Vous pouvez modifier la clé d'encapsulation d'un système de fichiers chiffré à l'aide de la commande zfs key–c. La clé d'encapsulation existante doit avoir été chargée auparavant : soit lors de l'initialisation, soit par chargement explicite de la clé du système de fichiers (zfs key –l), soit par montage du système de fichiers (zfs mount filesystem). Par exemple :
# zfs key -c tank/home/darren Enter new passphrase for 'tank/home/darren': xxxxxxxx Enter again: xxxxxxxx
Dans l'exemple suivant, la clé d'encapsulation est modifiée et la valeur de la propriété keysource est modifiée pour indiquer que la clé d'encapsulation provient d'un fichier.
# zfs key -c -o keysource=raw,file:///media/stick/key tank/home/darren
La clé de chiffrement des données d'un système de fichiers chiffré peut être modifiée à l'aide de la commande zfs key –K, mais la nouvelle clé de chiffrement est uniquement utilisée pour les nouvelles données écrites. Cette fonctionnalité peut être utilisée pour assurer la conformité avec les directives NIST 800-57 relatives à la limitation dans le temps de la clé de chiffrement de données. Par exemple :
# zfs key -K tank/home/darren
Dans l'exemple ci-dessus, la clé de chiffrement des données n'est ni visible ni directement gérée par vous. En outre, la délégation keychange est requise pour effectuer une opération de modification de clé.
Les algorithmes de chiffrement suivants sont disponibles :
aes-128-ccm, aes-192-ccm, aes-256-ccm
aes-128-gcm, aes-192-gcm, aes-256-gcm
La propriété keysource ZFS identifie le format et l'emplacement de la clé qui encapsule les clés de chiffrement des données du système de fichiers. Par exemple :
# zfs get keysource tank/home/darren NAME PROPERTY VALUE SOURCE tank/home/darren keysource passphrase,prompt local
La propriété rekeydate ZFS identifie la date de la dernière opération zfs key –K. Par exemple :
# zfs get rekeydate tank/home/darren NAME PROPERTY VALUE SOURCE tank/home/darren rekeydate Wed Jul 25 16:54 2012 local
Si les propriétés creation et rekeydate d'un système de fichiers chiffré possèdent la même valeur, cela signifie que le système de fichiers n'a jamais fait l'objet d'un renouvellement de clés via une opération zfs key–K.
Les clés de chiffrement ZFS peuvent être gérées de différentes manières, selon vos besoins, sur le système local ou à distance, si un emplacement centralisé est nécessaire.
Localement – Les exemples ci-dessus montrent que la clé d'encapsulation peut être une invite de phrase de passe ou une clé brute stockée dans un fichier du système local.
A distance – Les informations de clé peuvent être stockées à distance en utilisant un système de gestion des clés centralisé comme Oracle Key Manager ou un service Web qui prend en charge une simple demande GET sur un URI http ou https. Les informations de clé d'Oracle Key Manager sont accessibles à un système Oracle Solaris à l'aide d'un jeton PKCS#11.
Pour plus d'informations sur la gestion des clés de chiffrement ZFS : http://www.oracle.com/technetwork/articles/servers-storage-admin/manage-zfs-encryption-1715034.html
Pour plus d'informations sur l'utilisation d'Oracle Key Manager pour gérer les informations de clé :
http://docs.oracle.com/cd/E24472_02/
Passez en revue les descriptions d'autorisations relatives à la délégation d'opérations sur les clés suivantes :
Le chargement et le déchargement d'un système de fichiers à l'aide des commandes zfs key –l et zfs key –u requièrent l'autorisation key. Dans la plupart des cas, l'autorisation mount est également requise.
La modification de la clé d'un système de fichiers à l'aide des commandes zfs key–c et zfs key–K requiert l'autorisation keychange.
Envisagez de déléguer des autorisations distinctes pour l'utilisation (chargement ou déchargement) et la modification de clés, de manière à mettre en place un modèle de gestion des clés à deux personnes. Par exemple, déterminez les utilisateurs qui pourront utiliser les clés et ceux qui seront autorisés à les modifier. Vous pouvez aussi spécifier que toute modification de clé requiert la présence des deux utilisateurs. Ce modèle vous permet également de bâtir un système de dépôt de clé (key escrow).