这只是一个简单的理解问题。我有一个 TrueNas Scale 服务器,我刚刚将加密方法从密钥更改为密码。现在我想知道我是否需要重写整个数据集才能应用此功能?我的数据现在在磁盘上是未加密的还是使用旧密钥?感谢您的帮助 :)
答案1
不。
任何健全的磁盘加密系统都有一个标头,用于存储实际的数据加密密钥 DEK。这是实际上加密磁盘上的数据,在正常操作中用户永远看不到这些数据。
DEK 使用其他方法加密,例如密码或证书。它也可以使用不同的方法多次加密;例如,LUKS 支持这种方法。DEK 加密的密钥称为 KEK(密钥加密密钥)。
ZFS 确实采用了这种方案。
当您更改方法时,您更改的是加密 DEK 的方式,而不是 DEK 本身。更改只是使用新的 KEK 重新加密 DEK。由于 DEK 最多只有几百个字节,因此这是一个廉价的操作。
此外,KEK 和 DEK 应该具有不同的属性。DEK 应该是一种高性能算法,快速地,使得IO速度快。
然而,KEK 可能涉及低质量的用户密码,因此速度应该很慢,因此猜测密钥需要花费大量时间,这使其更加不可行。KEK 通常使用密钥派生方案和多轮加密 - 因为它只需要在启动时解密一次。