Cloud Station Cloud Station Verschlüsselung aktivieren - aber wie?

[Kontor23]

Hallo,
ich habe gelesen das seit der DSM 5.1 es möglich ist die von Cloudstation synchronisierten Ordner zu verschlüsseln sowie auf der DS verschlüsselte ordner zu synchronieseren - siehe hier:

Flexible Verschlüsselung

Viele überlegen es sich gründlich, bevor sie vertrauliche Materialien in der privaten oder öffentlichen Cloud speichern. Jetzt lassen sich von Cloud Station synchronisierte Ordner durch DSM auf dem Server verschlüsseln. Die Anwendung kann auch Daten in lokal verschlüsselte Volumes auf einem PC@sup@ verschieben. Wo auch immer sich die Datei befindet, niemand wird in der Lage sein, ohne Ihr Passwort auf den Inhalt zuzugreifen. https://www.synology.com/de-de/dsm/5.1beta/application


Ich habe allerdings in den Einstellungen nichts gefunden. Weiß jemand mehr? Vielen Dank

 

[stefan_lx]

du erstellst über die Systemsteuerung einen neuen gemeinsamen Ordner, den du mit Passwort verschlüsselst. Anschließend gehst du in die Systemsteuerung der CS und kannst dort den verschlüsselten Ordner auswählen (da steht dann "Angehängt" beim Status).
Du musst nur mal genauer schauen, was passiert, wenn der Ordner getrennt ist, in der Beta war der Ordner in der CS dann auf Nur-Lesen... mit der aktuellsten Version hab ich es noch nicht wieder getestet...

Stefan

 

[Kontor23]

Vielen Dank für deine schnelle Antwort - wenn ich in der Cloudstation unter Freigabe einen verschlüsselten Ordner anwähle kommt die Meldung "Verschlüsseln Sie nicht den geteilten Ordner, den Sie synchronisieren möchten". Der Ordner bleibt allerdings nach der Meldung angewählt und lässt sich auch synchronisieren - sind die Daten immer noch verschlüsselt und warum dann diese Warnmeldung? - wurde diese nur vergessen zu entfernen oder gibt es eine andere Möglichkeit verschlüsselte Ornder zu synchronisieren?

 

[stefan_lx]

ich glaub, die Meldung wurde einfach vergessen...

Stefan

 

[Kontor23]

Prima, dann hoffe ich mal das das synchen jetzt auch safe ist

 

[mabox]

Hi,
cool, danke für die Info. Hab ich jetzt auch gleich umgesetzt. Die Meldung das man verschlüsselte Ordner nicht nehmen soll kam bei mir auch, hoffe die wurde wirklich nur vergessen und es hat keine negativen Folgen.
Gruß mabox

 

[dsmynas]

Mal ganz dumm gefragt: was genau bringt Dir die Verschlüsselung des Ordners auf der DiskStation für ein Mehr an Sicherheit, wenn die Daten doch - so lange der Ordner eingebunden ist - entschlüsselt zur Verfügung stehen. Wenn die Daten dann per CloudStation synchronisiert werden, werden sie ja in entschlüsseltem Zustand über den Äther geschickt. Zumindest bei einer Anbindung an die CS ohne SSL. Wenn SSL eingesetzt wird, dann ist doch lediglich der Kommunikationsweg so gut verschlüsselt wie eben das SSL Zertifikat/Schlüssel der benutzt wird. Es ist ja nicht so, dass die Daten, nur weil sie auf der DS in einem verschlüsselten Container liegen, dann auch verschlüsselt durchs Netzt geleitet und erst auf dem Klienten entschlüsselt werden.

So wie ich dieses Thema verstehe, ist die maximale Sicherheit eines verschlüsselten Ordners dann erreicht, wenn dieser nicht im System eingebunden ist. Dann wiederum kann man auf die Daten aber auch nicht zugreifen.

