Modelando un cifrado basado en archivos por proceso para Linux

Estoy intentando modelar & implementar una solución de encriptación transparente por proceso basada en archivos para Linux. Quiero que cada proceso tenga sus propios archivos encriptados. Quiero bloquear a Firefox para que no lea mi clave privada gpg (digamos que mi clave privada no está encriptada por defecto)

Actualmente es el siguiente:

1. Conecte los envoltorios syscall (a través de una biblioteca inyectada con LD_PRELOAD globalmente) para el acceso a archivos (abrir, abrir, leer, escribir, crear, cerrar) y verificar si la ruta a acceder está cubierta por el cifrado (por ejemplo, ~ / .mozilla). si no se llama a la ruta, se llama a la función regular.
2. Pida al administrador de claves (un demonio privilegiado) las claves a través de un socket Unix
3. Cifrar (al escribir / agregar / crear) o descifrar (al leer) los datos

Mis preguntas son:

1. Estoy usando recvmsg / sendmsg para encontrar el pid que solicitó una clave. ¿Puede un adversario manipularlo?
2. Estoy usando /proc/*something*/exe para encontrar la ruta del ejecutable de pid. ¿Es seguro (puede un proceso falsificarlo?)
3. El administrador de claves proporciona la misma clave a los procesos con la misma ruta de ejecución y uid. ¿Hay una mejor manera de modelarlo?