El cifrado en disco es un tema complejo, pero este artículo debería darle una buena idea sobre la implementación de OpenZFS. Una de las muchas características que trae OpenZFS a la mesa es el cifrado nativo ZFS, introducido por primera vez en OpenZFS 0.8. Este cifrado nativo permite a los administradores cifrar los datos en reposo de manera transparente, eliminando la necesidad de herramientas externas como LUKS, VeraCrypt o BitLocker.
El algoritmo de cifrado de OpenZFS está predeterminado en aes-256-ccm antes de la versión 0.8.4, o aes-256-gcm en adelante cuando encryption=on está establecido. Sin embargo, se pueden especificar directamente otros algoritmos compatibles:
aes-128-ccmaes-192-ccmaes-256-ccm(predeterminado en OpenZFS <0.8.4)aes-128-gcmaes-192-gcmaes-256-gcm(predeterminado en OpenZFS> = 0.8.4)
¿Por qué (o por qué no) el cifrado nativo OpenZFS?
Un administrador de sistemas inteligente que busca proporcionar cifrado en reposo puede que no necesite el cifrado nativo de OpenZFS. Manejar LUKS bajo OpenZFS tiene sus ventajas: en un disco cifrado, un atacante no puede ver los nombres, tamaños o propiedades de los datasets y zvols sin acceso a la clave. Sin embargo, hay inconvenientes significativos. Cada disco que forma parte del grupo debe estar cifrado, y cada volumen requiere ser cargado y descifrado antes de poder importar el grupo ZFS, lo que puede resultar problemático para sistemas ZFS con múltiples discos.
Contras del cifrado en ZFS
Una desventaja importante de usar LUKS o similar es que introduce una capa adicional que puede comprometer las garantías de integridad normal de ZFS. Adicionalmente, el cifrado tiende a debilitar la compresión, ya que los datos cifrados son más difíciles de comprimir.
Ventajas del cifrado nativo OpenZFS
El cifrado nativo de OpenZFS opera sobre las capas de almacenamiento regulares de ZFS, manteniendo sus garantías de integridad sin interferir con la compresión. Los datos se comprimen antes de ser cifrados y almacenados en un dataset o un zvol. Este sistema también permite la replicación rápida y eficiente de datos.
¿Qué se cifra y qué no?
El cifrado nativo de OpenZFS no es un cifrado completo a nivel de disco; se habilita o deshabilita por conjunto de datos o zvol. La protección se aplica al contenido de los conjuntos de datos cifrados, pero los metadatos que describen esos conjuntos no están cifrados. Por ejemplo, aunque un conjunto de datos cifrado se desmonta y se descarga la clave, se puede ver que existe y se puede explorar su estructura y propiedades.
Ejemplo de uso
root@host:~# zfs create -o encryption=on -o keylocation=prompt -o keyformat=passphrase mypool/encrypted
Enter passphrase:root@host:~# zfs create mypool/encrypted/child1Así, se puede crear un conjunto de datos cifrado, y incluso si se descarga la clave, se puede realizar una consulta sobre los datos o propiedades de los conjuntos de datos existentes.
El cifrado nativo de OpenZFS le otorga al administrador del sistema una potente herramienta para no solo proteger los datos, sino también para simplificar la administración y la replicación de datos sin sacrificar la privacidad. La elección del cifrado nativo ZFS es una decisión que puede hacer la diferencia en la seguridad y eficiencia de su sistema.
