有些密码学专家担心在 *nix 平台上使用全盘加密 (FDE),因为在查看已知大小和校验和的常见 *nix 操作系统文件时,由于加密算法的逆向工程而暴露了攻击面。我还没有找到任何混淆技术来绕过这个攻击面,因此正在考虑放弃 FDE 作为一种策略。
我目前正在研究使用用户级加密,例如 PEFS (FreeBSD) 或 EncFS (*nix)。
假设围绕 FDE 大小/校验和攻击面没有好的解决方案,那么应该采取哪些构建系统的策略来确保关键安全工件在黑客在物理硬件关闭或关闭时得到保护时保持安全。锁了?
答案1
PEFS可能是 FreeBSD 的最佳解决方案。更多信息可以在这里找到:https://wiki.freebsd.org/PEFS
另外,这里还有对 PEFS 作者的采访:http://www.jupiterbroadcasting.com/53747/pefs-bsd-29/
答案2
另一种选择是使用 vnode 支持通过 md 驱动程序安装为磁盘的文件上使用 geli 块设备加密。