Šifrování at rest chrání data proti fyzickému přístupu k disku nebo databázi. Compliance requirement i zdravý rozum.

Vrstvy šifrování¶

• Full Disk Encryption: LUKS, BitLocker, FileVault
• File/Volume: dm-crypt, VeraCrypt
• Database: TDE (Transparent Data Encryption)
• Application-level: Šifrování v kódu před uložením
• Cloud: AWS KMS, Azure Key Vault, GCP KMS

LUKS — Linux¶

Encryption at Rest — Encrypting Stored Data¶

cryptsetup luksFormat /dev/sdb cryptsetup luksOpen /dev/sdb encrypted_disk mkfs.ext4 /dev/mapper/encrypted_disk

Application-level¶

from cryptography.fernet import Fernet key = Fernet.generate_key() # Uložit v KMS! f = Fernet(key) encrypted = f.encrypt(b”citliva data”) decrypted = f.decrypt(encrypted)

Key Takeaway¶

Šifrujte data na všech vrstvách — disk, databáze, aplikace. Klíče v KMS, nikdy vedle dat.