Gruß,

dsmynas

 

[mabox]

Hallo,
also so wie Du schreibst leuchtet es mir eigentlich ein, aber ich dachte eigentlich aufgrund der Info aus Post 1 hier von Synology das die Daten dann wirklich verschlüsselt übertragen werden und auch im CloudStation Client/APP verschlüsselt sind. Wenn das so nicht ist macht es auch meiner Meinung nach nicht viel Sinn............oder dochß

 

[dsmynas]

Ich habe es gerade mal durchgespielt und sehe gar keinen Mehrwert bei dieser Möglichkeit.

Wenn der verschlüsselte Ordner eingehangen ist, dann kann sich jeder Admin für diesen Ordner die Zugangsrechte einrichten. Wenn der Ordner ausgehangen wird, dann braucht man allerdings erst das Passwort, bzw. den Schlüssel um den Ordner wieder einzuhängen. So lange der Ordner ausgehangen ist, meldet der CloudStation Klient allerdings einen Fehler, da der Ordner ja nicht vorhanden ist und man kann ihn in der CS nicht nutzen.

Diese verschlüsselten Ordner können allerdings nur von Admins erstellt und auch nur von Admins ein- und ausgehangen werden, ein eingeschränkter Nutzer, für den diese Praxis tatsächlich interessant wäre (um seine Daten eben vor dem Admin zu schützen), kann dies aber nicht. Es ist lediglich so das, sollte die DS gestohlen, bzw. heruntergefahren werden und bei dem verschlüsselten Ordner wurde nicht ausgewählt, dass er automatisch bei einem Hochfahren der DS eingehangen werden soll (wenn diese Option aktiv ist, ist das Prinzip des verschlüsselten Ordners sowieso hinfällig), dann muss ein Admin erst mal antraben und den Ordner mit dem Passwort/Schlüssel einhängen bevor er in der CS wieder verfügbar ist. Wenn dies nicht geschieht, bleiben die Daten verschlüsselt und nicht nutzbar.

Allerdings entbehrt dies, in meinen Augen, jeglicher Praktikabilität.

Gruß,

dsmynas

 

[mabox]

Wie verhält es sich mit der Dateiübertragung zur CloudStation App? Die Daten gehen also nicht verschlüsselt übers Netz und liegen dann nicht verschlüsselt in der APP?

 

[dsmynas]

Bei mir gehen die Daten im Klartext durch einen verschlüsselten Tunnel übers Netz, da ich SSL benutze, also so wie bei einer https-Verbindung. Die Daten landen dann im Klartext in dem eingehangenen Ordner, der dann beim Aushängen wieder verschlüsselt wird. So lange der Ordner eingehangen ist, kann auch ein Admin, bzw. jeder für den ein Zugriff konfiguriert wurde - unabhängig von irgendwelchen Schlüsseln - dessen Inhalt lesen. Davon ab hat der Admin den Schlüssel ja sowieso, denn er musste ihn ja für den Nutzer erstellen, da dieser einen solchen Ordner nicht erstellen kann.

Gruß,

dsmynas

 

[Kontor23]

Zumindest sind die Dateien wenn die Verschlüsselung sicher ist bei einem Diebstahl oder ähnlichem auf der Platte vor Zugriffen geschützt - und wenn die Daten via SSL verschlüsselt übertragen werden und auch noch verschlüsselt auf dem Rechner liegen ist das schonmal ein Fortschritt in Richtung Sicherheit

 

[dsmynas]

Bei einem Diebstahl sind sie aber nur dann sicher, wenn a) der Angreifer keinen Zugriff auf das NAS im eingeschalteten Zustand hat und b) nicht ausgewählt wurde, dass das verschlüsselte Verzeichnis beim Hochfahren automatisch eingebunden werden soll.

Da in den seltensten Fällen tatsächlich ein entwenden der Hardware, sondern eher ein unbefugter Zugriff auf diese das Problem ist, ist der einzig sichere Zustand die Daten in einem ausgehangenen, verschlüsselten Verzeichnis zu lagern. Dieses ausgehangene, verschlüsselte Verzeichnis ist aber über die CS nicht zu erreichen. Somit gibt es, in meinen Augen, keinen Mehrwert eines verschlüsselten Verzeichnis gegenüber eines verschlüsselten CS Verzeichnisses.

