Šifrování disku

Paměť vašeho AI agenta obsahuje citlivé informace — konverzace, rozhodnutí, reference na přihlašovací údaje, obchodní logiku. Pokud někdo získá fyzický přístup k hostitelskému stroji, všechna tato data jsou vystavena, pokud nejsou šifrována v klidu. Funkce šifrování disku v UAML zajišťuje, že data vašeho agenta jsou chráněna, i když je hardware kompromitován.

Místo vyžadování šifrování celého disku (které už může být zavedeno nebo je nepraktické dodatečně nasadit) UAML vytváří dedikovaný šifrovaný virtuální disk specificky pro data agenta. To vám poskytuje cílené šifrování s minimální režií a nezávislou správou klíčů.

Jak to funguje

🪟 BitLocker VHD (Windows)

UAML vytvoří soubor Virtual Hard Disk (VHD), naformátuje ho na NTFS a zašifruje pomocí BitLocker s XTS-AES-256 šifrováním. UAML datový adresář je připojen uvnitř tohoto VHD. Disk se automaticky připojí při startu agenta a automaticky zamkne, když agent skončí. Veškerá paměť, embeddingy a session data žijí uvnitř šifrovaného svazku.

🐧 LUKS (Linux)

Na Linuxu UAML vytváří LUKS2 šifrovaný kontejnerový soubor pomocí cryptsetup. Kontejner používá AES-256-XTS s derivací klíče argon2id. Je připojen jako loop zařízení na UAML datové cestě. Platí stejný životní cyklus automatického připojení/zamčení — vaše data jsou šifrována vždy, když agent neběží.

Virtuální disk pro UAML data

Přístup s virtuálním diskem má významné výhody oproti šifrování celého disku. Je přenositelný — šifrovaný VHD/LUKS soubor můžete zálohovat a obnovit na jiném stroji. Je izolovaný — šifrování UAML neinterferuje s vlastním šifrováním vašeho systému. A je cílený — šifrována jsou pouze data agenta, takže nedochází k dopadu na výkon ostatních aplikací.

Virtuální disk je dynamicky dimenzován na základě objemu dat vašeho agenta. Typický agent začíná s 1 GB svazkem, který roste podle potřeby. Maximální velikost je konfigurovatelná a UAML monitoruje využití disku, aby vás varoval před dosažením limitu.

# Windows: BitLocker VHD vytvoření (automaticky generováno UAML)

# Vytvoření VHD
New-VHD -Path "C:\Users\user\.uaml\vault.vhdx" `
        -SizeBytes 2GB -Dynamic

# Připojení a formátování
Mount-VHD -Path "C:\Users\user\.uaml\vault.vhdx"
Initialize-Disk -Number 1 -PartitionStyle GPT
New-Partition -DiskNumber 1 -UseMaximumSize -DriveLetter U
Format-Volume -DriveLetter U -FileSystem NTFS -NewFileSystemLabel "UAML"

# Aktivace BitLocker s XTS-AES-256
Enable-BitLocker -MountPoint "U:" `
    -EncryptionMethod XtsAes256 `
    -RecoveryKeyPath "C:\Users\user\.uaml\recovery"
            

Správa obnovovacích klíčů

Ztráta přístupu k šifrovaným datům by byla katastrofální, proto UAML bere obnovu vážně. Při nastavení šifrování je vygenerován obnovovací klíč a zobrazen jednou. Jste vyzváni k jeho uložení na bezpečné místo — správce hesel, vytištěná kopie nebo oddělené šifrované úložiště.

UAML nikdy neukládá obnovovací klíč vedle šifrovaných dat. Klíč a trezor jsou vždy odděleny. Pro podnikové nasazení mohou být obnovovací klíče uloženy v Active Directory nebo určené službě správy klíčů, což zajišťuje, že IT administrátoři mohou obnovit data, pokud zaměstnanec odejde nebo stroj selže.

Šifrování v kostce

Algoritmus — XTS-AES-256 (schváleno NIST, hardwarově akcelerováno na moderních CPU)
Derivace klíče — Argon2id (LUKS) / TPM (BitLocker)
Automatické připojení — šifrovaný svazek se připojí při startu agenta
Automatické zamčení — svazek se zamkne, když agent skončí nebo systém usne
Přenositelný — šifrovaný kontejner lze zálohovat a přesouvat
Nezávislý — funguje společně s existujícím šifrováním celého disku