目前一般的 data at rest encryption 有三種方式,分別為:
Encrypted drives
獨立於作業系統之外,由硬體提供加密的功能。避免硬體遺失時資料被輕易拿出,缺點是無法避免系統運行時被惡意使用者或惡意程序拿取資料。
Full disk encryption
在這種模式下不需要硬體支援,可針對 disk 或 volume 整個加密。實作方式各家 filesystem 都有不同,所以也有不同的限制,像是有的可以對 /root 資料夾加密,有的不行。缺點和 Encrypted drives 一樣無法避免 disk 或 volume 運行起來時被惡意使用者或惡意程序拿取資料。
Filesystem encryption
又稱為 file/folder encryption 。此種方式可以讓使用者分別對某個檔案或資料夾加密,加密時也可選擇不同的 key ,因此優點就是可以避免上面兩種方式的缺點,讓惡意使用者或程序難以解讀內容。缺點是針對密碼控管需要注意,特別是加密很多東西時。
其實我初看到 Filesystem encryption 名詞時還以為是對整個 filesystem 加密,不過後來查 wiki 看到別稱才明白是指什麼。