Managing Encrypted Filesystems with dirlock
7 months ago
- #encryption
- #Linux
- #SteamOS
- 阿尔贝托·加西亚及其团队开发了dirlock工具,用于管理SteamOS上的加密文件系统,该项目已在欧洲开源峰会上展示。
- Steam Deck设备与手机类似,存储着需要加密的个人数据,特别是因其功能已超越单纯游戏范畴。
- 当前SteamOS的加密选项有限,Plasma Vault仅支持加密目录而非整个主目录加密。
- 项目目标包括:设备丢失/被盗时保护个人数据、支持多用户独立密钥、无需重装系统即可启用加密。
- 评估了三种加密技术:堆叠式文件系统加密(如gocryptfs)、块设备加密(如LUKS)及原生文件系统加密(fscrypt)。
- 最终选择fscrypt方案,因其兼具实用性、灵活性、现有系统易启用性及良好性能表现。
- 受fscrypt启发的dirlock采用Rust编写,管理加密密钥并支持PAM/FIDO/TPM,将成为SteamOS 3.8的实验性功能。
- dirlock通过'保护器'(密码/FIDO2/TPM)封装主密钥,实现安全灵活的密钥管理与访问控制。
- 该工具包含PAM认证模块,支持多用户使用不同保护器访问共享目录等场景。
- 团队特别指出,选用Rust语言开发dirlock是毫无争议的务实选择,印证了该语言在开发领域的成熟地位。