Jon*_*han 0 zfs network-attached-storage encryption truenas
只是一个简单的理解问题。我有一台 TrueNas Scale 服务器,我刚刚将加密方法从密钥更改为密码。现在我想知道是否需要重写整个数据集才能应用此功能?我的数据现在在磁盘上是未加密的还是使用旧密钥的?感谢您的帮助 :)
不。
任何健全的磁盘加密系统都有一个存储实际数据加密密钥(DEK)的标头。这是实际加密磁盘上数据的密钥,用户在正常操作中永远看不到。
DEK 使用某种其他方法加密,例如密码或证书。它也可以使用不同的方法进行多次加密;例如,这得到了 LUKS 的支持。DEK 加密的密钥称为 KEK,密钥加密密钥。
ZFS确实使用了这个方案。
当您更改方法时,您更改的是加密 DEK 的方式,而不是 DEK。该更改只是使用新的 KEK 重新加密 DEK。由于 DEK 最多只有几百个字节,因此这是一个廉价的操作。
此外,KEK 和 DEK 应该具有不同的特性。DEK应该是一个速度快的高性能算法,这样IO就很快。
然而,KEK 可能涉及低质量的用户密码,速度应该很慢,因此猜测密钥需要花费大量时间,使其更加不可行。这是 KEK 通常使用的密钥派生方案和多轮 - 因为它只需要在启动时解密一次。
| 归档时间: |
|
| 查看次数: |
189 次 |
| 最近记录: |