cryptoloop

[itari]

Die Ironie des Schicksals ... ich hatte diesen Thread eigentlich zum Abgewöhnen hinsichtlich der Verschlüsselung von Containern geschrieben. Weil man doch schnell merkt, dass die Rechenleistung fehlt. Da das aber nur durch Erfahrung geht, hatte ich den Thread eröffnet.

Itari

 

[pred8or]

Hallo,
leider ist die Verschlüsselung nicht für alle Synology NAS möglich (Shared folder encryption is supported only on specific models: DS1010+, RS409+, RS409RP+, RS409, DS509+, DS409+, DS409, DS209+II, DS209+, DS209, DS109+, DS109, DS409slim, RS408, RS408-RP, DS508, and DS408.). Erinnert ein bisschen an die MailStation, welche zuerst auch einige NAS ausgeschlossen hat. Kann man sowas umgehen Meine DS 210j ist dort nämlich "fälschlicherweise" nicht aufgeführt.
Grüße
Tom

 

[raymond]

Alle j Modelle werden nicht unterstützt, dies wusste ich schon länger, dass das so kommen soll: Edward Lin hat mir das bereits letztes Jahr mitgeteilt.
Habe mir auch gedacht: die DS210j ist billiger als die DS209 und nur etwas langsamer, was ich verkraften kann. Aber das erste neue feature ist nicht dabei. Daher wird die DS209 immer interessanter für mich (Verschlüsselung möchte ich schon haben). Ich bin mal gespannt auf benchmarks mit Verschlüsselung. AES 256 ist ja nicht ohne...

 

[jahlives]

Ich bin mal gespannt auf benchmarks mit Verschlüsselung. AES 256 ist ja nicht ohne...

Ich tippe mal ins Blaue: 30% der Performance von unverschlüsselt. Bietet jemand mehr oder weniger?

 

[king_dingeling]

Wie ist das eigentlich, wenn ich jetzt ein Share verschlüssle, erschwert das einfach den Zugriff bei Hardwareklau oder auch wenn jemand per Inet sich in meine DS hacken würde ?

 

[jahlives]

Wie ist das eigentlich, wenn ich jetzt ein Share verschlüssen würde, erschwert das einfach den Zugriff bei Hardwareklau oder auch wenn jemand per Inet sich in meine DS hacken würde ?

Wohl nur wenn die Hardware geklaut ist resp die Share nicht geladen ist. So wie ich es verstanden habe gibst du das PW an, dann wird entschlüsselt und die Share in Samba eingebunden. In diesem Moment liegen die Daten ziemlich sicher unverschlüsselt vor. Wenn sich also jemand reinhackt und du die Share geladen hast, dann kommt er wohl an die Daten ran.

 

[Matthieu]

Der Schlüssel wird fest eingebunden. Es gibt eine Option "Zugriff beim Start automatisch zulassen". Offenbar wird der Ordner zunächst nicht entschlüsselt und man muss dann den Schlüssel irgendwo angeben und erst dann kann man darauf zugreifen. Da ich aber Linux nutze werde ich aber zunächst nicht auf die Verschlüsselung zurückgreifen, denn die "Haken" gehen weiter:

1. Bei den gemeinsamen Ordner mit den folgenden Namen ist die Verschlüsselung nicht zulässig, da sie mit Systemdiensten verknüpft sind: web, photo, music, video, surveillance, download, netbackup.
2. Die verschlüsselten gemeinsamen Ordner können nicht über NFS aufgerufen werden. Wenn Sie einen gemeinsamen Ordner verschlüsseln, der NFS-Regeln enthält, werden diese entfernt.

Quelle: DSM-Hilfe

MfG Matthieu

 

[raymond]

Wohl nur wenn die Hardware geklaut ist resp die Share nicht geladen ist. So wie ich es verstanden habe gibst du das PW an, dann wird entschlüsselt und die Share in Samba eingebunden. In diesem Moment liegen die Daten ziemlich sicher unverschlüsselt vor. Wenn sich also jemand reinhackt und du die Share geladen hast, dann kommt er wohl an die Daten ran.