Gruß,

dsmynas

[edit] Der, in meinen Augen, einzig gangbare Weg wäre, wenn ein eingeschränkter Nutzer in die Lage versetzt wird innerhalb seines Homeverzeichnisses ein verschlüsseltes Verzeichnis anlegen zu können. Dieses Verzeichnis müsste er in seinem CS Klienten einbinden können und dort auch den Schlüssel hinterlegen, der er erhalten hat als er das Verzeichnis angelegt hat. Der CS Klient müsste dann in der Lage sein, on the fly die Daten die auf dem PC in dem Sync-Ordner abgelegt werden mit dem hinterlegten Schlüssel zu verschlüsseln und dann erst auf die DS zu laden. Dies wäre allerdings eine Dateibasierte und nicht Ordnerbasierte Verschlüsselung. Wobei der Verschlüsselte Ordner auf der DS wieder überflüssig wäre. Im Endeffekt müssten die Sync-Dateien vor einem Upload und nach einem Download auf dem Klienten entweder ver- oder entschlüsselt werden. [/edit]

 

[Puppetmaster]

Allerdings entbehrt dies, in meinen Augen, jeglicher Praktikabilität.

Warum denn das?

 

[Kontor23]

Das Punkt b aus sein muß sollte klar sein - zu Punkt a - es nutzt keine Verschlüsselung der Welt etwas wenn das System bereits kompromitiert wurde.

 

[dsmynas]

Warum denn das?

Warum hab ich doch ausgeführt ... Davon ausgehend, dass eingeschränkte Nutzer dieses angedachten Verfahren nutzen sollen/können, man aber einen Admin braucht, der die Speicherorte und deren Schlüssel anlegt, ihn sogar braucht um diese Ordner ein und auszuhängen ... wie absurd ist das denn? Den Rest, wieso es bei einer reinen nur-ein-Admin-betriebenen-DS aussieht hab ich auch schon ausgeführt.

Gruß,

dsmynas

 

[Puppetmaster]

Bei einem Diebstahl sind sie aber nur dann sicher, wenn a) der Angreifer keinen Zugriff auf das NAS im eingeschalteten Zustand hat und b) nicht ausgewählt wurde, dass das verschlüsselte Verzeichnis beim Hochfahren automatisch eingebunden werden soll.

b) sollte ja wohl selbstverständlich sein

a) hier wird davon ausgegangen, dass der "Angreifer" weder Passwort für den Account, noch für den verschlüsselten Ordner hat.

 

[dsmynas]

Das Punkt b aus sein muß sollte klar sein

b) sollte ja wohl selbstverständlich sein

Dann bist Du aber wieder an dem Punkt an dem der eingeschränkte Nutzer wieder einen Admin braucht um an seine Daten zu kommen. Somit gebe ich doch persönliche Daten, die ich vor den Blicken des Betreibers schützen will, genau diesen wieder Preis.

Gruß,

dsmynas

 

[mabox]

Also ich mache mir gar nicht so die Gedanken gerade über die NAS Seite. Da bin ich alleiniger Administrator. Mir stellt sich im Moment die Frage wie es in Richtung APP aussieht. Also ich synce zur APP über https, habe ich durch den verschlüsselten Ordner auf der NAS hier irgendwie einen Mehrwert? Also die Daten werden verschlüsselt übertragen und verschlüsselt in der APP dann abgelegt? Eher nicht oder?

 

[Puppetmaster]

Nein, den admin brauchts nur bei Start des Systems. Danach nicht mehr. Und dass ein admin sowieso immer alles sehen kann, ist ja nunmal so, es sei denn, das System wird eigens so konzipiert, dass das nicht möglich ist. Das ist hier aber nicht gewollt.