Keyboard shortcuts

Press or to navigate between chapters

Press S or / to search in the book

Press ? to show this help

Press Esc to hide this help

Le principe de portée 4d8e

Portée du secret de convergence = portée de la déduplication = portée de l'oracle de confirmation. Une seule décision les fixe toutes les trois.

« Aucun clair sur le disque » bloque l’attaque qui lit tes octets — mais pas celle qui les devine et les confirme. Ce sont deux menaces différentes ; le chiffrement au repos ne fait rien contre un oracle. Ton exigence est donc nécessaire mais pas suffisante. Ce qui tranche, c’est à qui tu acceptes de tendre l’oracle :

Aucun secret — convergence pure oracle ouvert

Dédup mondiale, maximale. Mais l'oracle est ouvert à tous : l'opérateur du stockage et n'importe quel inconnu.

Secret global unique oracle interne

Partagé par tous les clients, inconnu de l'opérateur — qui perd l'oracle. Mais comme tous les clients partagent le secret, un client malveillant garde l'oracle contre les autres.

Secret par tenant oracle confiné

Dédup au sein de ta flotte seulement. L'oracle est confiné aux détenteurs de ton secret — tes propres machines. Les inconnus sont verrouillés : leurs adresses dérivées diffèrent.

Le gain de la dédup mondiale, ce sont les fichiers partagés — OS, bibliothèques communes. En pratique ils sont déjà présents dans ta propre flotte, donc la dédup par tenant les capte quand même. C’est presque toujours le bon compromis.