От установки до использования: пример развертывания сервиса шифрования данных в покое / Комментарии / Хабр

Коллеги, а зачем такое хулиганство с хранением фрагментов ключей Шамира на узле с Vault? Фактически, атакующему будет достаточно получить доступ к любой ВМ с Vault, чтобы собрать ключ, шифрующий мастер-ключ от всего крипто хранилища в Consul.

Банально, такую атаку сможет осуществить любой сотрудник, имеющий доступ к бэкапу ВМ.

Там же весь смысл разделяемых ключей в том, что никто из сотрудников не имеет достаточно данных в руках для расшифровки базы в одиночку.