透明加密

Question

我正在设计一个需要加密的工业嵌入式系统。我知道加密会减慢很多事情，因为我的媒体要么是紧凑的闪光灯，要么是SD。我确实只需要加密/etc中的某些文件，可能是一些特定于应用程序的日志文件和数据文件。

我是否可以创建指向所有需要加密的文件夹和文件的硬链接，将它们定位在一个单独的卷上，并加密此卷？如果我对包含wpa2密钥的网络文件进行加密，这对网络堆栈是否是透明的？还是有一种方法可以透明地加密某些文件？

Answer 1

无法跨越文件系统边界进行硬链接。

在配置文件的情况下，符号链接对应用程序是透明的。对于其他一些情况，您可能需要用符号链接包含的文件夹。

像wpa_supplicant.conf这样的文件可以使用散列密码(尽管对您的应用程序来说，这仍然不够安全)。

加密通常是指整个块设备(例如dm-crypt)，或者是堆叠的文件系统(例如eCryptfs)。后者的安全性较低，因为它们可能泄漏元数据。您仍然需要处理在启动时安全挂载加密文件系统的问题。