Bonjour,
Je viens d'effectuer une série de tests sur le sujet du chiffrement des datasets sur Truenas 13.
Je sais que le système de chiffrement d'anciennement freenas et nouvellement Truenas est un peu différent, mais je n'en connais pas bien les différences.
Voici mon retour d'expérience :
Il y a un truc qui me chiffonne, si mes souvenirs sont bons. Sur Freenas, on avait aussi la possibilité de mettre une "phrase de passe", mais celle-ci protégeait la clé de chiffrement. Donc, il y avait la clé qui chiffrait le pool et la "phrase de passe" qui verouillait l'accès à la clé de chiffrement. Il fallait à ce moment là se rendre sur l'interface administrateur pour rentrer la phrase de passe.
Dans le cas de Truenas, lorsqu'on met une "phrase de passe", il n'y a pas la possibilité de télécharger la clé de chiffrement. Du coup, la phrase de passe sert-elle à chiffrer le pool (ce dont je m'étonne car pas sécure) ou bien comme dans Freenas à déverrouiller l'accès à la clé de chiffrement ?
Question annexe :
_ mieux vaut-il chiffrer tout le pool et éventuellement désactiver le chiffrement sur certains datasets enfant lorsque les données ne sont pas sensibles ?
ou
_ mieux vaut-il ne pas chiffrer le pool et éventuellement chiffrer le ou les datasets qui stockerais des données sensibles ?
ou
_ tout chiffrer sans se poser de question ?
Cordialement
Je viens d'effectuer une série de tests sur le sujet du chiffrement des datasets sur Truenas 13.
Je sais que le système de chiffrement d'anciennement freenas et nouvellement Truenas est un peu différent, mais je n'en connais pas bien les différences.
Voici mon retour d'expérience :
- A tous moment, il est possible de passer d’une clé de chiffrement à une « phrase de passe ». Pour cela, il faut se rendre dans Stockage > Volumes > Cliquer sur les 3 points verticaux en face du pool souhaité > Paragraphe « Actions de chiffrement » > Cliquer sur « Options de chiffrement »
- Dans le cas du chiffrement avec une « phrase de passe », lors d’un redémarrage du serveur, il sera nécessaire de se rendre sur l’interface administrateur pour déverrouiller manuellement les datasets. Ceux avec une clé de chiffrement sont automatiquement déchiffrés par le système au démarrage.
- Quand un dataset parent est chiffré via une clé, les enfants / arrières petits enfants peuvent être chiffrés soit par une clé, soit par une « phrase de passe ». En revanche, lorsqu’un dataset parents est chiffré via une « phrase de passe », les datasets enfants n’auront pas d’autres choix que d’être chiffrés via une « phrase de passe » où chaque dataset enfant / arrière petit enfant peut avoir sa propre « phrase de passe ».
- Il est possible de ne pas chiffrer le dataset racine du pool et de chiffrer un ou plusieurs dataset enfant / arrière petit enfant
- A l’inverse, il est possible de chiffrer entièrement le dataset racine du pool et de ne pas chiffrer un ou plusieurs dataset enfant / arrière petit enfant
- Chaque dataset enfant peut avoir sa clé de chiffrement / « phrase de passe » indépendamment.
Il y a un truc qui me chiffonne, si mes souvenirs sont bons. Sur Freenas, on avait aussi la possibilité de mettre une "phrase de passe", mais celle-ci protégeait la clé de chiffrement. Donc, il y avait la clé qui chiffrait le pool et la "phrase de passe" qui verouillait l'accès à la clé de chiffrement. Il fallait à ce moment là se rendre sur l'interface administrateur pour rentrer la phrase de passe.
Dans le cas de Truenas, lorsqu'on met une "phrase de passe", il n'y a pas la possibilité de télécharger la clé de chiffrement. Du coup, la phrase de passe sert-elle à chiffrer le pool (ce dont je m'étonne car pas sécure) ou bien comme dans Freenas à déverrouiller l'accès à la clé de chiffrement ?
Question annexe :
_ mieux vaut-il chiffrer tout le pool et éventuellement désactiver le chiffrement sur certains datasets enfant lorsque les données ne sont pas sensibles ?
ou
_ mieux vaut-il ne pas chiffrer le pool et éventuellement chiffrer le ou les datasets qui stockerais des données sensibles ?
ou
_ tout chiffrer sans se poser de question ?
Cordialement