1,
加密檔案轉移到別的物理介質上時,沒有額外的加密
/解密開銷。
2,支援檔案粒度的加密,也就是說,使用者可以選擇對哪些檔案或目錄加密。而且,應用程式不用關心檔案是否被加密,可以完全透明地訪問加密檔案。
3,無需預先保留足夠的空間,使用者可以隨時加密或恢復檔案。
4,對單個加密檔案更改金鑰和加密演算法比較容易。
5,不同的檔案可以使用不同的加密演算法和金鑰,增大了破解的難度。
6,只有加密檔案才需要特殊的加密
/解密處理,普通檔案的訪問沒有額外開銷。
cfs是乙個
unix
下的加密檔案系統,工作在使用者層,以
nfs伺服器的形式工作。
cfs需要使用者在本地或遠端檔案系統中建立乙個目錄,用來訪問加密資料。金鑰和加密演算法是在這個目錄建立時指定的。使用者需要通過乙個掛載命令向
cfs**傳送加密資料訪問請求。**負責驗證使用者
id和金鑰是否合法,然後在掛載點目錄建立乙個目錄供使用者訪問。掛載成功後,使用者將看到解密後的資料,並可以像操作普通目錄一樣在這個目錄裡訪問資料,唯一的不同在十所有的資料都會被透明的加密。
cfs是乙個設計合理、可移植、內建多種加密演算法的加密檔案系統,但由十它工作在使用者模式,大量時間被花費在使用者空間和核心空間之間的上下文環境切換,因此效率較低。
bestcrypt
是乙個商用的加密回環裝置驅動。這種回環裝置把乙個檔案
(此檔案被稱為容器
)虛擬成乙個塊裝置
;對這個塊裝置的寫操作會以加密的形式寫入容器檔案中,裝置之上可以掛載任何基十塊裝置的檔案系統,使檔案系統具有加密功能。這種策略的優勢在十檔案系統的元資料也會被加密
o bestcrypt
適合單使用者的環境,由容器的所有者儲存金鑰。但是在多使用者環境下,缺乏靈活的訪問控制機制保證多使用者共享的安全性。
cryptfs
是乙個可堆疊的加密檔案系統,它工作核心層,可以在其它檔案系統之上提供加密功能。它支援
linux, freebsd
和solaris
二個平台,
ifu b
『效能理想。但它只是乙個原型系統,缺乏乙個完整的安全檔案系統應具有的金鑰管理和多種加密演算法支援。
ncryptfs
是cryptfs
的擴充套件,其目標是在安全性、易用性和效率之間得到乙個平衡點,並且提供了足夠複雜的機制來實現這一目標。
ncryptfs
只支援linux
平台,而且不支援資料的完整性檢查。
stegfs
是乙個採用了資料隱藏技術的加密檔案系統。如果有對手入侵這個系統,他們只能夠發現系統中存在一些隱藏資料,但他們無法知道隱藏資料的內容,也無法知道隱藏資料的具體位置。該系統是通過修改
ext2
檔案系統實現的,所以工作在核心層。
stegfs
實現的安全保護在有些環境下是有必要的,但它的效能非常差,以至十無法勝任大多數的應用。
cephese
檔案系統是
sfs的乙個擴充套件,實現了資料以加密的形式在伺服器磁碟上儲存,同時提供了基十組的檔案共享機制。組中不同檔案使用不同的檔案金鑰進行加密,同乙個組的檔案對應的金鑰存放在乙個
lockbox
中,並用乙個組金鑰加密。使用乙個獨立的組伺服器進行組金鑰發布,實現方式要求使用者引入公鑰體制。
cephese
仍然繼承了
sfs的安全通訊協議,使用會話金鑰對客戶端與伺服器的通訊會話進行加密,這意味著檔案資料被加密了兩次,帶來了多餘的計算負擔。
通過前面的分析可以看出,當前廣泛使用的
nfs和
coda
等分布式檔案系統,僅僅提供了在傳輸線路上的資料安全保護,資料在伺服器端是以明文儲存的,這存在著極大的安全隱患。
加密檔案系統以加密的形式對檔案資料進行儲存,有效的解決了上述問題。但
它們並沒有注重分布式環境下的需求,更多的是定位在本地檔案系統或區域網內使
用的網路檔案系統。在分布式環境下,它們面臨下面的問題:1.
對加密檔案共享的支援較差。如
cfs並沒有提供對檔案共享的支援。
2.缺乏靈活的金鑰管理機制。它們都固化了金鑰管理,使用者無法根據應用需要選擇最合適的方案。
3.缺乏合理的實現方式,無法與現有的分布式檔案系統結合。例如
cfs和
cephese
都是通過對某個版本的
nfs**進行修改實現的,如果
nfs發布了新的版本,它們必須隨之公升級,否則無法利用新版本帶來的特性。實際上它們中很多已經停止開發了。
加密檔案系統
目前對作業系統安全的研究主要集中在邏輯安全領域,及防止未經授權的使用者 程序訪問高特權級別的敏感資料,現有的研究成果包括美國 局主導研發的selinux模組 現已新增到linux核心中 等。但是,這樣的保護對於能夠從物理上接觸到敏感計算機的攻擊者而言是完全無效的。攻擊者可以通過軟盤 光碟或者u盤來引...
Linux檔案系統加密
使用loop modprobe cryptoloop dd if dev zero of partition file0 bs 1k count 1024 losetup e aes dev loop0 partition file0 不必需partion file0,直接使用 dev sd 分割槽...
禁止加密檔案系統
加密檔案系統 efs,encrypting file system 功能在windows 2000中被介紹,並且在windows xp professional同樣可用。這個資料保護和資料恢復功能並不需要其它額外的設定,因為它在windows xp professional中是預設啟用的。儘管這個功...