Se un deposito viene protetto con la crittografia, tutto quello che viene scritto nel deposito verrà crittografato e tutto quello che viene letto da questo verrà decrittografato in modo trasparente dal nodo di archiviazione utilizzando una chiave di crittografia specifica per il deposito e conservata nel nodo. Nel caso in cui la media di archiviazione sia stata rubata o sia avvenuto l'accesso da parte di una persona non autorizzata, il malfattore non potrà decriptare i contenuti del deposito senza accedere al nodo di archiviazione.
Questa crittografia è del tutto differente dalla crittografia di archivio specificata dal piano di backup ed effettuata da un agente. Se l'archivio è già crittografato, la crittografia eseguita dal nodo di archiviazione viene applicata sulla crittografia eseguita dall'agente.
Per proteggere il deposito con la crittografia
L'algoritmo di crittografia AES opera nella modalità Cipher-block chaining (CBC) e utilizza una chiave generata casualmente con una dimensione definita dall'utente di 128, 192 o 256 bit. Più grande è la dimensione della chiave, più tempo sarà necessario per il programma per crittografare gli archivi memorizzati nel deposito e più sicuri saranno gli archivi.
La chiave di crittografia viene poi crittografata con AES-256 utilizzando un hash SHA-256 della password come chiave. La password stessa non viene memorizzata in nessun luogo all'interno del disco; l' hash della password viene utilizzato a scopo di verifica. Con questa sicurezza a due livelli, gli archivi sono protetti da ogni accesso non autorizzato, ma non è possibile ripristinare una password perduta.