透明加密

档案系统的加密”有别于整颗硬碟的加密方式,系指在档案系统上面针对个别的档案或目录上面进行加密的动作。

在档案系统上面的加密动作可以带来的好处包括以下:

  • 更具弹性的以档案为基础的加密键管理方式,如此则每个档案都可以以个别的加密键进行加密。
  • 加密后的档案仍享有个别的档案处理方式,像是仍可以使用个别的新增备份处理方式,而不是非要备份一整个档案系统。
  • 存取控制可以透过强迫使用公用𬬭匙(public-key cryptography)的方式。
  • 解密键(cryptographic keys)只在记忆体中保留确保了解密通道的维持。

一般具有加密功能的档案系统

不像是密码型的档案系统,或全硬碟的加密方式,一般档案系统具有档案系统层级的加密的,不会把档案系统里的 metadata 加以加密,诸如目录结构、档案名称及大小、时间戳记等等并不在加密的范围里面。这样的结果可能造成一些麻烦,像是 metadata 如果也有必要加以保密的时候。这代表者不管有没有授权,使用者都能对这些资料加以解读。结果是,除了使用像是虚拟档案系统(如 PGP disk)这种方式之外,要让内容无法检查或侦测都是不可能的情况。

密码型档案系统

密码型档案系统通常是特别设计作安全加密的保存而非一般通用的档案系统。一般在这个档案系统里面会把所有的资料都给予加密保存,包括了 metadata 的部份。这些档案系统通常是以像放在某个目录储存在现有的档案系统里头的方式存在,而没有在硬碟资料格式及区块存放这些功能上面实作。许多这样的档案系统会提供进阶的功能像是[否定加密]法的加密方式,以及唯读的加密型档案系统、根据使用者密码而会有不同的目录显示等等的功能。

外部链接