只是一個簡單的理解問題。我有一台 TrueNas Scale 伺服器,我剛剛將加密方法從金鑰更改為密碼。現在我想知道是否需要重寫整個資料集才能應用此功能?我的資料現在在磁碟上是未加密的還是使用舊金鑰的?感謝您的幫助 :)
答案1
不。
任何健全的磁碟加密系統都有一個儲存實際資料加密金鑰(DEK)的標頭。這就是關鍵實際上對磁碟上的資料進行加密,並且在正常操作中使用者永遠不會看到。
DEK 使用某種其他方法加密,例如密碼或憑證。它也可以使用不同的方法進行多次加密;例如,這得到了 LUKS 的支持。 DEK 加密的金鑰稱為 KEK,金鑰加密金鑰。
ZFS確實使用了這個方案。
當您更改方法時,您更改的是加密 DEK 的方式,而不是 DEK。該更改只是使用新的 KEK 重新加密 DEK。由於 DEK 最多只有幾百個字節,因此這是一個便宜的操作。
此外,KEK 和 DEK 應該具有不同的特性。 DEK 應該是一種高效能演算法快速地,這樣IO就快了。
然而,KEK 可能涉及低品質的用戶密碼,速度應該很慢,因此猜測密鑰需要花費大量時間,使其更加不可行。這是 KEK 通常使用的金鑰派生方案和多輪 - 因為它只需要在啟動時解密一次。