nur eine kurze Verständnisfrage. Ich habe einen TrueNas Scale-Server und habe gerade die Verschlüsselungsmethode von Schlüssel auf Passphrase geändert. Jetzt frage ich mich, ob ich den gesamten Datensatz neu schreiben muss, damit dies angewendet wird? Sind meine Daten jetzt auf der Festplatte unverschlüsselt oder mit dem alten Schlüssel? Danke für deine Hilfe :)
Antwort1
NEIN.
Jedes vernünftige Festplattenverschlüsselungssystem verfügt über einen Header, in dem die eigentlichen Datenverschlüsselungsschlüssel (DEKs) gespeichert sind. Das ist der Schlüssel, derGenau genommenverschlüsselt Daten auf der Festplatte und wird im Normalbetrieb vom Benutzer nie gesehen.
Der DEK wird mit einer anderen Methode verschlüsselt, beispielsweise einer Passphrase oder einem Zertifikat. Er kann möglicherweise auch mehrfach mit verschiedenen Methoden verschlüsselt werden; dies wird beispielsweise von LUKS unterstützt. Der Schlüssel für die DEK-Verschlüsselung wird als KEK (Key Encryption Key) bezeichnet.
ZFS verwendet dieses Schema tatsächlich.
Wenn Sie die Methode ändern, ändern Sie die Art und Weise, wie Sie den DEK verschlüsseln, nicht den DEK selbst. Die Änderung verschlüsselt den DEK einfach mit einem neuen KEK neu. Da der DEK höchstens ein paar hundert Bytes groß ist, ist dies ein kostengünstiger Vorgang.
Darüber hinaus sollten KEKs und DEKs unterschiedliche Eigenschaften haben. Der DEK sollte ein leistungsstarker Algorithmus sein, derschnell, damit die IO schnell ist.
Der KEK, der möglicherweise Benutzerpasswörter von geringer Qualität enthält, sollte jedoch langsam sein, sodass das Erraten von Schlüsseln viel Zeit in Anspruch nimmt, was es noch unmöglicher macht. Für den KEK wird häufig ein Schlüsselableitungsschema und mehrere Runden verwendet, da er beim Booten nur einmal entschlüsselt werden muss.