透明加密
“文件系统的加密”有别于整颗硬盘的加密方式,系指在文件系统上面针对个别的文件或目录上面进行加密的动作。
在文件系统上面的加密动作可以带来的好处包括以下:
- 更具弹性的以文件为基础的加密键管理方式,如此则每个文件都可以以个别的加密键进行加密。
- 加密后的文件仍享有个别的文件处理方式,像是仍可以使用个别的新增备份处理方式,而不是非要备份一整个文件系统。
- 存取控制可以透过强迫使用公用𬬭匙(public-key cryptography)的方式。
- 解密键(cryptographic keys)只在存储器中保留确保了解密通道的维持。
一般具有加密功能的文件系统
不像是密码型的文件系统,或全硬盘的加密方式,一般文件系统具有文件系统层级的加密的,不会把文件系统里的 metadata 加以加密,诸如目录结构、文件名称及大小、时间戳记等等并不在加密的范围里面。这样的结果可能造成一些麻烦,像是 metadata 如果也有必要加以保密的时候。这代表者不管有没有授权,用户都能对这些资料加以解读。结果是,除了使用像是虚拟文件系统(如 PGP disk)这种方式之外,要让内容无法检查或侦测都是不可能的情况。
密码型文件系统
密码型文件系统通常是特别设计作安全加密的保存而非一般通用的文件系统。一般在这个文件系统里面会把所有的资料都给予加密保存,包括了 metadata 的部分。这些文件系统通常是以像放在某个目录存储在现有的文件系统里头的方式存在,而没有在硬盘资料格式及区块存放这些功能上面实现。许多这样的文件系统会提供高级的功能像是[否定加密]法的加密方式,以及只读的加密型文件系统、根据用户密码而会有不同的目录显示等等的功能。