История изменений
Исправление hateyoufeel, (текущая версия) :
Потому что нет возможности бэкапить данные без их расшифровки.
Разверните мысль.
dd if=/dev/sda of=/path/to/backup
На самом деле, такая схема круто с ZFS работает. zfs send/recv позволяют пересылать прямо шифрованные блоки между пулами, и можно настроить регулярный бэкап своего диска на сервер без необходимости вводить ключ.
А это зачем? Мухи отдельно (шифрование диска), котлеты отдельно(рэйд).
Чтобы можно было делать сервисные работы без расшифровки. Смотри выше.
Потому что они обычно работают по паролю. Если я хочу, например, аутентификацию по Yubikey + паролю, то хер мне.
Зачем?
Доп. безопасность? Либо можно сделать или пароль, или yubikey. Ну или ради удобства можно привязать ключ с отпечатку пальца, например. Многие так делают с LUKS. Короче, вариантов дофига.
Эт, да. Причину надеюсь не надо пояснять.
Причину я объяснил выше: шифрование, встроенное прямо в диск, это очень тупая идея.
Исходная версия hateyoufeel, :
Потому что нет возможности бэкапить данные без их расшифровки.
Разверните мысль.
dd if=/dev/sda of=/path/to/backup
На самом деле, такая схема круто с ZFS работает. zfs send/recv позволяют пересылать прямо шифрованные блоки между пулами, и можно настроить регулярный бэкап своего диска на сервер без необходимости вводить ключ.
А это зачем? Мухи отдельно (шифрование диска), котлеты отдельно(рэйд).
Чтобы можно было делать сервисные работы без расшифровки.
Потому что они обычно работают по паролю. Если я хочу, например, аутентификацию по Yubikey + паролю, то хер мне.
Зачем?
Доп. безопасность? Либо можно сделать или пароль, или yubikey. Ну или ради удобства можно привязать ключ с отпечатку пальца, например. Многие так делают с LUKS. Короче, вариантов дофига.
Эт, да. Причину надеюсь не надо пояснять.
Причину я объяснил выше: шифрование, встроенное прямо в диск, это очень тупая идея.