Шифрование на уровне файловой системы , часто называемое шифрованием на основе файлов , FBE или шифрованием файлов / папок , представляет собой форму шифрования диска, при которой отдельные файлы или каталоги шифруются самой файловой системой .
Это отличается от полного шифрования диска, когда зашифровывается весь раздел или диск, на котором находится файловая система.
Типы шифрования на уровне файловой системы включают:
- использование «наращиваемой» криптографической файловой системы, расположенной поверх основной файловой системы
- единая файловая система общего назначения с шифрованием
К преимуществам шифрования на уровне файловой системы относятся:
- гибкое управление ключами на основе файлов , так что каждый файл может быть и обычно зашифрован отдельным ключом шифрования [ необходима ссылка ]
- индивидуальное управление зашифрованными файлами, например, инкрементное резервное копирование отдельных измененных файлов даже в зашифрованном виде, а не резервное копирование всего зашифрованного тома [ требуется пояснение ]
- контроль доступа может быть обеспечен за счет использования криптографии с открытым ключом , и
- тот факт, что криптографические ключи хранятся только в памяти, в то время как файл, который ими расшифровывается, остается открытым.
Файловые системы общего назначения с шифрованием
В отличие от криптографических файловых систем или полного шифрования диска , файловые системы общего назначения, которые включают шифрование на уровне файловой системы , обычно не шифруют метаданные файловой системы , такие как структура каталогов, имена файлов, размеры или временные метки модификации. Это может быть проблематично, если необходимо сохранить конфиденциальность самих метаданных. Другими словами, если файлы хранятся с идентифицирующими именами файлов, любой, кто имеет доступ к физическому диску, может знать, какие документы хранятся на диске, но не их содержимое.
Единственным исключением из этого правила является добавление поддержки шифрования в файловую систему ZFS . Метаданные файловой системы, такие как имена файлов, права собственности, списки управления доступом, расширенные атрибуты, хранятся на диске в зашифрованном виде. Метаданные ZFS, относящиеся к пулу хранения, хранятся в виде открытого текста , поэтому можно определить, сколько файловых систем (наборов данных) доступно в пуле, в том числе какие из них зашифрованы. Содержимое сохраненных файлов и каталогов остается зашифрованным.
Еще одно исключение - замена CryFS на EncFS .
Криптографические файловые системы
Криптографические файловые системы - это специализированные (не универсальные) файловые системы, специально разработанные с учетом требований шифрования и безопасности. Обычно они шифруют все содержащиеся в них данные, включая метаданные. Вместо реализации дискового формата и собственного распределения блоков эти файловые системы часто располагаются поверх существующих файловых систем, например, размещаются в каталоге файловой системы хоста. Многие такие файловые системы также предлагают расширенные функции, такие как отказоустойчивое шифрование , криптографически безопасные разрешения файловой системы только для чтения и различные представления структуры каталогов в зависимости от ключа или пользователя ...
Одно из применений криптографической файловой системы - это когда часть существующей файловой системы синхронизируется с « облачным хранилищем ». В таких случаях криптографическая файловая система может быть «уложена» поверх, чтобы помочь защитить конфиденциальность данных.