Criptografia em nível de sistema de arquivos - Filesystem-level encryption
A criptografia no nível do sistema de arquivos , geralmente chamada de criptografia baseada em arquivo , FBE ou criptografia de arquivo / pasta , é uma forma de criptografia de disco em que arquivos ou diretórios individuais são criptografados pelo próprio sistema de arquivos .
Isso contrasta com a criptografia de disco completo , em que toda a partição ou disco, no qual reside o sistema de arquivos, é criptografado.
Os tipos de criptografia em nível de sistema de arquivos incluem:
- o uso de um sistema de arquivos criptográfico 'empilhável' em camadas sobre o sistema de arquivos principal
- um único sistema de arquivos de uso geral com criptografia
As vantagens da criptografia em nível de sistema de arquivos incluem:
- gerenciamento flexível de chaves baseado em arquivo , de modo que cada arquivo possa ser e geralmente é criptografado com uma chave de criptografia separada
- gerenciamento individual de arquivos criptografados, por exemplo, backups incrementais dos arquivos individuais alterados, mesmo na forma criptografada, ao invés de backup de todo o volume criptografado
- o controle de acesso pode ser aplicado através do uso de criptografia de chave pública , e
- o fato de que as chaves criptográficas são mantidas apenas na memória enquanto o arquivo que é descriptografado por elas é mantido aberto.
Sistemas de arquivos de uso geral com criptografia
Ao contrário dos sistemas de arquivos criptográficos ou da criptografia de disco completo , os sistemas de arquivos de uso geral que incluem criptografia no nível do sistema de arquivos normalmente não criptografam os metadados do sistema de arquivos , como a estrutura de diretório, nomes de arquivos, tamanhos ou timestamps de modificação. Isso pode ser problemático se os próprios metadados precisarem ser mantidos em sigilo. Em outras palavras, se os arquivos são armazenados com nomes de arquivos de identificação, qualquer pessoa que tenha acesso ao disco físico pode saber quais documentos estão armazenados no disco, mas não o conteúdo dos documentos.
Uma exceção a isso é o suporte de criptografia adicionado ao sistema de arquivos ZFS . Metadados do sistema de arquivos, como nomes de arquivos, propriedade, ACLs e atributos estendidos, são todos armazenados criptografados em disco. Os metadados ZFS relacionados ao pool de armazenamento são armazenados em texto simples , portanto, é possível determinar quantos sistemas de arquivos (conjuntos de dados) estão disponíveis no pool, incluindo quais estão criptografados. O conteúdo dos arquivos e diretórios armazenados permanece criptografado.
Outra exceção é a substituição do CryFS para EncFS .
Sistemas de arquivos criptográficos
Os sistemas de arquivos criptográficos são sistemas de arquivos especializados (não de uso geral) que são projetados especificamente com criptografia e segurança em mente. Eles geralmente criptografam todos os dados que contêm - incluindo metadados. Em vez de implementar um formato em disco e sua própria alocação de bloco , esses sistemas de arquivos são frequentemente colocados em camadas sobre os sistemas de arquivos existentes, por exemplo, residindo em um diretório em um sistema de arquivos host. Muitos desses sistemas de arquivos também oferecem recursos avançados, como criptografia negável , permissões de sistema de arquivos somente leitura criptograficamente seguras e diferentes visualizações da estrutura de diretório dependendo da chave ou do usuário ...
Um uso para um sistema de arquivo criptográfico é quando parte de um sistema de arquivo existente é sincronizado com o ' armazenamento em nuvem '. Nesses casos, o sistema de arquivos criptográficos pode ser 'empilhado' em cima, para ajudar a proteger a confidencialidade dos dados.