企业级加密文件系统 eCryptfs

未知
C/C++
Linux
2009-09-19
红薯

eCryptfs 是在 Linux 内核 2.6.19 版本中引入的一个功能强大的企业级加密文件系统,堆叠在其它文件系统之上(如 Ext2, Ext3, ReiserFS, JFS 等),为应用程序提供透明、动态、高效和安全的加密功能。

本 质上,eCryptfs 就像是一个内核版本的 Pretty Good Privacy(PGP)[3] 服务,插在 VFS(虚拟文件系统层)和 下层物理文件系统之间,充当一个“过滤器”的角色。用户应用程序对加密文件的写请求,经系统调用层到达 VFS 层,VFS 转给 eCryptfs 文件系统组件(后面会介绍)处理,处理完毕后,再转给下层物理文件系统;读请求(包括打开文件)流程则相反。

eCryptfs 的设计受到OpenPGP 规范的影响,使用了两种方法来加密单个文件:

  1. eCryptfs 先使用一种对称密钥加密算法来加密文件的内容,推荐使用 AES-128 算法,密钥 FEK(File Encryption Key)随机产生。有些加密文件系统为多个加密文件或整个系统使用同一个 FEK(甚至不是随机产生的),这会损害系统安全性,因为:a. 如果 FEK 泄漏,多个或所有的加密文件将被轻松解密;b. 如果部分明文泄漏,攻击者可能推测出其它加密文件的内容;c. 攻击者可能从丰富的密文中推测 FEK。
  2. 显然 FEK 不能以明文的形式存放,因此 eCryptfs 使用用户提供的口令(Passphrase)、公开密钥算法(如 RSA 算法)或 TPM(Trusted Platform Module)的公钥来加密保护刚才提及的 FEK。如果使用用户口令,则口令先被散列函数处理,然后再使用一种对称密钥算法加密 FEK。口令/公钥称为 FEFEK(File Encryption Key Encryption Key),加密后的 FEK 则称为 EFEK(Encrypted File Encryption Key)。由于允许多个授权用户访问同一个加密文件,因此 EFEK 可能有多份。

这种综合的方式既保证了加密解密文件数据的速度,又极大地提高了安全性。虽然文件名没有数据那么重要,但是入侵者可以通过文件名获得有用的信息或者确定攻击目标,因此,最新版的 eCryptfs 支持文件名的加密。

加载中

评论(0)

暂无评论

暂无资讯

暂无问答

Gentoo折腾随笔

折腾Gentoo过程中的简单记录

2014/02/21 11:01
529
0
文件管理遗忘笔记

1、改变文件所属群组: chgrp 组名 文件名 -R 参数指明文件为目录时,该目录下所有目录与文件都改变 改变文件拥有者: chown 拥有者:群组 文件名 -R 参数指明文件为目录时,该目录下所有目录...

2011/09/01 11:09
93
0
linux系统安装OFED(infiniband)

scinetfic 5.8安装OFED

2014/04/20 22:47
1K
1
Ubuntu Touch未来支持对用户数据加密

据开发人员披露,Ubuntu Touch移动操作系统也将提供对用户数据加密的支持。不过需要指出的是,尽管这已经不是一个秘密,但它也不会是即将到来的一个特性。在一条被埋藏的wiki条目中,我们得知...

2016/01/14 10:11
29
1

没有更多内容

加载失败,请刷新页面

没有更多内容

返回顶部
顶部