线路上的文件系统加密

Question

让我们假设以下场景；我需要通过网络打开一个加密的文件系统（就像我能够在本地使用 TrueCrypt 一样），但

• 我希望加密/解密严格在客户端进行，所以没有魔法令牌可以进入我
• 想要读取的机器之外/按需编写文件系统：我的加密文件系统可能包含 3Gb 的文件，但我只需要编辑 1Mb 的文件，因此我的带宽消耗不应超过其中的很大一部分，

在我看来，这是满足两者的唯一方法要求是块级加密，因此客户端将解密文件系统结构，通过网络请求特定块，编辑一些请求的块，发送更新的（已加密）块。

有什么工具可以做到这一点？我听说 eCryptFS 进行块级加密，但我不确定它是否有一个像 TrueCrypt 一样好的前端

我的理解是，使用 TrueCrypt 你需要下载完整的 3Gb 分区，打开它，编辑一些文件，卸载然后重新发送整个 3Gb。这是正确的吗？

Answer 1

您可以使用允许您通过网络连接到原始磁盘的协议，然后在其上运行标准分区加密工具（如 TrueCrypt）。

此类协议的示例包括 NBD（网络块设备）和 iSCSI（IP 上的 SCSI）。

Answer 2

如果您正在寻找文件系统库，我们的 SolFS 可以满足您的需求。您可以将存储保留在服务器上（加密）并从客户端打开它。打开时，只会下载某些页面，并且它们将在客户端解密（并在更改时重新加密并上传回来）。

Answer 3

网络块设备应该可以实现这一点。不确定该协议有多稳定，或者它是否支持多个客户端。