Puede cambiar la clave de ajuste de un sistema de archivos cifrado utilizando el comando zfs key –c. La clave de ajuste existente debe haber sido cargada primero, en el momento del inicio o al cargar la clave del sistema de archivos de forma explícita (zfs key –l), o al montar el sistema de archivos (zfs mount sistema de archivos). Por ejemplo:
# zfs key -c tank/home/darren Enter new passphrase for 'tank/home/darren': xxxxxxxx Enter again: xxxxxxxx
En el siguiente ejemplo, se cambia la clave de ajuste y el valor de la propiedad keysource cambia para especificar que la clave de ajuste proviene de un archivo.
# zfs key -c -o keysource=raw,file:///media/stick/key tank/home/darren
La clave de cifrado de datos para un sistema de archivos cifrado se puede cambiar mediante el comando zfs key –K, pero la nueva clave de cifrado solo se utiliza para los datos escritos recientemente. Esta función se puede utilizar para proporcionar conformidad con las pautas NIST 800-57 sobre el límite de tiempo de una clave de cifrado de datos. Por ejemplo:
# zfs key -K tank/home/darren
En el ejemplo anterior, la clave de cifrado de datos no está visible ni está directamente gestionada por usted. Además, necesita la delegación de keychange para realizar una operación de cambio de clave.
Los siguientes algoritmos de cifrado están disponibles:
aes-128-ccm, aes-192-ccm, aes-256-ccm
aes-128-gcm, aes-192-gcm, aes-256-gcm
La propiedad keysource de ZFS identifica el formato y la ubicación de la clave que se ajusta a las claves de cifrado de datos del sistema de archivos. Por ejemplo:
# zfs get keysource tank/home/darren NAME PROPERTY VALUE SOURCE tank/home/darren keysource passphrase,prompt local
La propiedad rekeydate de ZFS identifica la fecha de la última operación de zfs key –K. Por ejemplo:
# zfs get rekeydate tank/home/darren NAME PROPERTY VALUE SOURCE tank/home/darren rekeydate Wed Jul 25 16:54 2012 local
Si las propiedades creation y rekeydate de un sistema de archivos cifrado tienen el mismo valor, las claves del sistema de archivos nunca han sido regeneradas por una operación zfs key –K.
Las claves de cifrado ZFS se pueden gestionar de diferentes maneras, según sus necesidades, ya sea en el sistema local o de forma remota si se necesita una ubicación centralizada.
Localmente: los ejemplos anteriores muestran que la clave de ajuste puede ser una solicitud de frase de contraseña o una clave sin formato almacenada en un archivo del sistema local.
Remotamente: la información de clave puede estar almacenada de forma remota mediante un sistema de gestión de claves centralizado, como Oracle Key Manager, o con un servicio web que admite una simple solicitud GET en una URI http o https. Un sistema Oracle Solaris puede acceder a la información de claves de Oracle Key Manager mediante el token PKCS#11.
Para obtener más información sobre la gestión de claves de cifrado ZFS, consulte http://www.oracle.com/technetwork/articles/servers-storage-admin/manage-zfs-encryption-1715034.html
Para obtener información sobre el uso de Oracle Key Manager para gestionar información de claves, consulte:
http://docs.oracle.com/cd/E24472_02/
Revise las siguientes descripciones de permisos para delegar operaciones de claves:
La carga o descarga de una clave del sistema de archivos utilizando los comandos zfs key –l y zfs key –u requieren el permiso de key. En la mayoría de los casos, también necesitará el permiso mount.
El cambio de la clave de un sistema de archivos utilizando los comandos zfs key –c y zfs key –K requiere el permiso de keychange.
Considere delegar permisos separados para el uso de claves (carga o descarga) y para los cambios de claves, lo que le permite tener un modelo de operaciones de claves de dos personas. Por ejemplo, determine los usuarios que pueden utilizar las claves y los usuarios que pueden cambiarlas. O bien, ambos usuarios deben estar presentes para realizar cambios en las claves. Este modelo también permite crear un sistema de custodia de claves.