apenas uma rápida questão de compreensão. Eu tenho um servidor TrueNas Scale e acabei de alterar o método de criptografia de chave para senha. Agora me pergunto se preciso reescrever todo o conjunto de dados para que isso seja aplicado? Meus dados estão agora no disco não criptografados ou com a chave antiga? Obrigado pela ajuda :)
Responder1
Não.
Qualquer sistema de criptografia de disco sensato possui um cabeçalho que armazena as chaves de criptografia de dados reais, DEKs. Essa é a chave quena verdadecriptografa dados no disco e nunca é visto pelo usuário em operação normal.
A DEK é criptografada usando algum outro método, como uma senha ou certificado. Ele também pode ser criptografado várias vezes com métodos diferentes; isso é, por exemplo, suportado pelo LUKS. A chave para a criptografia DEK é conhecida como KEK, Key Encryption Key.
O ZFS realmente usa esse esquema.
Ao alterar o método, você altera a forma como criptografa a DEK, não a DEK. A alteração simplesmente criptografa novamente a DEK com uma nova KEK. Como o DEK tem no máximo algumas centenas de bytes, esta é uma operação barata.
Além disso, as KEK e as DEK devem ter propriedades diferentes. O DEK deve ser um algoritmo de alto desempenho que sejarápido, para que IO seja rápido.
A KEK, que pode envolver senhas de usuário de baixa qualidade, deve ser lenta, de modo que adivinhar as chaves leva muito tempo, tornando-a ainda mais inviável. Este esquema de derivação de chave e múltiplas rodadas é comumente usado para o KEK - pois ele só precisa ser descriptografado uma vez na inicialização.