Насколько я помню - нет. Ключ шифрования один, и он хранится только у клиента.

отдельные между клиентами? или отдельный для шифрования, другой отдельный для расшифровки в рамках одного клиента?

Всё плохо

Шифрование Bareos, если оно такое же как в Bacula, вообще сильно не идеально. Там имена файлов и их размер остаются открытыми, только содержимое запутывается. Когда я использовал Bacul'у для резервного копирования на двухтерабайтные НЖМД (больше тогда не существовало в продаже), то создавал на них LUKS'овый раздел, а на нём уже открытый том (Volume) Bacul'ы. Монтировать эти LUKS'овые разделы приходилось вручную, хотя не исключаю, что можно попытаться это дело автоматизировать. Не забывайте, так же, что названия файлов и размеры у вас в базе Director'а лежат в открытом виде, эту базу тоже надо охранять.

LUKS умеет использовать до 8 паролей на том. Можно один пароль держать в голове у админа и не говорить никому, а второй держать в запечатанном конверте в сейфе большого начальника на случай несчастного случая с админом.

непонятно

Oтдельный для шифрования, другой отдельный для расшифровки в рамках одного клиента. Я видел пример такого шифрования, но я не понимаю как получилось сгенерировать ключ fd.pem который зашифровывает данные только в «одну» сторону. У всех клиентов этот ключ одинаковый.