透明加密
“檔案系統的加密”有別於整顆硬碟的加密方式,係指在檔案系統上面針對個別的檔案或目錄上面進行加密的動作。
在檔案系統上面的加密動作可以帶來的好處包括以下:
- 更具彈性的以檔案為基礎的加密鍵管理方式,如此則每個檔案都可以以個別的加密鍵進行加密。
- 加密後的檔案仍享有個別的檔案處理方式,像是仍可以使用個別的新增備份處理方式,而不是非要備份一整個檔案系統。
- 存取控制可以透過強迫使用公用錀匙(public-key cryptography)的方式。
- 解密鍵(cryptographic keys)只在記憶體中保留確保了解密通道的維持。
一般具有加密功能的檔案系統[编辑]
不像是密碼型的檔案系統,或全硬碟的加密方式,一般檔案系統具有檔案系統層級的加密的,不會把檔案系統裡的 metadata 加以加密,諸如目錄結構、檔案名稱及大小、時間戳記等等並不在加密的範圍裡面。這樣的結果可能造成一些麻煩,像是 metadata 如果也有必要加以保密的時候。這代表者不管有沒有授權,使用者都能對這些資料加以解讀。結果是,除了使用像是虛擬檔案系統(如 PGP disk)這種方式之外,要讓內容無法檢查或偵測都是不可能的情況。
密碼型檔案系統[编辑]
密碼型檔案系統通常是特別設計作安全加密的保存而非一般通用的檔案系統。一般在這個檔案系統裡面會把所有的資料都給予加密保存,包括了 metadata 的部份。這些檔案系統通常是以像放在某個目錄儲存在現有的檔案系統裡頭的方式存在,而沒有在硬碟資料格式及區塊存放這些功能上面實作。許多這樣的檔案系統會提供進階的功能像是[否定加密]法的加密方式,以及唯讀的加密型檔案系統、根據使用者密碼而會有不同的目錄顯示等等的功能。