Hallo zusammen
Beim Herumspielen mit der Verschlüsselung von Ordnern auf meinem Synology DS213 NAS (DSM 5.1-5021 Update 2) bin ich auf etwas gestossen, das mich verwirrt. Ich habe versucht, mit ecryptfs einen Ordner innerhalb meines Home-Verzeichnisses zu verschlüsseln. Was mich verwirrt ist, dass es keine Rolle zu spielen scheint, welches Passwort ich eingebe, wenn ich das Verzeichnis zum entschlüsseln mounte.
Folgendes habe ich (als Nulltest) mal auf meinem Ubuntu (14.04)-Laptop gemacht:
Verzeichnisse erstellen und mit Passwort 'passwort1' mounten:
Text-Datei ins Verzeichnis test schreiben:
Ein
ergibt den Klartext, ein
wie erwartet den verschlüsselten, unlesbaren Text.
Verzeichnis unmounten und mit einem neuen Passwort (passwort2) mounten:
Ein
ergibt einen Eingabe-/Ausgabefehler; ich kann die Datei nicht lesen. Genau das erwarte ich, wenn ich das Verzeichnis mit dem falschen Passwort mounte.
Nun das selbe auf meinem NAS. Ich logge mich per SSH als root darauf ein. Dann:
Verzeichnis unmounten und mit neuem Passwort (passwort2) mounten:
Ein
gibt mir nun unverständlicherweise auch wieder den Klartext der Datei aus! Wie kann das sein? Das heisst, dass im Prinzip jeder (mit Root-Rechten) den Ordner mit einem beliebigen Passwort entschlüsseln kann. Habe ich irgendwas an ecryptfs falsch verstanden? Oder ist das ein Bug in der Implementierung von ecryptfs auf DSM?
Besten Dank für Antworten!
Beim Herumspielen mit der Verschlüsselung von Ordnern auf meinem Synology DS213 NAS (DSM 5.1-5021 Update 2) bin ich auf etwas gestossen, das mich verwirrt. Ich habe versucht, mit ecryptfs einen Ordner innerhalb meines Home-Verzeichnisses zu verschlüsseln. Was mich verwirrt ist, dass es keine Rolle zu spielen scheint, welches Passwort ich eingebe, wenn ich das Verzeichnis zum entschlüsseln mounte.
Folgendes habe ich (als Nulltest) mal auf meinem Ubuntu (14.04)-Laptop gemacht:
Verzeichnisse erstellen und mit Passwort 'passwort1' mounten:
Rich (BBCode):
mkdir test
mkdir .@test@
sudo mount -t ecryptfs .@test@ test -o ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_passthrough=n,no_sig_cache,ecryptfs_enable_filename_crypto=n,key=passphrase:passphrase_passwd=passwort1Text-Datei ins Verzeichnis test schreiben:
Rich (BBCode):
echo Hallo Welt > test/test.txtEin
Rich (BBCode):
cat test/test.txtergibt den Klartext, ein
Rich (BBCode):
cat .@test@/test.txtwie erwartet den verschlüsselten, unlesbaren Text.
Verzeichnis unmounten und mit einem neuen Passwort (passwort2) mounten:
Rich (BBCode):
sudo umount test
sudo mount -t ecryptfs .@test@ test -o ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_passthrough=n,no_sig_cache,ecryptfs_enable_filename_crypto=n,key=passphrase:passphrase_passwd=passwort2Ein
Rich (BBCode):
cat test/test.txtergibt einen Eingabe-/Ausgabefehler; ich kann die Datei nicht lesen. Genau das erwarte ich, wenn ich das Verzeichnis mit dem falschen Passwort mounte.
Nun das selbe auf meinem NAS. Ich logge mich per SSH als root darauf ein. Dann:
Rich (BBCode):
mkdir test
mkdir .@test@
/usr/syno/sbin/mount.ecryptfs .@test@ test -o ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_passthrough=n,no_sig_cache,ecryptfs_enable_filename_crypto=n,key=passphrase:passphrase_passwd=passwort1
echo Hallo Welt > test/test.txtVerzeichnis unmounten und mit neuem Passwort (passwort2) mounten:
Rich (BBCode):
umount test
/usr/syno/sbin/mount.ecryptfs .@test@ test -o ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_passthrough=n,no_sig_cache,ecryptfs_enable_filename_crypto=n,key=passphrase:passphrase_passwd=passwort2Ein
Rich (BBCode):
cat test/test.txtgibt mir nun unverständlicherweise auch wieder den Klartext der Datei aus! Wie kann das sein? Das heisst, dass im Prinzip jeder (mit Root-Rechten) den Ordner mit einem beliebigen Passwort entschlüsseln kann. Habe ich irgendwas an ecryptfs falsch verstanden? Oder ist das ein Bug in der Implementierung von ecryptfs auf DSM?
Besten Dank für Antworten!
