доступна никому, нужно еще вычислить кто кого страхует. И опять приходим к тому, что «грохать» нужно под сотню нод по всему земному шарику, причем определенных, а не выбранных рандомом.

Если не секрет, то поведай, пожалуйста, предметную область.

Спасибо за наводку на сериальчик, который на первый взгляд выглядит годно.

Предметная область связана с криптой, но детали пока не хочу раскрывать это пока сырая идея, обдумываю её в голове, как что-то созреет определенное выложу на обсуждение, в том числе и на лоре.

TPM нужен, чтобы там ключи хранить.

ещё так можно защитить конфигурацию компьютера от изменений, если второй жёсткий диск всунут, то биос через tpm некие хэш суммы неправильно посчитает и не сможет получить ключи для расшифровки.

наверное можно написать efi модуль, чтобы грузил с шифрованного boot.

Сам TPM умеет шифровать, но не очень быстро.

Как я помню, можно грубо говоря хранить приватный ключ в TPM и просить TPM расшифровать блочный ключ, передавая ему этот блочный ключ в шифрованном виде. Сам приватный ключ никогда TPM не покидает.

Я простого не просил. Как минимум можно стереть данные запитавшись от внутреннего аккумулятора, когда потеряно интернет соединение.

То есть упал интернет у хостера на несколько минут и привет данным?

Кто будет контролировать контролирующих?

Ты сам в конечном итоге. Если же такое тотальное недоверие, то задача вообще не решается. При большом желании и больших ресурсах что угодно может быть с данными.

Чем это поможет снятию дампа оперативки на работающем сервере?

Тем что, если нет явных уязвимостей к втыканию внешних устройств, просто так этот дамп не снять. То есть это все же защита против простого сценария с выниманием из обесточенного сервера дисков.

В свое время в humor.filtered попал кусок аналогичного топика. Обменивались люди опытом, и кто-то написал «А у нас в банке в серверной сидит человек с винчестером. Его единственная функция - по команде или при несанкционированном проникновении стрелять туда, где на корпусе напротив винчестера фломастером нарисовано красное пятно» )

А по теме - можно конечно навесить микриков и фотодиодов на вскрытие, присовокупив внутрикорпусной ups. Здоровую паранойю это должно успокоить, нездоровой всего будет мало.

Но правильно такие вещи решаются по другому. Информация хранится не в одном месте, какой бы секретной она ни была, а по принципу шифрованного распределенного raid. Гуглите RAIC, BRIC, Tahoe-LAFS. Враг должен будет получить доступ к большинству серверов, среди которых могут быть и забугорные облачные.

шифрованного распределенного raid

Приватные ключи по кластеру не размажешь.

Враг должен будет получить доступ к большинству серверов, среди которых могут быть и забугорные облачные

Здесь паранойя 80-го уровня, подразумевается, что выручка оправдает затраты получить доступ к распределенному кластеру по всему миру. Поэтому врагу по максимуму усложняется доступ к распределенному кластеру.

+100500

Далее тебя скручивают два не слишком социально ответственных типчика, привозят в грязный подвал с батареей, приковывают к ней. Достают инструмент анального криптоанализа (в простонародье паяльник).

Причем я бы не советовал уничтожать данные безвозвратно типа что и сам уже ничего не можешь.... эти «социально ответственные типчики» все равно не поверят и «инструмент анального криптоанализа (в простонародье паяльник)» таки начнет действовать. А оно надо? Причем остановить сие действо то не сможешь, мосты сожжены. А так, чистосердечное, сотрудничество со следствием... или вы имеете виллу на лазурном берегу и вам есть за что жарить свой анал?

Есть разные варианты.

Например, быть впереди...

Или перейти в игре на другой уровень...

Или сменить игру...

Вроде диски шифруются внутри в любом случае и есть команда сброса ключа.

а зачем такое щепетильное отношение к уничтожению данных?

Мне кажется там совсем не правильные данные хранятся если есть потребность их полностью уничтожать?

Ну и сверло ж не вариант - просверлит - процарапает первый блин, на остальных блинах просто дырку оставит. Всего что не каснулось сверло - восстановимо.

Более того простая затирка в один проход - тоже есть вероятность восстановить данные.

Так что лучше не хранить то что нужно так уничтожать

сотни вариантов
пластиковый корпус со статическим электричеством(и сигнализацией от этого)
банальные датчики движения и массы и лазерные датчики на стенках
электро магнитные волны в экранированной коробке(любое отверстие прпустит) и датчик снаружи/внутри если снаруже пускать
черная коробка датчик света
распаралелить данные на 1005000 серверов по всему миру

все упирается в бабло, былоб бабло тыб не думал а поручил и тебе сделалиб, а так очередной теоретизм на лоре

(если ты неуловимый джо, то лучше лечись а не фигней страдай)

Более того простая затирка в один проход - тоже есть вероятность восстановить данные.

чтоб восстановить данные с блина(диска ЖД) нужно знать метод записи данных на диск который в каждом(буквально) диске каждой модели разный, и прошивок дисков ни 1 нет в опенсурсе

угадай на сколько лет затянется вся бюракратия и сколько нефтедолларов будет стоить по получению всего что нужно от производителя диска

про ССД аналогично-там еще больший «черный ящик» чем ШДД

вобщем маразм

Читай тему внимательнее, решение найдено, называется AMD SME.

Например, быть впереди...

В каком еще «впереди»? Целая Рашка вон вперде, но телеграм за неделю так и не смогла заблокировать.

Или сменить игру...

С удовольствием, но лететь в консервной банке и в ней же дислоцироваться на Марсе... Считаю это не смена игры.

а зачем такое щепетильное отношение к уничтожению данных?

Например, для p2p данных, если одна нода скомпрометирована, то остальные не должны пострадать.