摘要：ecryptfs的特点是能够对目录进行加密，而不必加密整个磁盘。直接读取原始目录中的文件，只能读到加密后的数据，要正确读取数据，只有先把该目录用ecryptfs文件系统格式加载到另外一个目录，之后才能读取。而在加载时要指定密码和加密算法，这就起到保密作用。

    随着智能手机的计算能力和存储能力的提高，手机中将会存放越来越多的私有数据，这些数据的泄密可能造成严重后果。手机信息安全一直是我们的重点之一，对于一些重要的功能我们要求鉴权后才能使用，但这只能挡住初级的黑客，只能防君子不能防小人，所以我们希望把重要的数据进行加密后再保存。为此，今天花了一点时间去了解Linux磁盘加密的方法。

方法一：

下载并编译util-linux

http://www.paranoiacs.org/~sluskyb/hacks/util-linux/losetup-combined.patch

http://ftp.cwi.nl/aeb/util-linux/util-linux-2.12.tar.gz

http://hydra.azilian.net/util-linux-2.12-kernel-2.6.patch

tarzxvfutil-linux-2.12.tar.gz

cdutil-linux-2.12

patch-p1<../losetup-combined.patch

patch-p1<../util-linux-2.12-kernel-2.6.patch

(如果有_syscall5之类编译错误，将它换成新的调用方式syscall)

make;makeinstall

编译内核(已经支持cryptoloop则跳过此步)

makemenuconfig

DeviceDrivers>BlockDevices>Loopbackdevicesupport

BLK_DEV_CRYPTOLOOP

加载模块

modprobecryptoloop

(以及加密模块)

创建loop设备

ddif=/dev/zeroof=~/cryptoloop.imagebs=1Mcount=10

losetup-eaes-256/dev/loop0~/cryptoloop.image

(提示输入密码)

创建文件系统并加载

mkfs.ext3/dev/loop0

mkdir/mnt/crypto

mount-text3~/cryptoloop.image/mnt/crypto/-oencryption=aes-256

(提示输入密码)

卸载

umount/mnt/crypto

losetup-d/dev/loop0

重新加载

losetup-eaes-256/dev/loop0~/cryptoloop.image

mount-text3~/cryptoloop.image/mnt/crypto/-oencryption=aes-256

cryptoloop就是一种transfer的实现。至于使用哪种transfer及transfer的参数(如密码)，这可以通过LOOP_SET_STATUS64的ioctrl系统调用来完成(mount命令就是这样实现的)。

cryptoloop的缺点是只能针对loop设备，而且对日志型文件系统无效。

方法二：device-mappercrypto

下载并编译cryptsetup（已经有了就跳过）

wgethttp://www.saout.de/misc/dm-crypt/cryptsetup-0.1.tar.bz2

cdcryptsetup-0.1

./configure;make;makeinstall

编译内核（已经支持则跳过此步）

makemenuconfig

DeviceDrivers>Multi-devicesupport(RAIDandLVM)

CONFIG_BLK_DEV_DM

CONFIG_DM_CRYPT

加载模块

modprobedm-crypt

(以及加密模块)

创建loop设备

ddif=/dev/zeroof=~/dm-crypt.imagebs=1Mcount=10

losetup/dev/loop0~/dm-crypt.image

建立device-mapper

cryptsetup-ycreatedm-crypt/dev/loop0

(提示输入密码)

创建文件系统并加载

mkfs.ext3/dev/mapper/dm-crypt

mount/dev/mapper/dm-crypt/mnt/crypto

卸载

umount/mnt/crypto/

cryptsetupremovedm-crypt

losetup-d/dev/loop0

重新加载

cryptsetup-ycreatedm-crypt/dev/loop0

mount/dev/mapper/dm-crypt/mnt/crypto

device-mappercrypto的实现在drivers/md目录下，相对来说要复杂得多，没有来得及仔细阅读。

方法三：ecryptfs

下载并编译

http://people.redhat.com/~dhowells/keyutils/keyutils-1.2.tar.bz2

tarjxfkeyutils-1.2.tar.bz2

cdkeyutils-1.2

make;makeinstall

tarjxfecryptfs-20070306.tar.bz2

cdecryptfs-20070306/ecryptfs-util

./configure;make;makeinstall

编译内核

makemenuconfig

Filesystems>Miscellaneousfilesystems

CONFIG_ECRYPT_FS

加载模块

modprobeecryptfs

(以及加密模块)

加载

mkdir/root/crypt

mkdir/mnt/crypt

mount-tecryptfs/root/crypt/mnt/crypt

(提示输入密码和算法)

卸载

umount/mnt/crypt

重新加载

mount-tecryptfs/root/crypt/mnt/crypt

(提示输入密码和算法)
 
    看来ecryptfs的特点是能够对目录进行加密，而不必加密整个磁盘。直接读取原始目录中的文件，只能读到加密后的数据，要正确读取数据，只有先把该目录用ecryptfs文件系统格式加载到另外一个目录，之后才能读取。而在加载时要指定密码和加密算法，这就起到保密作用。如果加载时指定错误的密码或加密算法，仍然可以加载而不会出错，但读出的数据是无效的。

    ecryptfs的代码在fs/ecryptfs目录下，只有比较新的kernel版本才有，我用的是linux-2.6.21。它的实现与前面两种方法不同，它完全是按文件系统的方式来实现的。

    以上几种加密方法，在加载时都要输入密码，为了使用上的方便，可以与PAM+libpam-mount插件集成起来，用当前用户的密码作为加密的密码，这样就只需要在登录时输入一次就够了。