Si protege una bóveda con cifrado, todo lo que se guarda en la bóveda se cifra y el nodo de almacenamiento descifra de modo claro todo lo que se lee por medio de una clave de cifrado específica de la bóveda almacenada en el nodo. En caso de robo o acceso no autorizado al medio de almacenamiento, la persona no autorizada no podrá descifrar el contenido de la bóveda si no tiene acceso al nodo de almacenamiento.
Este cifrado no tiene relación alguna con el cifrado de archivos comprimidos especificado por el plan de copia de seguridad y realizado por un agente. Si el archivo comprimido ya está cifrado, el cifrado del lado del nodo de almacenamiento se aplica sobre el cifrado realizado por el agente.
Para proteger la bóveda con cifrado
El algoritmo de cifrado AES funciona en el modo Cipher-block chaining (CBC) y utiliza una clave generada de manera aleatoria con un tamaño definido por el usuario de 128, 192 ó 256 bits. Cuanto más grande sea el tamaño de la clave, más tiempo tardará el programa en cifrar los archivos comprimidos almacenados en la bóveda y más seguros estarán los archivos comprimidos.
Luego, la clave de cifrado se cifra con AES-256 usando un hash SHA-256 de la contraseña como clave. La contraseña no se almacena en ninguna parte del disco; el hash de la contraseña se usa para verificación. Con esta seguridad de dos niveles, los archivos comprimidos están protegidos de cualquier acceso no autorizado, pero no es posible la recuperación de una contraseña perdida.