开发Linux系统下的磁盘加密方法详解

随着智能手机的计算能力和存储能力的提高，手机中将会存放越来越多的私有数据，这些数据的泄密可能造成严重后果。手机信息安全一直是我们的重点之一，对于一些重要的功能我们要求鉴权后才能使用，但这只能挡住初级的黑客，只能防君子不能防小人，所以我们希望把重要的数据进行加密后再保存。为此，今天花了一点时间去了解Linux 磁盘加密的方法。

ecryptfs

下载并编译

http://people.redhat.com/~dhowells/keyutils/keyutils-1.2.tar.bz2

tar jxf keyutils-1.2.tar.bz2

cd keyutils-1.2

make;make install

tar jxf ecryptfs-20070306.tar.bz2

cd ecryptfs-20070306/ecryptfs-util

./configure;make;make install

编译内核

make menuconfig

File systems>Miscellaneous filesystems

CONFIG_ECRYPT_FS

加载模块

modprobe ecryptfs

(以及加密模块)

加载

mkdir /root/crypt

mkdir /mnt/crypt

mount -t ecryptfs /root/crypt /mnt/crypt

(提示输入密码和算法)

卸载

umount /mnt/crypt

重新加载

mount -t ecryptfs /root/crypt /mnt/crypt

(提示输入密码和算法)

　　看来ecryptfs的特点是能够对目录进行加密，而不必加密整个磁盘。直接读取原始目录中的文件，只能读到加密后的数据，要正确读取数据，只有先把该目录用ecryptfs文件系统格式加载到另外一个目录，之后才能读取。而在加载时要指定密码和加密算法，这就起到保密作用。如果加载时指定错误的密码或加密算法，仍然可以加载而不会出错，但读出的数据是无效的。

　　ecryptfs的代码在fs/ecryptfs目录下，只有比较新的kernel版本才有，我用的是linux-2.6.21。它的实现与前面两种方法不同，它完全是按文件系统的方式来实现的。

原文出自【比特网】，转载请保留原文链接：http://sec.chinabyte.com/217/8600717_3.shtml