Backup verschlüsseln

[chaos2oo2]

Hallo,

kann man ein Backup auf eine externe Platte verschüsseln? Ich möchte nicht, dass die Platte einfach irgendwo drangesteckt und ausgelesen werden kann.


Gruß
Michael

 

[chaos2oo2]

kennt das jemand und weiß ob das funktioniert?

http://www.synology-wiki.de/index.php/Verschlüsseltes_Backup

 

[Merthos]

Ja, ich. Auch wenn ich das mittlerweile etwas vereinfacht habe. In autorun ist auch eine Möglichkeit zum Verschlüsseln drin.

 

[Drain]

Da gabs schon mal eine Diskussion drüber
externe USB-Platte verschlüsseln - eine Lösung!?

Drain

 

[amarthius]

Backup von A nach verschlüsselter Ordner B. Backup von verschlüsselter Ordner B nach externe Festplatte C. Zwar umständlich, aber am einfachsten per GUI umzusetzen.

 

[olivero]

Ich bin auch auf der Suche nach einer passenden Lösung. Scheinbar gar nicht so einfach.

Wenn ich die obige Lösung A -> Crypt B -> HDD C richtig verstehe, dann bedeutet das auch ca. doppelten Plattenplatz im NAS, d.h. es muß immer mindestens die Hälfte noch frei sein. Leider eine unschöne Einschränkung, es sei denn man sicher nicht alles. Und das wiederum ist wenig hilfreich...

Sollte jemand eine passende Lösung haben, so wäre ich sehr interessiert.

Ich sichere meine Daten in einem anderen Brandabschnitt im Haus vom NAS auf einen rsync-Server. Auch dort liegen die Daten unverschlüsselt. Okay, im Haus, aber was bei einem Einbruch von Datendieben... Das NAS selbst steht relativ sicher.
Auf die externe Backup-HDD C möchte ich die Daten keinesfalls unverschlüsselt ablegen.

Geholfen wäre schon, wenn ein verschlüsselter Ordner auf dem NAS gesichert werden könnte ohne ihn vorher zu entschlüsseln und nur die entschlüsselten Daten zu sichern. Also quasi wie ein truecrypt Volume als Datei einfach wegkopiert werden kann. Das konnte ich aber bislang leider auch nicht finden bzw. den verschlüsselten Ordner @CRYPT_FOLDER@ nicht in das Backup aufnehmen.

 

[amarthius]

Du kannst doch einen verschlüsselten gemeinsamen Ordner sichern. Egal ob er nun gemountet ist oder nicht. Im Backup landen die verschlüsselten Daten.

Ansonsten schau dir mal Duplicati an. Das läuft mit Mono auf der Kommandozeile.

 

[olivero]

Vielen Dank für die schnelle Hilfe, amarthius.

Bei mir (DSM 4.1, DS212+) läßt sich mit 'Datensicherung und -wiederherstellung' der verschüsselte Ordner @CRYPT_FOLDER@ nicht ankreuzen (Verschlüsselung nicht angehängt). Er bleibt ausgegraut.

Was mache ich hier anders als Du?

 

[olivero]

Aha, es muss an den Freigegebenen Ordner CRYPT_FOLDER die Verschlüsselung angehängt werden. Dann kann er beim Backup unter "Datensicherung und -wiederherstellung" auch ausgewählt werden als @CRYPT_FOLDER@. Gesichert wird auf dem Remoteserver (ich habe das mit rsync auf die Satbox vuplus ausprobiert) ein Ordner @CRYPT_FOLDER@, welcher die gleichen (hoffentlich auch die selben) kryptischen Dateien und Verzeichnissen wie auf der DS beinhaltet. Alles gut!
Eine Wiederherstellung habe ich allerdings noch nicht versucht...

 

[olivero]

Ich nutze jetzt dieses Verfahren von fuselfasel zur Speicherung von verschlüsselten Daten auf einem USB-Share. Es verdoppelt nicht die Datenmenge und ist relativ einfach in der Installation. Ich weiß, man kommt über Beitrag #4 oben auch hin, aber vielleicht ist es für den ein oder anderen so einfacher.

 

[Manni79]

Ich nutze jetzt dieses Verfahren von fuselfasel zur Speicherung von verschlüsselten Daten auf einem USB-Share. Es verdoppelt nicht die Datenmenge und ist relativ einfach in der Installation. Ich weiß, man kommt über Beitrag #4 oben auch hin, aber vielleicht ist es für den ein oder anderen so einfacher.

Hallo, auch diesen Link wie auch den Thread hier habe ich mir angesehen, aber ich verstehe die Lösung nicht ganz. Also mein Problem ist grundsätzlich das gleiche, ich habe verschlüsselte Daten auf der DiskStation und möchte diese auch auf verschlüsselten externen Festplatten (ohne Umweg) als Backup haben.

