Как использовать вывод процедур шифрования openssl в конвейере?

Чтобы защитить ваши данные от физического доступа к серверу, вам необходимо хотя бы частично перенести шифрование / дешифрование с сервера. Если ваш сервер может загружаться и монтировать свои зашифрованные разделы без внешней помощи, то он уязвим.

Если вас интересует только физическое удаление, включая перезагрузку сервера, то шифрование диска может быть достаточным, если ключ шифрования хранится вне сервера; например, с использованием сетевого шифрования (сервер разблокировки ключей где-то еще в сети, например Tang and Clevis ) или, как предлагалось grochmal , ключ, вводимый вручную при загрузке (но в в последнем случае ваш сервер не будет загружаться без присмотра, что может быть значительным неудобством).

Если вы заботитесь о физическом доступе в целом, вам следует выполнить шифрование и дешифрование, используя информацию, хранящуюся на клиентах, например, используя pgcrypto , или даже выполнять шифрование и дешифрование исключительно на клиентах, закодированных в вашем клиентском приложении. В этих случаях зашифрованные данные больше не могут использоваться в запросах, если вы не реализуете гомоморфное шифрование . Здесь есть немало тонкостей, например, с представлением данных (в частности, NULL значения), поэтому вам, вероятно, следует поговорить со специалистом по безопасности (не изобретая заново колесо ...).