리눅스 6.16 커널은 하드웨어 래핑 인라인 암호화 키에 대한 지원을 도입하여, 콜드 부트 공격과 같은 공격으로부터 파일 보안을 강화합니다. 이 기능은 이전에 6.15 버전에 통합된 래핑 키에 대한 블록 레이어 지원을 활용합니다. 이 기능은 안드로이드에서 이미 사용되고 있었으며, 이제 업스트림 통합을 위한 준비가 완료되었습니다. 특히 Qualcomm SM8650 HDK에서 Qualcomm ICE(인라인 암호화 엔진)와 HWKM(하드웨어 키 관리자)에서 작동합니다.
구현을 통해 fscrypt 마스터 키를 하드웨어 래핑할 수 있으며, 이를 통해 래핑된 키를 blk-crypto를 통해 인라인 암호화 하드웨어에 전달하여 파일 내용을 암호화할 수 있습니다. 파일 이름 암호화는 여전히 파생된 소프트웨어 비밀을 사용하여 커널에서 처리되며, 이 기능은 파일 시스템별 변경을 필요로 하지 않습니다. 그러나 현재 인라인 암호화를 지원하는 파일 시스템, 특히 ext4와 f2fs로 제한되어 있습니다. 도입된 버전은 2020년부터 안드로이드 커널에서 운영되고 있는 버전과 대체로 동등하며, 몇 가지 추가 수정 사항이 포함되어 있습니다.
이 발전은 리눅스 생태계 내에서 데이터 보안을 강화하는 중요한 단계로, 지원되는 하드웨어를 사용하는 장치에 특히 유용하며, 주류 운영 체제에 강력한 암호화 방법을 통합하려는 지속적인 노력을 반영합니다.
* 이 글은
phoronix.com의 기사를 요약한 것입니다. 전체 기사의 내용은
이곳에서 확인하실 수 있습니다.