Кот Абсолютный

SHA, конечно же причем начиная с sha256

owa или десктопный outlook?
В прикрепленном файле что?
В свойствах сообщения совсем ничего про шифрование?

Без локальной копии такое невозможно. Расшифровка должна проходить на локальном устройстве, чтобы в облако уходил уже чистый шифртекст.

То есть, Вам не страшно отправлять ключ на недоверенную сторону? Или первоначальная аутентификация делается каким-то другим способом?

так что даже если приедут и заберут сервак, то инфа не будет доступной.

Во всех таких случаях не следует забывать про совершенно очевидно существующее слабое звено во всей этой системе. Это звено - Вы.
Самая очевидная проблема всех ИТ-шников - они почему-то считают, что могут извернуться и каким-то образом найти возможность обойти законодательство для чего-то там. Или даже не обходить, а создать такую систему, которая, если соблюдать законодательство дает им преимущество. Заблуждение в том, что те, от кого Вы пытаетесь защититься, будут соблюдать законодательство :)
Вы допустим хорошо знаете, как зашифровать информацию. А они - хорошо знают, как заставить человека выдать нужную им информацию. И в случае фатального интереса к Вам со стороны тов. майора они просто применят это знание :)
Чтобы понять, как лихо разлетаются иллюзии такого типа, советую почитать репортажи о событиях первых дней белорусских протестов - когда белорусские менты пиз..ли всех журналистов подряд, невзирая на то, РИА это или Медуза.
Да, собственный хостинг сервера с мессенджером заметно повышает устойчивость к утечкам на всех прочих уровнях них тов. майора - практически до непробиваемого. Но только потому что "все прочие" вынуждены оставаться в правовом поле, а тов. майор от такой обязанности свободен :) в случае необходимости он придет и попросит (особенно если точно знает, что оно у Вас есть) и фейками от него будет не отделаться.

Любое вынесенное за периметр устройство работает в режиме zero-trust :) Потому что Вы вынуждены верить на слово провайдеру о том, что ситуация именно такова, как он ее описывает. В зависимости от того, что за организацию Вы представляете, провайдер может организовать Вам имитацию чего угодно - дело только в ресурсах, обоснованно будет их привлечение или нет :)
надежность - это не о защите данных от утечки и контролем над ними. Это о том, что сервера работают без сбоев 99.9(9)% времени, о том, что данные азур не прое...ст с селедкой и т.д. - и здесь азур достаточно надежен
контроль над данными - это как раз о защите данных и вот тут никто не может Вам дать гарантию, что азур не будет иметь доступа к Вашим данным - как бы они не божились и сколько бы ключей шифрования не предлагали - ведь они будут генерить эти ключи! :)

Для винды - axcrypt. Для линуха - openssl

Я бы посоветовал что-то, но боюсь автор может последовать моему совету буквально...

На месте Вашего директора я бы заплатил вымогателю (если там есть контакт, потому что многие шифровальщики сделаны школотой и там даже мыла нет) - а потом удерживал бы эту сумму из Вашей зарплаты :)

Не знаю, как насчет L2TP, а вот для IPSec нет ни одного нормального клиента. Был The GreenBow (он же ZyWall - только чуть перекрашеный), но там сложности с настройкой - нужно нехило так в IPSec шарить, чтобы понять, что ему надо. Встроенный виндовый клиент на машинных сертификатах - это как самое оно, которое надо.

Ключами надо обмениваться минуя сервер, например по email или при личной встрече, или сервер может делать mitm и читать вашу переписку, я прав?

Несомненно правы. Когда я читаю в whatsapp, что переписка "не будет доступна никому", я всегда ржунимагу. "Никому, кроме админов whatsapp, конечно же" :)
Пример.
Контора, в которой переписка шифруется сертфикатами. AES256, все по-взрослому. Кто, кроме отправителя и получателя может прочитать письмо? Правильно, человек, который генерировал сертификат :D

Как избежать ситуации, когда файлы бэкапов на сервере окажутся зашифрованы, и на NASе, соответственно, тоже?

