Зашифрованные данные, хранящиеся на Walrus, и вы хотите обновить ключи? Звучит просто, но в реальности это серьёзная ловушка.

В традиционных корпоративных стандартах безопасности периодическая ротация ключей шифрования — это стандартная операция. Но в архитектуре Walrus всё становится намного дороже. Суть проблемы проста — данные уже зашифрованы и загружены, а как только вы меняете ключ, все старые срезы данных становятся кучей неразборчивого мусора, который невозможно расшифровать. Хотите напрямую изменить алгоритм шифрования в цепи? Забудьте об этом. Единственный способ — скачать файл, расшифровать его старым ключом, зашифровать новым ключом, а затем загрузить его обратно в сеть как совершенно новый файл.

Насколько это неэффективно? Двойное потребление полосы пропускания, двойное потребление вычислительных ресурсов, плюс нужно разбираться с проблемами согласованности старых и новых данных. Если объём ваших данных исчисляется в ТБ, стоимость полной ротации ключей может стать непосильной для вашей команды. Результат? Многие команды вынуждены долгие годы использовать старые ключи, и проблемы безопасности постепенно накапливаются.

Как выйти из этого положения? Ответ — применить подход **конверт-шифрования** (Envelope Encryption). Логика достаточно проста: вместо файла, зашифрованного напрямую, вы храните на Walrus файл, зашифрованный «ключом шифрования данных (DEK)». Затем берёте этот DEK и шифруете его «ключом шифрования ключей (KEK)», который хранится в более легко обновляемом месте — например, в объекте цепи Sui или в оффцепной системе управления ключами (KMS).

Когда действительно нужна ротация, вам нужно только переошифровать небольшой DEK, а огромный объём файлов на Walrus остаётся нетронутым. Таким образом вы обеспечиваете безопасность и одновременно значительно снижаете затраты на хранение. По сути, это необходимый предмет при разработке решений безопасности для систем хранения такого типа, как Walrus.

Если вы планируете архитектуру системы на основе Walrus, стоит заранее учесть этот подход при разработке.