이해에 대한 간단한 질문입니다. TrueNas Scale 서버가 있는데 암호화 방법을 키에서 암호로 변경했습니다. 이제 이를 적용하려면 전체 데이터 세트를 다시 작성해야 하는지 궁금합니다. 현재 디스크에 있는 내 데이터는 암호화되지 않았나요, 아니면 이전 키를 사용하고 있나요? 당신의 도움을 주셔서 감사합니다 :)
답변1
아니요.
정상적인 디스크 암호화 시스템에는 실제 데이터 암호화 키인 DEK를 저장하는 헤더가 있습니다. 그게 핵심이야실제로디스크의 데이터를 암호화하며 일반 작업에서는 사용자가 볼 수 없습니다.
DEK는 암호나 인증서와 같은 다른 방법을 사용하여 암호화됩니다. 다양한 방법으로 여러 번 암호화될 수도 있습니다. 이는 예를 들어 LUKS에서 지원됩니다. DEK 암호화용 키는 KEK(키 암호화 키)라고 합니다.
ZFS는 실제로 이 체계를 사용합니다.
방법을 변경하면 DEK가 아닌 DEK 암호화 방법이 변경됩니다. 변경하면 DEK가 새 KEK로 다시 암호화됩니다. DEK는 최대 수백 바이트이므로 이는 저렴한 작업입니다.
또한 KEK와 DEK는 서로 다른 속성을 가져야 합니다. DEK는 고성능 알고리즘이어야 합니다.빠른, 그래서 IO가 빠릅니다.
그러나 품질이 낮은 사용자 비밀번호가 포함될 수 있는 KEK는 속도가 느려서 키를 추측하는 데 많은 시간이 걸리므로 실행이 더욱 불가능해집니다. 이는 키 파생 방식과 여러 라운드가 KEK에 일반적으로 사용됩니다. 부팅 시 한 번만 해독하면 되기 때문입니다.