用户为加密指定一个口令,BE用这个口令生成一个AES加密密钥,然后用这个密钥加密数据(BE元数据和磁盘上的Catalog文件不加密)。AES密钥分普通的和受限的两种,任何人都可以使用普通的密钥备份或还原数据,只有密钥的主人可以使用受限的密钥来恢复数据。
如果使用加密功能,压缩操作必须先于加密。所以使用加密功能时就只能使用软件压缩了,由磁带机在写入时做的硬件压缩就不能用了。
BE将密钥保存于数据库(所以数据库不能用AES密钥加密),但是生成密钥的口令是不保存在任何位置的。同一口令一定会得到同一密钥,密钥不能被导出,但是你可以使用相同的口令生成被删除的密钥,或者在其它media server上生成相同的密钥。