====== ZFS Encryption ======

Utworzenie dataset-a:
<code bash>
zfs create -o encryption=aes-256-gcm -o keyformat=passphrase poolname/newdataset
</code>

Wczytanie klucza:
<code bash>
zfs load-key poolname/newdataset
</code>

Usunięcie klucza z pamięci:
<code bash>
zfs umount poolname/newdataset
zfs unload-key poolname/newdataset
</code>

==== Klucz w pliku (HEX) ====

Klucz musi mieć długość 32 bajtów. Generowanie klucza:

<code bash>
openssl rand -hex 32 > file.key
</code>

Tworzenie dataseta:

<code bash>
zfs create -o encryption=aes-256-gcm -o keyformat=hex -o keylocation=file:///root/file.key poolname/newdataset
</code>

==== Klucz w pliku (RAW) ====

Klucz musi mieć długość 32 bajtów. Generowanie klucza:

<code bash>
dd if=/dev/urandom bs=32 count=1 of=file.key
</code>

Tworzenie dataseta:

<code bash>
zfs create -o encryption=aes-256-gcm -o keyformat=raw -o keylocation=file:///root/file.key poolname/newdataset
</code>

Plik w formacie RAW można podać również przez pipe. Jeśli mamy ustawione ''keylocation=prompt'', wtedy:

<code bash>
cat file.key | zfs load-key poolname/newdataset
</code>