#ecryptfs 簡介
##術語
fek(sek): 金鑰 fek(file encryption key)
fekek(ecryptfs_sig): 使用使用者提供的口令(passphrase)、公開金鑰演算法(如 rsa 演算法)或 tpm(trusted platform module)的公鑰來加密保護剛才提及的 fek(file encryption key encryption key)
efek(): 加密後的 fek(encrypted file encryption key)
##簡介
ecryptfs 是在 linux 核心 2.6.19 版本中引入的乙個功能強大的企業級加密檔案系統,堆疊在其它檔案系統之上(如 ext2, ext3, reiserfs, jfs 等),為應用程式提供透明、動態、高效和安全的加密功能。
本質上,ecryptfs 就像是乙個核心版本的 pretty good privacy(pgp)[3] 服務,插在 vfs(虛擬檔案系統層)和 下層物理檔案系統之間,充當乙個「過濾器」的角色。使用者應用程式對加密檔案的寫請求,經系統呼叫層到達 vfs 層,vfs 轉給 ecryptfs 檔案系統元件(後面會介紹)處理,處理完畢後,再轉給下層物理檔案系統;讀請求(包括開啟檔案)流程則相反。
ecryptfs 的設計受到openpgp 規範的影響,使用了兩種方法來加密單個檔案:
ecryptfs 先使用一種對稱金鑰加密演算法來加密檔案的內容,推薦使用 aes
加密檔案系統
目前對作業系統安全的研究主要集中在邏輯安全領域,及防止未經授權的使用者 程序訪問高特權級別的敏感資料,現有的研究成果包括美國 局主導研發的selinux模組 現已新增到linux核心中 等。但是,這樣的保護對於能夠從物理上接觸到敏感計算機的攻擊者而言是完全無效的。攻擊者可以通過軟盤 光碟或者u盤來引...
加密檔案系統
1,加密檔案轉移到別的物理介質上時,沒有額外的加密 解密開銷。2,支援檔案粒度的加密,也就是說,使用者可以選擇對哪些檔案或目錄加密。而且,應用程式不用關心檔案是否被加密,可以完全透明地訪問加密檔案。3,無需預先保留足夠的空間,使用者可以隨時加密或恢復檔案。4,對單個加密檔案更改金鑰和加密演算法比較容...
Linux檔案系統加密
使用loop modprobe cryptoloop dd if dev zero of partition file0 bs 1k count 1024 losetup e aes dev loop0 partition file0 不必需partion file0,直接使用 dev sd 分割槽...