просто быстрый вопрос для понимания. У меня есть сервер TrueNas Scale, и я только что изменил метод шифрования с ключа на парольную фразу. Теперь мне интересно, нужно ли мне переписывать весь набор данных, чтобы это было применено? Мои данные сейчас на диске незашифрованы или со старым ключом? Спасибо за помощь :)
решение1
Нет.
Любая разумная система шифрования диска имеет заголовок, который хранит фактические ключи шифрования данных, DEK. Это ключ, которыйна самом делешифрует данные на диске и никогда не отображается пользователю при обычной работе.
DEK шифруется с использованием какого-либо другого метода, например, парольной фразы или сертификата. Он также может быть потенциально зашифрован несколько раз с использованием различных методов; например, это поддерживается LUKS. Ключ для шифрования DEK известен как KEK, Key Encryption Key.
ZFS действительно использует эту схему.
Когда вы меняете метод, вы меняете способ шифрования DEK, а не сам DEK. Изменение просто перешифровывает DEK новым KEK. Поскольку DEK составляет максимум несколько сотен байт, это дешевая операция.
Кроме того, KEK и DEK должны иметь разные свойства. DEK должен быть высокопроизводительным алгоритмом, которыйбыстрый, поэтому ввод-вывод выполняется быстро.
Однако KEK, который может включать в себя пароли пользователей низкого качества, должен быть медленным, так что угадывание ключей занимает много времени, что делает его еще более невозможным. Эта схема деривации ключей и несколько раундов обычно используются для KEK - поскольку его нужно расшифровать только один раз при загрузке.