Można użyć modułu TPM i np. karta (dostęp do TPM-a) leży na komputerze. Wyjęcie dysku powoduje brak dostępu do TPM-a (brak klucza). Kradzież komputera powoduje, iż np. karta spada i ktoś jej nie bierze (cienkie to - ale można). Inny pomysł to przyklejenie karty do jakiegoś wysięgnika (szafy), którego nie można zabrać:

https://wiki.archlinux.org/index.php/Trusted_Platform_Module

Ta opcja jest dość sensowna:

"

• ściąganie klucza do szyfrowania poprzez sieć, na etapie bootowania. Wada - wymaga to dostępu do sieci, ewentualnie rozsądnego "planu B" z ponowieniem próby odszyfrowania.

"

Jednak troszkę bym zmodyfikował ten pomysł. Mianowicie, ja bym postawił partycję z systemem i nie szyfrował jej tak, aby system bez problemu mógł wystartować, zaszyfrowałbym partycję z wrażliwymi danymi. To by rozwiązało chociaż problem wstawania serwera bez sieci itp.

Kolejny etap to rozszyfrowanie. Problem w tym, że jeśli użyjesz takiej opcji jak piszesz, że klucz będzie dostępny z Internetu, to nawet jeśli będzie pobierany za pomocą ssh (autoryzacja kluczem), to ktoś kto uzyska dostęp do tego dysku sam będzie mógł sobie ten klucz bez problemu pobrać. Dlatego autoryzacja musiałaby następować ze zdalnego serwera posiadającego klucz do maszyny do rozszyfrowania (ssh). Skrypt w jakimś scronie łączący się po ssh i sprawdzający, czy udział jest podmontowany, jak nie - to podmontowuję z kluczem.