Le principe de portée 4d8e
Portée du secret de convergence = portée de la déduplication = portée de l'oracle de confirmation. Une seule décision les fixe toutes les trois.
« Aucun clair sur le disque » bloque l’attaque qui lit tes octets — mais pas celle qui les devine et les confirme. Ce sont deux menaces différentes ; le chiffrement au repos ne fait rien contre un oracle. Ton exigence est donc nécessaire mais pas suffisante. Ce qui tranche, c’est à qui tu acceptes de tendre l’oracle :
Aucun secret — convergence pure oracle ouvert
Dédup mondiale, maximale. Mais l'oracle est ouvert à tous : l'opérateur du stockage et n'importe quel inconnu.
Secret global unique oracle interne
Partagé par tous les clients, inconnu de l'opérateur — qui perd l'oracle. Mais comme tous les clients partagent le secret, un client malveillant garde l'oracle contre les autres.
Secret par tenant oracle confiné
Dédup au sein de ta flotte seulement. L'oracle est confiné aux détenteurs de ton secret — tes propres machines. Les inconnus sont verrouillés : leurs adresses dérivées diffèrent.
Le gain de la dédup mondiale, ce sont les fichiers partagés — OS, bibliothèques communes. En pratique ils sont déjà présents dans ta propre flotte, donc la dédup par tenant les capte quand même. C’est presque toujours le bon compromis.