Wenn ich das verlinkte Verfahren anwende... verstehe ich richtig, dass die DiskStation die Daten dann in ihrem Verschlüsselungsformat speichert und ich die Daten nur noch an der DiskStation lesen kann? Das ist eigentlich gar nicht mein Ziel und kommt in meinem Fall auch nicht in Frage, da ich das verschlüsselte Backup auf der externen Festplatte auch direkt an anderen Rechnern lesen können muss.
Ohne DiskStation ging dies über TrueCrypt bisher sehr leicht. Ich hatte meine Daten verschlüsselt auf einem FileServer und gesichert auf TruCrypt verschlüsselter externer HDD.

Also kann einer nochmal grob das Verfahren erklären, was da genau passiert. Das ist unter dem Link extrem knapp und technisch beschrieben. Und wie lese ich die Daten danach an einem Win7 PC?

Hat ansonsten jemand noch eine Alternative Lösung?

Vielen Dank und liebe Grüße
Manni

 

[amarthius]

Also mein Problem ist grundsätzlich das gleiche, ich habe verschlüsselte Daten auf der DiskStation und möchte diese auch auf verschlüsselten externen Festplatten (ohne Umweg) als Backup haben.

Warum doppelt Verschlüsseln? Wenn du doch die Daten verschlüsselt hast und machst im DSM eine Sicherung per "Datensicherung & Wiederherstellung" dann landen die Daten ja weiterhin verschlüsselt auf deinen Festplatten.

Der Link beschreibt wie du das Feature "Verschlüsselung gemeinsamer Ordner" auch auf externe Festplatten übertragen kannst. Die externe FP wird ja automatisch beim anstöpseln an die DS als usbshareX gemountet. Nun soll dieser Ordner was ja ein "Gemeinsamer Ordner" ist verschlüsselt werden. Das beschreibt diese Anleitung.

Am PC kannst du diesen mit Windows nicht auslesen. Die Verschlüsselung basiert auf eCryptFS. Das kennt Windows nicht. Bootest du allerdings deinen PC von einem Live-Linux (Boot-CD) wie Knoppix, dann kannst du mit dieser Anleitung den verschlüsselten Ordner öffnen und die Daten auslesen.

 

[Manni79]

Warum doppelt Verschlüsseln? Wenn du doch die Daten verschlüsselt hast und machst im DSM eine Sicherung per "Datensicherung & Wiederherstellung" dann landen die Daten ja weiterhin verschlüsselt auf deinen Festplatten.

Naja, doppelt verschlüsselt ist es ja dann nicht. Wenn man eine verschlüsselte Datei über eine normale OS kopier-funktion auf ein zweites Medium kopiert, ist dies ja nicht mehr verschlüsselt, wenn das Medium an sich keine Verschlüsselung hat. Zb. per rsync eine Datei von einer verschlüsselten HDD zu einer unverschlüsselten HDD, dann ist die Datei auf dem unverschlüsselten Ziel ja nicht mehr verschlüsselten.

Also bisher, vor der Diskstation, hatte ich ein normales Filesystem in Windows. Dort konnte ich meine verschlüsselten externen HDDs mit Verschlüsselungssoftware "TrueCrypt" und "WD-Smartwear" einfach mounten und die Daten, die auf dem verschlüsselten Windows-Server waren, auch auf die verschiedenen verschlüsselten externen HDDs als Backup kopieren. Diese externen verschlüsselten HDDs konnte man, wenn man die Verschlüsselungssoftware installiert (und natürlich den Verschlüsselungskey eingibt) an jedem belieben Rechner lesen.

Und genau da muss ich irgendwie auch wieder hin. Aktuell fallen mir nur Workarounds ein, die nicht gerade schön sind. Ich könnte die mit TrueCrypt und WD-Smartwear verschlüsselten externen HDDs an einen Windows PC mounten, der auch an der DiskStation hängt und über diesen die Daten von der DS auf die externe Platte backuppen. Aber das ist erstens umständlich und außerdem von der "Logikstik" bei mir unpassend.

Ich finde etwas unschön, dass man keine verschlüsselten Daten mit einfach Bordmitteln auf verschlüsselte externe HDDs bekommt, sollte eigentlich ein Standard sein. Hier im Thread gibt es zwar eine Lösung, aber diese ja auch eher ein Workaround als ein einfach Bordmittel, wenn ich mir die Anleitung ansehe. Ich hoffe eigentlich Synology bessert hier nach. Klar, es muss nicht jede Verschlüsselungssoftware funktionieren, aber vielleicht die gängigsten am Markt. TrueCrypt ist so weit ich es kenne eigentlich schon gut verbreitet.

