O VirtualBox 5 é capaz de criptografar VMs / images por conta própria e armazena as chaves criadas durante esse processo em arquivos de configuração XML de VMs. Mas aqui está o problema: um é capaz de criar apenas mídias que não estão conectadas a VMs, mas as criptografam, porque os comandos usados não funcionam no nível da VM por padrão, mas no de um meio:
VBoxManage encryptmedium "uuid|filename" --newpassword "file|-" --cipher "cipher id" --newpasswordid "id"
Se uma mídia for adicionada a uma VM e criptografada posteriormente, a configuração dessa VM será alterada para conter o material de chave criado. Mas se a mídia nunca foi anexada, onde estão as chaves armazenadas? Não consegui encontrá-los em lugar nenhum, nem mesmo no arquivo de configuração global na HOME do meu usuário. Mas precisa estar em algum lugar, porque o comando acima não gerou nenhum erro e tenho certeza de que as chaves não foram gravadas no próprio arquivo de imagem. Eu criei um dinamicamente crescente e mesmo após a criptografia bem sucedida que o arquivo continha principalmente 0s.
Há algumas outras coisas interessantes acontecendo: Depois de criar uma mídia e conectá-la a uma VM de teste, a configuração dessa VM de teste continha o material principal da mídia criptografada. Depois, removi a mídia da VM de teste e a conectei a outra, mas o material da chave permaneceu na configuração da VM de teste e não foi movido para a nova VM. O que é bastante surpreendente, porque se eu tivesse deletado a VM de teste, eu teria perdido o material da chave. : -)
A documentação oficial que encontrei e vinculei não fornece insights suficientes sobre como o VirtualBox lida internamente com a configuração e onde o material chave é salvo inicialmente e como é movido, se é que é feito. Mas eu preciso saber essas coisas, porque eu obviamente preciso ser capaz de fazer o backup do material chave e esperar que ele seja salvo na VM onde a mídia está atualmente conectada.
Mas, em teoria, o VirtualBox suporta a conexão de mídia a várias VMs, então não pode ser assim tão fácil e meu exemplo com a VM de teste prova que: Ainda mantém as chaves de criptografia, mesmo que a mídia não esteja mais conectada , mas em alguma outra VM. Existem até algumas explicações fáceis para tal comportamento, o VirtualBox armazenou mídia em um arquivo XML no passado, então acredito que ele ainda lide com vários tipos de VMs por tipo globalmente e simplesmente não precisa mover chaves. Esses são vinculados usando GUIDs ao seu meio e, portanto, sempre podem ser mapeados 1: 1, independentemente de onde a configuração do meio é realmente salva em algum arquivo XML. Mas isso torna os backups de configurações "interessantes", é claro ...
Então, alguém está ciente de alguma documentação mais detalhada sobre como o VirtualBox lida com chaves de criptografia em várias circunstâncias?
Criei um tíquete com minhas perguntas e perguntei nos fórum de usuários do VB também.