Шифрування файлової системи
 | Ця стаття не містить посилань на джерела. (листопад 2023) |
Шифрування на рівні файлової системи, яке часто називають шифруванням на основі файлів (FBE) або шифруванням файлів/каталогів, є формою шифрування диска, де окремі файли чи теки шифруються самою файловою системою.
Це відрізняється від повного шифрування диска, коли шифрується весь розділ або диск, на якому знаходиться файлова система.
Типи шифрування файлової системи включають:
- використання «стекової» криптографічної файлової системи, що нашаровується поверх основної файлової системи
- файлова система загального призначення з шифруванням
Переваги шифрування на рівні файлової системи включають:
- гнучке керування ключами на основі файлів, щоб кожен файл міг бути і зазвичай зашифрований окремим ключем шифрування
- індивідуальне керування зашифрованими файлами, наприклад, додаткові резервні копії окремих змінених файлів у зашифрованому вигляді, а не резервне копіювання всього зашифрованого тому
- контроль доступу може бути забезпечений за допомогою криптографії з відкритим ключем, і той факт, що криптографічні ключі зберігаються в пам'яті лише тоді, коли файл, який ними розшифровано, залишається відкритим.
Файлові системи загального призначення з шифруванням[ред. | ред. код]
На відміну від криптографічних файлових систем або повнодискового шифрування, файлові системи загального призначення використовують шифрування на рівні файлової системи, яке зазвичай не шифрує метадані, такі як структура каталогів, імена файлів, розмір та час модифікації. Це може бути проблематично, якщо самі метадані повинні бути конфіденційними. Іншими словами, якщо файли зберігаються з ідентифікаційними іменами, будь-хто, хто має доступ до фізичного диска, може знати, які документи зберігаються на диску, але не вміст цих документів.
Винятком є підтримка шифрування у файловій системі ZFS. Метадані файлової системи, такі як імена файлів, права власності, списки керування доступом, розширені атрибути, зберігаються на диску в зашифрованому вигляді. Метадані ZFS, що стосуються пулу зберігання, зберігаються у вигляді відкритого тексту, тому можна визначити, скільки файлових систем (наборів даних) доступно в пулі, включно з тим, які з них зашифровані. Вміст збережених файлів і каталогів залишається зашифрованим.
Іншим винятком є заміна CryFS на EncFS .
Криптографічні файлові системи[ред. | ред. код]
Криптографічні файлові системи — це спеціалізовані (не універсальні) файлові системи, які спеціально розроблені з урахуванням шифрування та безпеки. Зазвичай вони шифрують усі дані, включно з метаданими. Замість того, щоб реалізовувати формат на диску і власний розподіл блоків, ці файлові системи часто надбудовуються над існуючими файловими системами, наприклад, розміщуються у каталозі на хостовій файловій системі. Багато таких файлових систем також пропонують розширені функції, такі як заперечне шифрування, криптографічно захищені дозволи файлової системи лише для читання та різні перегляди структури каталогів залежно від ключа чи користувача...
Один із способів використання криптографічної файлової системи – коли частина існуючої файлової системи синхронізується з «хмарним сховищем». У таких випадках шифровану файлову систему можна «нашарувати», щоб допомогти захистити конфіденційність даних.