- никогда не монтировать полки с бэкапами как сетевые шары. Вирус туда непременно проберется.
- использовать технику "дед-отец-сын"
- запускать копирование с полки. Это по крайней мере отсечет шифрование файлов на самой полке
- проверять файлы перед копированием. Конечно, все шифровальщики не проверишь, но нормальный-то файл точно известно как выглядит!

Если каспер говорит, что "не представляется в настоящий момент" - то скорее всего этот момент и не представится, считайте файлы потерянными и восстанавливайте из бэкапа.
Года уже почти четыре назад один юзер поймал DaVinchi. Каспер какое-то время тоже покормил завтраками, потом сказал что "не шмогла". Год назад мы снова обратились - может изменилось что. Не-а, нихрена...

Сломать :) Иначе никак :)

Отправлять таким образом бессмысленно, разве только клиент настолько умен, что сначала шлет шифрованную почту тем, у кого сертфиикаты есть, а потом открытую - тем, у кого их нет. Потому что если он не настолько умен, то у клиента два выбора - послать всем шифрованное письмо (которое те, у кого сертификата нет не прочитают) либо послать всем нешифрованное письмо.
Outlook например когда видит в списке получателей людей с просроченными сертификатами (то есть фактически их нет) спрашивает - "послать без шифрования, послать с шифрованием но те, кто без сертификатов, его не прочитают или ну его нафиг, это письмо?"
Вы не сказали, что у Вас за клиент.

Любая задача в ИБ начинается с построения модели нарушителя :) То есть с ответов на вопросы:
- Где и каким образом хранится сейчас защищаемый обьект
- Кто предполагается в качестве лиц(а), которое захочет получить к нему доступ

Пока ответов на эти вопросы нет, предлагать что-то бессмысленно, потому что любое решение по ИБ по защите информации - оно всегда социально-техническое, в нем всегда сто тыщ мильенов вариантов, чисто технических решений нет и быть не может.

Надежно ли аппаратное шифрование в nvme ssd дисках?

Достаточно надежно. Но сразу вопрос - какова Ваша модель нарушителя? От кого защищаетесь - от жены, соседа, начальника, государства? У каждого из них разные возможности и соответственно уровень надежности по отношению к каждому из них будет разный...

Разумеется не первый :)

И ответ на это давным-давно есть. И заключается он во фразе "все зависит от обстоятельств".

Вы сталкивались когда-либо с правоохранительными органами? Вы представляете себе, ну хотя бы в самых общих чертах - как они мыслят? (не как работают - а именно как мыслят)

Технически, разумеется, это не сложно - завести вторую учетку на компе, которой шеллом прописать скриптец. К сожалению, у этого метода есть пара оооочень существенных недостатков:
- скорость выполнения операции rm -rf / - будет невысокой. Вполне возможно, что даже полицейский сможет понять, что его дуют. Удаление без возможности восстановления - работает еще медленее.
- Ни одно такое "удаление" на самом деле ничего не удаляет и все может быть восстановлено
- Даже если вы применили нечто типа Импульса (хреновина, монтируется над диском и при нажатии тревожной кнопки мощным импульсом превращает винт в кусок железа), у ментов все еще останется нечто, на чем можно оторваться. И это - внезапно - Вы. :)
В гугле я не нашел ничего кроме "неповиновения законному требованию сотрудника полиции" на тему что произойдет, если мент просит включить комп и в этот момент все стирается, но в реале мне кажется у Вас будет много-много неприятностей.
Да, Вы можете сказать - да я все зафиксирую и всех засужу - но будет ли Вам от этого легче, если Вы к этому времени будете передвигаться в инвалидной коляске?

Общего решения в данной ситуации нет - все зависит от множества частных обстоятельств.