Naja ... wie ich das nun löse weiß ich immer noch nicht.

 

[amarthius]

Wie Verschlüsselung funktioniert, ist mir bekannt. Daher habe ich dich ja auch zitiert #12, weil du dort explizit von doppelter Verschlüsselung sprichst. Verschlüsselte Dateien per Backup auf verschlüsselte Datenträger ist eine doppelte Verschlüsselung.

Ich finde etwas unschön, dass man keine verschlüsselten Daten mit einfach Bordmitteln auf verschlüsselte externe HDDs bekommt, sollte eigentlich ein Standard sein.

Hier sprichst du auch wieder von doppelter Verschlüsselung.

Mit der DS ist es möglich einen verschlüsselten Gemeinsamen Ordner samt Inhalt per Backup auf eine externe Festplatte zu sichern. Die Daten sind auf jedenfall verschlüsselt. Die Verschlüsselung erfolgt datei-basiert. Das hat den Vorteil das immer nur geänderte Dateien gesichert werden müssen.

Bordmittel für die Wiederherstellung ist den "Wiederherstellungsknopf" im DSM zu drücken und die verschlüsselten Daten wiederherzustellen. Benötigt natürlich das Passwort.

Dein Problem ist das du eine Verschlüsselungslösung suchst die sowohl auf Windows als auch auf Linux funktioniert. Die im DSM integrierte Verschlüsselung wurde für Linux entwickelt und ist daher nicht auf Windows nutzbar.
Du kannst gerne die Entwickler von eCryptFS oder auch Synology anschreiben und deinen Wunsch äußern.

Besser bist du wohl mit Truecrypt und einem WHS aufgehoben.

Wenn die Daten unverschlüsselt auf der DS liegen könntest du Duplicati nutzen. Das läuft per Mono auch auf der DS und nativ auf Windows. Konfiguration geht halt nur über die Kommandozeile. Ein Front-End ist in Entwicklung. Wird aber noch recht lange dauern.

 

[Manni79]

Mit der DS ist es möglich einen verschlüsselten Gemeinsamen Ordner samt Inhalt per Backup auf eine externe Festplatte zu sichern. Die Daten sind auf jedenfall verschlüsselt. Die Verschlüsselung erfolgt datei-basiert. Das hat den Vorteil das immer nur geänderte Dateien gesichert werden müssen.
(...)
Bordmittel für die Wiederherstellung ist den "Wiederherstellungsknopf" im DSM zu drücken und die verschlüsselten Daten wiederherzustellen. Benötigt natürlich das Passwort.

ok. dann sorry für meinen "Belehrungsversuch", jetzt weiß ich auch was gemeint war und das wir das gleiche meinen. Bei den Beispielen von mir, sind die Daten am Ende nicht doppelt verschlüsselt, sondern auch nur einfach. Da beim übertragen/kopieren ja sozusagen auf dem lesenden Datenträger entschlüsselt weg kopiert wird und bei dem zweiten Datenträger beim Schreiben verschlüsselt wird. Aber ich glaube du weißt genau was ich meine.

Wenn der Weg so einfach ist, ist es natürlich ein Bordmittel. Zumindest für die Wiederherstellung. Um das verschlüsselte Backup selbst zu machen, nehme ich die Lösung hier aus dem Forenthread, ich denke mal hier reden wir gerade noch drüber oder?

Dann noch eine neue Frage: Mit Cygwin auf Windows könnte ich die verschlüsselten Daten auf der externen HDDs auch lesen, oder geht dies nur bei einem native gestarten linux? Zufällig schonmal jemand gemacht? Oder ggf. über eine Linux-VM unter einem Windows-Host? Dann hätte ich hier auch einen Workaround, falls eins von beidne geht.

Lieben Dank!

Viele Grüße
Manni

 

[amarthius]

Ich bin davon ausgegangen du hast einen Truecrypt Container X mit Daten hast. Diesen speicherst du auf eine komplett verschlüsselte externe FP. Dann wäre es doppelt gemoppelt.

Bevor wir jetzt wieder aneinander vorbeireden. Das was ich meine läuft wie folgt ab:
1. Gemeinsamen Ordner im DSM mit Verschlüsselung einrichten. Sprich der Ordner ist "normal" nutzbar solange er gemountet ist. Startest du die DS neu, dann ist er verschlossen. Mounten kannst du ihn über den DSM und Eingabe des Passworts. Du kannst auch die Auto-Mount Funktion nutzen, aber dann ist die Verschlüsselung hinfällig.
2. Du möchtest diesen Ordner bzw. den Inhalt auf eine externe Festplatte sichern. Einfach im DSM "Datensicherung & Wiederherstellung" auswählen und den verschlüsselten Ordner als Quelle und die externe FP als Ziel.

