AIX 6 加密文件系统（Encrypted File System），第 2 部分：文件级的加密

核心提示：每个文件都使用 AES 算法进行了加密，AES 使用在创建该文件时随机生成的一个唯一的对称加密密钥，AIX 6 加密文件系统（Encrypted File System），第 2 部分：文件级的加密，AES 所需的其他参数，如模式和密钥长度，因为现在只有 user2 可以访问 file2，所以对该文件的对称加密密钥的唯

每个文件都使用 AES 算法进行了加密。AES 使用在创建该文件时随机生成的一个唯一的对称加密密钥。AES 所需的其他参数，如模式和密钥长度，都是从文件所在的目录或者文件系统继承而来的。

在将文件数据写入到磁盘的时候，对其进行加密；而从磁盘读取这些数据的时候，对其进行解密。

用于文件加密的对称密钥是由创建文件的用户的公共密钥来进行加密的，并且将其存储于文件的扩展属性中。这表示文件加密的元数据。如果为一个用户或者组授予该文件的访问权限，那么将使用这个用户或者组的公共密钥对文件对称密钥进行加密，并将其添加到该文件的扩展属性中。对于可授权访问该文件的用户或者组的数目来说，几乎没有任何限制。

只有拥有与这些公共密钥相匹配的私有密钥的那些用户，才能够获得对数据的访问权限。

创建加密的文件和 umask 命令

当您创建一个加密文件时，将使用该文件属主的公共密钥对文件的对称加密密钥进行加密，并将其写入到该文件的加密元数据中。如果 umask 值允许组访问，那么将使用组的公共密钥对文件的对称加密密钥的另一个副本进行加密，并将其添加到该文件的加密元数据中。

在示例 1 中，显示了缺省文件访问密钥的创建，以及 umask 值对它的影响方式。我们进行下面的操作：

user2 是 group1 的成员。

umask 值是 022。

创建 file1。因为 file1 可以由 user2 和 group1 进行读访问，所以会将该文件的对称加密密钥的两个副本（其中一个副本使用 user2 的公共密钥进行加密，另一个副本使用 group1 的公共密钥进行加密）添加到该文件的加密元数据中。

更改 umask 值，使得 group1 的成员不再具有访问权限。

创建 file2。因为现在只有 user2 可以访问 file2，所以对该文件的对称加密密钥的唯一副本使用 user2 的公共密钥进行加密，并且将其添加到该文件的加密元数据中。