Szyfrowanie na poziomie systemu plików
Szyfrowanie na poziomie systemu plików , często nazywane szyfrowaniem opartym na plikach , FBE lub szyfrowaniem plików/folderów , jest formą szyfrowania dysku , w której poszczególne pliki lub katalogi są szyfrowane przez sam system plików .
Inaczej jest w przypadku pełnego szyfrowania dysku , w którym szyfrowana jest cała partycja lub dysk, na którym znajduje się system plików.
Typy szyfrowania na poziomie systemu plików obejmują:
- użycie kryptograficznego systemu plików, który można układać w stosy, nałożonego na główny system plików
- pojedynczy system plików ogólnego przeznaczenia z szyfrowaniem
Zalety szyfrowania na poziomie systemu plików obejmują:
- zarządzanie kluczami oparte na plikach , dzięki czemu każdy plik może być i zwykle jest szyfrowany oddzielnym kluczem szyfrującym [ potrzebne źródło ]
- indywidualne zarządzanie zaszyfrowanymi plikami, np. przyrostowe kopie zapasowe poszczególnych zmienionych plików, nawet w postaci zaszyfrowanej, zamiast tworzenia kopii zapasowych całego zaszyfrowanego woluminu [ wymagane wyjaśnienie ]
- kontrolę dostępu można wymusić za pomocą kryptografii z kluczem publicznym oraz
- fakt, że klucze kryptograficzne są przechowywane w pamięci tylko wtedy, gdy plik, który jest przez nie odszyfrowywany, pozostaje otwarty.
Systemy plików ogólnego przeznaczenia z szyfrowaniem
W przeciwieństwie do kryptograficznych systemów plików lub szyfrowania całego dysku , systemy plików ogólnego przeznaczenia, które obejmują szyfrowanie na poziomie systemu plików, zazwyczaj nie szyfrują metadanych systemu plików , takich jak struktura katalogów, nazwy plików, rozmiary czy sygnatury czasowe modyfikacji. Może to być problematyczne, jeśli same metadane muszą być traktowane jako poufne. Innymi słowy, jeśli pliki są przechowywane z identyfikującymi nazwami plików, każdy, kto ma dostęp do dysku fizycznego, może wiedzieć, które dokumenty są przechowywane na dysku, ale nie wiedzieć, jaka jest ich zawartość.
Jedynym wyjątkiem jest dodawanie obsługi szyfrowania do systemu plików ZFS . Metadane systemu plików, takie jak nazwy plików, prawa własności, listy ACL, rozszerzone atrybuty, są przechowywane na dysku w postaci zaszyfrowanej. Metadane ZFS dotyczące puli pamięci są przechowywane w postaci zwykłego tekstu , dzięki czemu można określić, ile systemów plików (zestawów danych) jest dostępnych w puli, w tym które z nich są zaszyfrowane. Zawartość przechowywanych plików i katalogów pozostaje zaszyfrowana.
Kolejnym wyjątkiem jest zastąpienie EncFS przez CryFS .
Kryptograficzne systemy plików
Kryptograficzne systemy plików to wyspecjalizowane (nie ogólnego przeznaczenia) systemy plików, które zostały specjalnie zaprojektowane z myślą o szyfrowaniu i bezpieczeństwie. Zwykle szyfrują wszystkie zawarte w nich dane – w tym metadane. Zamiast implementować format na dysku i własną alokację bloków, te systemy plików są często nakładane na istniejące systemy plików, np. rezydują w katalogu w systemie plików hosta. Wiele takich systemów plików oferuje również zaawansowane funkcje, takie jak szyfrowanie z możliwością odmowy , kryptograficznie bezpieczne uprawnienia systemu plików tylko do odczytu i różne widoki struktury katalogów w zależności od klucza lub użytkownika…
synchronizacja części istniejącego systemu plików z „ magazynowaniem w chmurze ”. W takich przypadkach kryptograficzny system plików można „ułożyć” na wierzchu, aby pomóc chronić poufność danych.