Хранение ключа шифрования в inode файла, который зашифрован, является саморазрушительным - вы можете прочитать этот ключ, например, например. редактор диска и доступ к содержимому файла, тем самым победив шифрование. Для этого вам необходимо предоставить интерфейс / proc, чтобы пользовательское пространство могло решить, как этот ключ будет предоставлен (например, пользователю будет предложено ввести пароль, который хэшируется для получения ключа шифрования).
Ядро не должно нигде писать ключ шифрования, оно должно получать его только тогда, когда оно записывается в специальный файл / proc. Вы можете использовать другой файл / proc, чтобы сообщить ядру префикс каталога, который помечает зашифрованные каталоги.
Если вам нужно сохранить некоторые метаданные шифрования в файле (не ключ шифрования!), Поместите их в заголовок, как это делает eCryptfs.