шифрование от гугл


Предыдущая | Следующая

шифрование от гугл
https://github.com/google/fscrypt

 

fscrypt - инструмент высокого уровня для управления шифрованием файловой системы Linux. Этот инструмент управляет метаданными, генерацией ключей, переносом ключей, интеграцией PAM и предоставляет единый интерфейс для создания и изменения зашифрованных каталогов. Для небольшого низкоуровневого инструмента, который непосредственно устанавливает политики, см. Fscryptctl.

Чтобы использовать fscrypt, у вас должна быть файловая система с включенным шифрованием и ядро, которое поддерживает чтение / запись из этой файловой системы. В настоящее время ext4, F2FS и UBIFS поддерживают шифрование файловой системы Linux. Ext4 поддерживает шифрование файловой системы Linux начиная с v4.1, F2FS добавляет поддержку в v4.2 и UBIFS добавляет поддержку в v4.10. Другие файловые системы могут добавить поддержку собственного шифрования в будущем. Файловые системы могут дополнительно требовать, чтобы определенные параметры конфигурации ядра были установлены для использования собственного шифрования. См. Зависимости во время выполнения.

Большая часть тестирования для fscrypt была выполнена с файловыми системами ext4. Однако ядро ​​использует общий интерфейс пользовательского пространства, поэтому этот инструмент должен работать со всеми существующими и будущими файловыми системами, которые поддерживают шифрование. Если есть проблема с использованием fscrypt с другими файловыми системами, пожалуйста, откройте проблему.

Другие решения для шифрования
Важно отличать шифрование файловой системы Linux от двух других решений шифрования: eCryptfs и dm-crypt.

В настоящее время dm-crypt шифрует все блочное устройство одним главным ключом. DM-crypt может использоваться с или без fscrypt. Все данные файловой системы (включая все метаданные файловой системы) шифруются с помощью этого единственного ключа при использовании dm-crypt, тогда как fscrypt шифрует только имена файлов и содержимое файла в указанном каталоге. Обратите внимание, что одновременное использование dm-crypt и fscrypt обеспечит защиту и преимущества обоих; однако это может привести к снижению производительности, поскольку содержимое файла зашифровано дважды.

Одним из примеров разумной настройки может быть использование dm-crypt с TPM или защищенным ключом загрузки, при использовании fscrypt для содержимого домашнего каталога. Это все равно зашифровывает весь диск, но также связывает шифрование личных документов пользователя с его парольной фразой.

С другой стороны, eCryptfs - это еще одна форма шифрования файловой системы в Linux; он шифрует каталог файловой системы некоторым ключом или парольной фразой. eCryptfs находится поверх существующей файловой системы. Это делает eCryptfs альтернативным выбором, если ваша файловая система или ядро ​​не поддерживает встроенное шифрование файловой системы.

Также обратите внимание, что fscrypt не поддерживает и не настраивает eCryptfs или dm-crypt. Для этих инструментов используйте ecryptfs-utils для eCryptfs или cryptsetup для dm-crypt.

особенности
fscrypt предназначен для улучшения работы в e4crypt, предоставляя более управляемую среду и обрабатывая больше функций в фоновом режиме. fscrypt имеет проектный документ, определяющий полную архитектуру fscrypt.

Вкратце, fscrypt имеет дело с защитниками и политиками. Защитники представляют некоторую тайну или информацию, используемую для защиты конфиденциальности ваших данных. В настоящее время поддерживаются три типа защитников:

Ваша логин-пароль, через PAM
Пользовательская фраза
Необработанный ключевой файл
Эти защитные устройства являются изменяемыми, поэтому информация может изменяться без необходимости обновления каких-либо зашифрованных каталогов.

Политики представляют собой фактический ключ, переданный ядру. Этот «ключ политики» является неизменным, и политики (обычно) применяются к одному каталогу. Затем защитники защищают политики, поэтому для получения ключа политики и доступа к данным достаточно иметь одного из защитников политики. Какие защитники защищают политику, также можно изменить. Это позволяет пользователю изменять способ защиты каталога без необходимости повторного шифрования содержимого каталога.