Anmerkung: Die Daten landen immer verschlüsselt auf der externen FP. Egal ob der Ordner gemountet (Daten lesbar) sind oder nicht. Am Besten erstellst du einen Test-Ordner und spielst alle Szenarien einmal durch. Sprich Mounten/Unmounten/Backup/Wiederherstellung.

Hier ist es auch noch mal mit Bildern beschrieben. backup.

 

[Manni79]

Danke amarthius! Sehr gut, das geht ja dann einfacher als ich bisher aus dem Forenthread erlesen habe.

Punkt 1. habe ich ja aktuell eh.
Dann brauchte nur noch Punkt 2 für das Backup, auf eine normale (an sich unverschlüsselte) externe HDD zu machen, und fertig.

Und ob ich die Sachen dann über eine Linx-Virtual Maschine oder Cygwin, jeweils unter einem Win7 Host lesen kann, teste ich ggf. einfach oder schau mich erst nochmal um.

Eine Rückfrage noch: Worum geht's dann eigentlich bei diesem Thema, bzw. dieser Lösung? (Zitat aus diesem Thread)

Ich nutze jetzt dieses Verfahren von fuselfasel zur Speicherung von verschlüsselten Daten auf einem USB-Share.

Hier ist der Weg ja etwas anders? Geht es hier darum, nicht seine eh schon auf der DS verschlüsselten Daten auf eine verschlüsselte externen HDD zu bekommen? Oder wofür geht man diesen Weg?

Danke und lieben Gruß

 

[amarthius]

Wie ich bereits in #12 schrieb, werden externe Geräte (USB/eSATA) immer als usbshareX gemountet. usbshareX ist ein "Gemeinsamer Ordner" und wird automatisch gemountet. Darin befinden sich dann alle Daten auf dem externen Gerät. Von Haus aus ist es nicht möglich diesen Ordner bzw. die "gesamte" Festplatte* zu verschlüsseln. Wie das dennoch geht beschreibt der von dir gepostete Link.


* Gänsefüße und Sterne, weil es nur den Anschein hat, dass die gesamte Festplatte verschlüsselt ist. eCryptFS verschlüsselt hier nicht das Dateisystem weder noch die komplette Festplatte, sondern Ordner bzw. Dateibasiert.

 

[Manni79]

Vielen Dank nochmal, ich brauchte leider etwas länger hierbei, aber ich glaube nun habe ich es auch wirklich verstanden.

Viele Grüße

 

[Manni79]

Ein verschlüsselten gemeinsamen Ordner in verschlüsselter Form auf die externe HDD per backup-Funktion zu bringen hat (fast) perfekt geklappt.

Mit einer Live-Linux-CD oder der DiskStation selbst mit SSH Verbindung, kann ich die Dateien auch entschlüsselt mounten. Die Live-CD lässt sich auch mit auf die externe USB Platte packen (und booten), auf der auch die verschlüsselten Daten sind. Von daher kann man die verschlüsselten Daten somit Client-betriebssystem-unabhängig (linux boot von externe usb hdd) ansehen. Dies bei meiner vorherigen Backupstrategie nicht viel anders, da man auch TrueCrypt brauchte um die Daten zu sehen. TrueCrypt hatte nur den Vorteil, dass es unter windows und Linux läuft, und man so die Daten direkt im OS des Clients abrufen konnte. Mit dem kleinen Umweg über das OS boot auf der externen Platte, geht es aber sozusagen auch an einem Win-PC (Linux ja sowieso). Falls jemand eine Anleitung braucht wie das geht, gerne kurz Fragen.

Fragen & Probleme
- Hardlinks auf der DS in Backup-Quelle: Auf der DS habe ich Hardlinks, diese funktionieren auch tadellos. Beim Backup mit der "backup funktion" werden diese aber nicht als hardllinks kopiert sonder aufgelöst und die Dateien befinden sich dann mehrfach in dem backup und verbrauchen mehrfach Speicherplatz. Das kann man wohl nicht ändern oder?

- Incremental/differential backup: Bei der "Backup and restore" funktion, hat man ja die möglichkeit zu sagen, dass alle veränderten Daten erhalten bleiben. Diese Funktion nutze ich auch. Als ich mal das Wiederherstellen getestet habe, wurde ich aber nicht gefragt, von welchem Datum ich die Daten Wiederherstellen will. (konnte man nur bei Config aussuchen) . In welcher Form findet das incremental/differentiel backup hier statt? Wie werden geänderte und aktuelle Dateien im Backup kenntlich gemacht?

Danke und viele Grüße
Manni