理解するための簡単な質問です。私は TrueNas Scale サーバーを持っていて、暗号化方式をキーからパスフレーズに変更しました。これを適用するためにデータセット全体を書き換える必要があるかどうか疑問に思っています。ディスク上のデータは暗号化されていないのでしょうか、それとも古いキーで暗号化されているのでしょうか。ご協力ありがとうございます :)
答え1
いいえ。
まともなディスク暗号化システムには、実際のデータ暗号化キー(DEK)を格納するヘッダーがあります。それが実はディスク上のデータを暗号化し、通常の操作ではユーザーに表示されません。
DEK は、パスフレーズや証明書などの他の方法を使用して暗号化されます。また、異なる方法で複数回暗号化される可能性もあります。これは、たとえば LUKS によってサポートされています。DEK 暗号化のキーは、KEK (キー暗号化キー) と呼ばれます。
ZFS は実際にこのスキームを使用します。
方法を変更すると、DEK ではなく、DEK を暗号化する方法が変更されます。変更すると、DEK が新しい KEK で再暗号化されるだけです。DEK は最大で数百バイトなので、これは低コストの操作です。
さらに、KEKとDEKは異なる特性を持つ必要があります。DEKは、速い、IO が高速になるようにします。
ただし、低品質のユーザー パスワードが含まれる可能性がある KEK は低速であるため、キーの推測に時間がかかり、さらに実行不可能になります。このキー導出スキームと複数のラウンドは、起動時に 1 回だけ復号化する必要があるため、KEK でよく使用されます。