使用 inode 字段来存储文件的加密密钥

Question

我正在研究文件加密和解密的固有内核功能；带有某些预定义前缀的目录名称将自动加密。现在我必须安全地存储文件的加密密钥，我可以使用索引节点的任何未使用的字段吗？它是否有效或请提出任何其他想法。

Answer 1

将加密密钥存储在加密文件的索引节点中是弄巧成拙的 - 您可以使用磁盘编辑器等读取此密钥并访问文件内容，从而破坏加密。您需要为此提供一个 /proc 接口，以便用户空间可以决定如何提供此密钥（例如，提示用户输入经过哈希处理的密码以获得加密密钥）。

内核不应将加密密钥写入任何地方，它只应在将其写入特殊的 /proc 文件时接收它。您可以使用另一个 /proc 文件告诉内核标记加密目录的目录前缀。

如果您需要在文件中存储一些加密元数据（不是加密密钥！），请像 eCryptfs 一样将其放入标头中。