Ich habe versucht, die Quelle von ecryptfs in Linux zu lesen. Könnte mir jemand helfen, die Unterscheidung zwischen Linux Kernel Subsystem dm-crypt und ecryptfs zu erklären. Gibt es irgendwelche Nachschlagewerke, die Quelle von ecryptfs einführen? danke für die Hilfe .Was ist der Unterschied zwischen dem Linux-Kernel-Subsystem dm-crypt und ecryptfs?
dm-crypt und eCryptfs sind beide Funktionen fest in den Linux-Kernel integriert, die Daten im Ruhezustand verschlüsseln. Beide sind seit mindestens 2006 im Linux-Kernel vorgelagert und werden von Verbrauchern und Unternehmen stark genutzt. Der Ansatz ist jedoch sehr unterschiedlich.
dm-crypt bietet "block" Level-Verschlüsselung. Mit dm-crypt erstellt der Linux-Kernel ein ganzes verschlüsseltes Block-Gerät, das dann wie jedes andere Block-Gerät im System verwendet werden kann. Es kann partitioniert, in eine LVM, RAID geschnitten oder direkt als Festplatte verwendet werden. Dies bedeutet jedoch, dass Sie sich entscheiden müssen, die Verschlüsselung im Voraus zu verwenden und den Speicherplatz im Voraus zuzuordnen, und dann ein Dateisystem erstellen und format. Es ist extrem schnell und effizient, besonders wenn Ihre CPU die AES-NI Kryptographie-Beschleunigung von Intel auf der CPU unterstützt. Es wird jedoch nur ein einziger Schlüssel für das gesamte Blockgerät verwendet. Als solches ist es ein bisschen eine stumpfe, Alles-oder-Nichts-Ansatz für die Verschlüsselung.
eCryptfs bietet "per-Datei" Verschlüsselung. eCryptfs ist ein vollständig POSIX-konformes Stacked-Dateisystem für Linux. eCryptfs speichert metadata im Header jeder Datei, so dass verschlüsselte Dateien zwischen Hosts kopiert werden können; Die Datei wird mit dem richtigen Schlüssel im Linux-Kernelschlüsselring entschlüsselt. Es besteht keine Notwendigkeit, zusätzliche Informationen zu verfolgen, abgesehen von dem, was bereits in der verschlüsselten Datei selbst enthalten ist. Sie können sich eCryptfs als eine Art "GnuPG als Dateisystem" vorstellen. Verschiedene Dateien können mit verschiedenen Schlüsseln verschlüsselt werden, und Dateinamen können optional verschlüsselt werden. Dateiattribute werden jedoch nicht maskiert, sodass ein Angreifer die ungefähre Größe einer Datei, ihre Besitzrechte, Berechtigungen und Zeitstempel sehen kann. Da eCryptfs ein mehrschichtiges Dateisystem ist, müssen Sie den Speicherplatz nicht vorab reservieren. Sie mounten nur ein Verzeichnis übereinander (ein wenig wie NFS); Alle Daten, die in das obere Verzeichnis geschrieben und daraus gelesen werden (vorausgesetzt, Sie haben den Schlüssel), sehen wie plaintext Daten aus, aber alle Daten werden verschlüsselt, bevor sie auf die Festplatte geschrieben werden, als ciphertext. Da eCryptfs Schlüssel und Metadaten pro Datei verarbeiten muss, läuft es bei gesättigten Lese- und Schreibvorgängen etwas langsamer als dm-crypt.
Die meisten Linux-Distributionen unterstützen dm-crypt in gewissem Maße in ihren Installern, sowie Android. Sie können dm-crypt verwenden, um das gesamte Gerät oder die Stamminstallation eines Desktops, Tablets, Telefons oder Servers zu verschlüsseln. Dies bedeutet jedoch normalerweise, dass das System nicht mehr unbeaufsichtigt gestartet werden kann, da Sie beim Booten interaktiv eine Passphrase eingeben müssen.
Aus diesem Grund hinzugefügt Ubuntu Unterstützung für eCryptfs in seinem Installateur, so dass Anwender nur empfindliche Teile der Platte verschlüsseln, wie their home directories, und der Benutzer die Nutzung login passphrase eine besondere, lange, zufällig generierten Schlüssel auszupacken. Ungefähr 3 Millionen Ubuntu-Benutzer nutzen eCryptfs, um ihr Home-Verzeichnis zu verschlüsseln. Einige kommerzielle network attached storage Geräte wie Synology verwenden eCryptfs zum Verschlüsseln der Daten im Ruhezustand. Und alle Google Chromebook device uses eCryptfs, um den lokalen Cache und die Anmeldeinformationen des Benutzers im Ruhezustand zu sichern und zu verschlüsseln.
Volle Offenbarung: Ich bin einer der Autoren und Betreuer von eCryptfs.
Sehr interessant. Würdest du eCryptfs immer noch bevorzugen? – 3pic
@ 3pic natürlich ist er einer der Autoren und Betreuer von eCryptfs.Aus einem neutralen Blickwinkel sollten Sie in Betracht ziehen, dass die Verschlüsselung von eCryptfs pro Datei zwar die Hardware mit geringer Leistung verlangsamen kann, aber ein hohes Maß an Flexibilität bietet, sodass der Verschlüsselungsprozess für Ihre Benutzer optional und ohne Formatierung umkehrbar ist MBT-Layout. dm-crypt ist komfortabel, wenn die Verschlüsselung dauerhaft sein muss und das System über menschliche Operatoren verfügt. Andernfalls können Sie eCryptfs verwenden, und Ihre Daten bleiben nach dem Aushängen der fs sicher. Bewahren Sie den Schlüssel einfach sicher auf. ;-) –
Sie sollten die Schreibleistungsunterschiede beachten, Quelle: https://superuser.com/questions/700174/poor-write-performance-on-e-cryptfs?rq=1 –