无需FDE的用户土地文件加密策略

Question

有密码学专家担心在*nix平台上使用全磁盘加密(FDE)，这是因为在查看已知大小和校验和的公共*nix OS文件时，由于加密算法的反向工程而暴露的攻击面。我还没有找到任何模糊技术来绕过这一攻击表面，因此，我正在考虑放弃FDE作为一种策略。

我目前只使用用户级加密(如PEFS (FreeBSD)或EncFS (*nix) )进行研究。

假设FDE大小/校验和攻击面没有很好的解决方案，那么在关闭或锁定物理硬件时，如果黑客接触到物理硬件，应该采取什么策略来构建系统，以确保关键的安全工件保持安全？

Answer 1

PEFS可能是FreeBSD的最佳解决方案。更多信息可以在这里找到：https://wiki.freebsd.org/PEFS

此外，我们还采访了“PEFS：http://www.jupiterbroadcasting.com/53747/p-e-f-s-bsd-29/”的作者

Answer 2

另一种选择是使用geli块设备加密文件作为磁盘挂载通过md驱动程序使用vnode备份。