Зашифрованный бэкап в облаке: офшорный VPS Anubiz Host

Правильно построенный бэкап защищён шифрованием на нескольких уровнях. Первый уровень - шифрование на стороне клиента до загрузки. Restic шифрует каждый файл AES-256 c уникальным ключом, выводимым из пользовательского пароля через scrypt. Borg использует AES-256-CTR с HMAC-SHA256 для аутентичности. Duplicati применяет AES-256 с PBKDF2. Cryptomator или gocryptfs делают то же самое поверх любого облачного диска, шифруя имена файлов и содержимое. Второй уровень - шифрование в транспорте: TLS 1.3 для S3, REST и WebDAV, SSH-канал для SFTP и Borg. Третий уровень - шифрование диска VPS через LUKS: даже физический доступ к носителю не даёт прочитать данные без парольной фразы или ключа TPM. Четвёртый уровень - шифрование backup-target через rclone crypt, если основное хранилище в свою очередь лежит в чужом облаке. Каждый слой добавляет защиту против разных типов угроз: компрометация диска, перехват трафика, конфискация оборудования, утечка ключа одного из компонентов.

Шифрование защищает данные только при правильном управлении ключами. Главная ошибка - хранить пароль бэкапа на той же машине, что и сам бэкап или его источник. Если основная машина скомпрометирована, атакующий получает и данные, и ключ к бэкапу. Правильная схема разделяет хранение. Парольная фраза бэкапа хранится в офлайн-менеджере паролей (KeePassXC на отдельной флешке, аппаратный кошелёк Trezor с PIN, бумажная копия в сейфе). LUKS-ключ диска VPS вводится вручную при старте сервера, либо хранится в TPM с PCR-привязкой к компонентам прошивки. Unseal keys Vault разделены через Shamir's Secret Sharing между несколькими доверенными людьми или местами. Anubiz Host рекомендует не хранить никаких критичных ключей в самом VPS и не вводить парольные фразы через незащищённые каналы. Регулярная проверка восстановления бэкапа с использованием сохранённых ключей подтверждает, что схема рабочая и в случае реального инцидента восстановление пройдёт без сюрпризов.

Шифрование защищает данные технически, но юрисдикция определяет, кто и как может потребовать их раскрытия. Серверы Anubiz Host в Исландии и Румынии находятся вне альянсов 14 Eyes и 9 Eyes, имеют независимое законодательство и судебную систему. Исландия известна одной из самых строгих защит свободы прессы и приватности в Европе. Румыния входит в ЕС, но имеет репутацию страны, лояльной к приватному хостингу. В обоих случаях Anubiz Host не передаёт данные третьим лицам без судебного решения соответствующей юрисдикции и не хранит KYC-данных, которые могли бы быть запрошены. При этом важно понимать: даже под давлением суда местной юрисдикции Anubiz Host физически не может выдать расшифрованные данные, потому что ключи остаются у клиента. В худшем случае возможна конфискация диска, но без ключа содержимое останется зашифрованным AES-256. Эта схема даёт реальную, а не декларативную приватность, что отличает офшорный шифрованный бэкап от красивых маркетинговых обещаний публичных облаков.