dm-crypt可以配置为在每次读/写时都请求密钥吗？

Question

我的理解是，dm-crypt用于抽象实际的块设备，这样读/解密和写/加密就会自动发生。

但是，假设创建了一个具有目标的设备映射:加密，它有一个文件系统，并且它已经被挂载，是否可以告诉dm-crypt在每次写入(加密)和读取(解密)时都请求密钥，而不是自动使用表映射中的密钥？

我在这里真正想问的是，我们是否可以在运行时将FDE扩展到具有安全性，而不仅仅是在计算机关机或硬盘被盗时？或者FBE是解决这些问题的唯一合适方法？

Answer 1

原则上，可以让dm-crypt“忘记”密钥，并要求每次重新键入，但这将是不切实际和非常不方便的。对文件系统的读写不一定直接对应于“打开文件”或“保存文件”等用户操作。

• 当一个程序打开一个文件时，它不一定同时将整个程序加载到RAM中。它可能会使文件保持打开状态，并根据需要读取其中的部分内容，在任意时间用密码提示打断您。
• 同样，当一个程序写到一个文件时，它不一定一次就写完整个文件。即使是这样，写缓存也会延迟对磁盘的实际写入。
• 根据您系统上的软件，可能需要访问后台的文件系统，而不依赖于您正在做的事情(也可能是当您远离计算机时)。这将导致更多带有密码提示的随机中断。

实际上，你不能做你想做的事，因为dm-crypt不支持它，因为出于上述原因，它是不切实际的。

Answer 2

如果我正确地阅读了您的内容，并且您建议在运行时不断地更改密钥，那么需要保留一个巨大的密钥历史“映射”，以便返回并访问n个键之前编写的数据。或者，如果键更改导致磁盘驱动器在每次发生键更改时被“重新映像”，则需要某种非常快的驱动器才能实现这一目标。