Jeśli skarbiec jest chroniony za pomocą szyfrowania, wszystkie dane zapisywane w skarbcu są szyfrowane, a wszystkie odczytywane dane są odszyfrowywane w przezroczysty sposób przez węzeł magazynowania przy użyciu klucza szyfrowania skarbca przechowywanego w tym węźle. W przypadku kradzieży nośnika danych lub uzyskania do niego dostępu przez osobę nieuprawnioną odszyfrowanie zawartości skarbca bez dostępu do węzła magazynowania będzie niemożliwe.
To szyfrowanie nie ma nic wspólnego z szyfrowaniem archiwum określonym w planie tworzenia kopii zapasowych i wykonywanym przez agenta. Jeśli archiwum jest już zaszyfrowane, szyfrowanie po stronie węzła magazynowania zostanie zastosowane po szyfrowaniu wykonanym przez agenta.
Aby ustawić ochronę skarbca za pomocą szyfrowania
Informacje szczegółowe. W słowie jest uwzględniana wielkość liter. Podczas podłączania skarbca do innego węzła magazynowania zostanie wyświetlona prośba o podanie tego słowa.
Algorytm kryptograficzny AES działa w trybie wiązania bloków szyfrogramu (Cipher-Block Chaining — CBC) i korzysta z losowo wygenerowanego klucza o długości zdefiniowanej przez użytkownika: 128, 192 lub 256 bitów. Im większy rozmiar klucza, tym dłużej trwa szyfrowanie archiwów przechowywanych w skarbcu i tym lepiej są one zabezpieczone.
Klucz szyfrowania jest następnie szyfrowany metodą AES-256, w której jako klucz służy skrót SHA-256 wybranego słowa. Samo słowo nie jest przechowywane w żadnym miejscu na dysku — do celów weryfikacji służy skrót słowa. Dzięki tym dwupoziomowym zabezpieczeniom archiwa są chronione przed nieautoryzowanym dostępem, ale odzyskanie utraconego słowa jest niemożliwe.