PEFS
é provavelmente a melhor solução para o FreeBSD. Mais informações podem ser encontradas aqui: link
Além disso, há uma entrevista com o autor do PEFS aqui: link
Existem especialistas em criptografia que estão preocupados em usar Full Disk Encryption (FDE) em plataformas * nix devido à superfície de ataque exposta devido à engenharia reversa do algoritmo de criptografia ao olhar para arquivos * comuns do sistema operacional de tamanho e soma de verificação conhecidos. Ainda não encontrei nenhuma técnica de ofuscação para contornar essa superfície de ataque e, portanto, estou pensando em descartar o FDE como estratégia.
Atualmente estou pesquisando apenas usando criptografia em nível de usuário, como PEFS (FreeBSD) ou EncFS (* nix).
Supondo que não há uma boa solução em torno da superfície de ataque FDE size / checksum, quais estratégias para a criação de sistemas devem ser implementadas para garantir que os artefatos de segurança sejam mantidos seguros se um hacker entrar em contato com o hardware físico? desligado ou bloqueado?
Outra opção seria usar a criptografia de dispositivo de bloco geli em um arquivo montado como um disco através do driver md usando um suporte de vnode.