Sólo una rápida cuestión de comprensión. Tengo un servidor TrueNas Scale y acabo de cambiar el método de cifrado de clave a frase de contraseña. Ahora me pregunto si necesito reescribir todo el conjunto de datos para que esto se aplique. ¿Mis datos ahora están en el disco sin cifrar o con la clave anterior? Gracias por tu ayuda :)
Respuesta1
No.
Cualquier sistema de cifrado de disco sensato tiene un encabezado que almacena las claves de cifrado de datos reales, las DEK. Esa es la clave quede hechocifra los datos en el disco y el usuario nunca lo ve durante el funcionamiento normal.
La DEK se cifra mediante algún otro método, como una frase de contraseña o un certificado. Potencialmente, también se puede cifrar varias veces con diferentes métodos; Esto lo soporta, por ejemplo, LUKS. La clave para el cifrado DEK se conoce como KEK, clave de cifrado de clave.
De hecho, ZFS utiliza este esquema.
Cuando cambia el método, cambia la forma en que cifra la DEK, no la DEK. El cambio simplemente vuelve a cifrar la DEK con una nueva KEK. Como el DEK tiene unos pocos cientos de bytes como máximo, esta es una operación económica.
Además, las KEK y las DEK deberían tener propiedades diferentes. El DEK debería ser un algoritmo de alto rendimiento que searápido, para que IO sea rápido.
Sin embargo, el KEK, que puede implicar contraseñas de usuario de baja calidad, debería ser lento, de modo que adivinar las claves lleve mucho tiempo, lo que lo hace aún más inviable. Este es un esquema de derivación de claves y rondas múltiples que se usa comúnmente para el KEK, ya que solo es necesario descifrarlo una vez al arrancar.