Jonathan Asked: 2023-09-16 00:14:42 +0800 CST2023-09-16 00:14:42 +0800 CST 2023-09-16 00:14:42 +0800 CST TrueNas 加密方法已更改 - 数据安全吗? 772 只是一个简单的理解问题。我有一台 TrueNas Scale 服务器,我刚刚将加密方法从密钥更改为密码。现在我想知道是否需要重写整个数据集才能应用此功能?我的数据现在在磁盘上是未加密的还是使用旧密钥的?感谢您的帮助 :) zfs 1 个回答 Voted Best Answer vidarlo 2023-09-16T02:07:38+08:002023-09-16T02:07:38+08:00 不。 任何健全的磁盘加密系统都有一个存储实际数据加密密钥(DEK)的标头。这是实际加密磁盘上数据的密钥,用户在正常操作中永远看不到。 DEK 使用某种其他方法加密,例如密码或证书。它也可以使用不同的方法进行多次加密;例如,这得到了 LUKS 的支持。DEK 加密的密钥称为 KEK,密钥加密密钥。 ZFS确实使用了这个方案。 当您更改方法时,您更改的是加密 DEK 的方式,而不是 DEK。该更改只是使用新的 KEK 重新加密 DEK。由于 DEK 最多只有几百个字节,因此这是一个廉价的操作。 此外,KEK 和 DEK 应该具有不同的属性。DEK应该是一个速度快的高性能算法,这样IO就很快。 然而,KEK 可能涉及低质量的用户密码,速度应该很慢,因此猜测密钥需要花费大量时间,使其更加不可行。这是 KEK 通常使用的密钥派生方案和多轮 - 因为它只需要在启动时解密一次。
不。
任何健全的磁盘加密系统都有一个存储实际数据加密密钥(DEK)的标头。这是实际加密磁盘上数据的密钥,用户在正常操作中永远看不到。
DEK 使用某种其他方法加密,例如密码或证书。它也可以使用不同的方法进行多次加密;例如,这得到了 LUKS 的支持。DEK 加密的密钥称为 KEK,密钥加密密钥。
ZFS确实使用了这个方案。
当您更改方法时,您更改的是加密 DEK 的方式,而不是 DEK。该更改只是使用新的 KEK 重新加密 DEK。由于 DEK 最多只有几百个字节,因此这是一个廉价的操作。
此外,KEK 和 DEK 应该具有不同的属性。DEK应该是一个速度快的高性能算法,这样IO就很快。
然而,KEK 可能涉及低质量的用户密码,速度应该很慢,因此猜测密钥需要花费大量时间,使其更加不可行。这是 KEK 通常使用的密钥派生方案和多轮 - 因为它只需要在启动时解密一次。