EXT4 引入文件系统加密支持

工作于 Google 的开发者周泰德(Theodore Ts’o / Ted Ts’o)近日提供了一套用于 EXT4 文件系统加密的方案,这套方案很可能被引入下一代 Android M 中。此外,这套方案仍在持续开发,以便成为上游内核的默认方案。

周泰德在本月初就曾发布了22个补丁,为 EXT4 引入了完整的文件名、symlink 加密。这些补丁由泰德本人和 Michael Halcrow 共同完成。

对开发来说,在内核中引入加密支持,仅需要大概三千多行代码。类似的加密机制之后还可能在 F2FS 文件系统中实现——Flash-Friendly File-System,这是一种面向闪存介质的文件系统。

有关补丁的相关信息,请参见 EXT4 邮件列表

消息来源:Phoronix


13:31 添加

关于加密方式,Michael Halcrow 描述如下(来源):

On encrypt, we will re-assign the buffer_heads to point to a bounce
page rather than the control_page (which is the original page to write
that contains the plaintext). The block I/O occurs against the bounce
page.  On write completion, we re-assign the buffer_heads to the
original plaintext page.

On decrypt, we will attach a read completion callback to the bio
struct. This read completion will decrypt the read contents in-place
prior to setting the page up-to-date.

The current encryption mode, AES-256-XTS, lacks cryptographic
integrity. AES-256-GCM is in-plan, but we will need to devise a
mechanism for handling the integrity data.

 

 

Now have 3 Responses to “EXT4 引入文件系统加密支持”

  1. jiangtao9999 2015-04-12 11:25 says: 回复

    首要问题是安全性怎么样?密码如何储存的?

    • dgy18787 2015-04-12 13:34 says: 回复

      刚刚加上了开发者对加密和解密方式的解释。看起来还算安全

      • jiangtao9999 2015-04-12 22:38 says: 回复

        加密是怎么个加密目标?基于文件、文件夹,还是只能整分区加密?
        不过折腾来折腾去……
        我觉得整合性还是不如 Windows 。比如远程加密访问,远程加密解密支持不?能否直接调用硬件设备加密不?
        我觉得 Linux 现在一个大问题,还是没有人真的做一个整合。

发表评论