Hoffentlich gibts da ein Timeout, sprich, wenn man das share mit Passwort gemountet hat und man es eine Weile nicht nutzt, dass es dann automatisch ungemountet wird, ansonsten muss man das einskripten...

 

[raymond]

Ich tippe mal ins Blaue: 30% der Performance von unverschlüsselt. Bietet jemand mehr oder weniger?

http://de.wikipedia.org/wiki/Rijndael

AES soll in Hardware wie Software eine überdurchschnittliche Leistung haben

Bei TrueCrypt schneidet AES auch nicht schlecht, wenn nicht sogar am besten von den dort verwendeten Algorithmen ab (schon klar ist Windows und ein anderer Prozessortyp). Ich bin da optimistischer und hoffe, dass der Performanceabfall bei weniger als 50% liegt.

 

[jahlives]

Ich denke auch, dass es von den Prozis abhängt. AES wurde afaik für 32bit Prozessoren "optimiert". Auch noch ein gutes Paper zum Thema Perofrmance (http://www.schneier.com/paper-aes-comparison.html)

 

[amarthius]

Btw: Grad ein 2.5GB Image auf das verschlüsselte Volume geschoben
100Mbit Netzwerk
AFP als Protokoll
7,8MB/s Übertragungsrate
50 - 60% Auslastung der DS

Unverschlüsselt habe ich ca. 9,5MB/s und 25% Auslastung.

Bin Überrascht das es so flott geht.

Hatte dies im 2.3 Beta Thread eben gepostet. Wäre interessant, wenn noch andere ihre Erfahrungen posten.

Insbesondere wundere ich mich warum die DS nicht voll ausgelastet ist. Gibt es dafür eine Erklärung?

 

[glowaq]

Ich finde "richtige" tests sind nur im gigabit netz möglich.

Wird das komplette volume verschlüsselt oder ein container, oder die dateien ? Wie machen die das genau?

 

[amarthius]

Du kannst im DS-Manager einen verschlüsselten Share erstellen. Komplette Volumes gehen meines Wissens nicht.

Morgen kann ich es mal im Gigabit Netzwerk testen.

 

[glowaq]

Was erzeugt er denn dann auf der platte im verzeichnis der DS? Wird da EINE datei (container) erzeugt, oder was? Kannst du mal nachsehen!?

 

[HarryPotter]

Ich tippe mal ins Blaue: 30% der Performance von unverschlüsselt. Bietet jemand mehr oder weniger?

Nicht so schlecht, Franklin spricht von 80% Unterschied zwischen verschlüsselt und unverschlüsselt auf einer DS1010+

http://forum.synology.com/enu/viewtopic.php?p=84460#p84460

 

[itari]

Was erzeugt er denn dann auf der platte im verzeichnis der DS? Wird da EINE datei (container) erzeugt, oder was? Kannst du mal nachsehen!?

Es wird im Grunde ein crypto-loop-device angelegt ... also genauso, wie ich es im Threadanfang beschrieben habe.

Itari

 

[jahlives]

Ich tippe mal ins Blaue: 30% der Performance von unverschlüsselt. Bietet jemand mehr oder weniger?

Hier hat Frankling im intl Forum folgendes geschrieben:

http://forum.synology.com/enu/viewt...4&sid=5f5e8e12a40844eef88a754ccabf1191#p84460
5. Using encryption will affect performance, a quick performance test on a DS1010+ over here shows a 80% performance difference between encryption and no encryption.

wenn ich das richtig verstanden habe war mein Tipp ins Blaue gar nicht soweit entfernt
@HarryPotter
Sorry deinen Post erst gesehen als ich meine gepostet habe

 

[glowaq]

Es wird im Grunde ein crypto-loop-device angelegt ... also genauso, wie ich es im Threadanfang beschrieben habe.

Itari

Klaro, aber wo-rein verschlüsselt er? Bei einen container müsste er VORHER wissen, wie gross das volume sein darf. Fragt er das ab? Es könnte ja auch sein, dass er einfach die dateien 1:1 übernimmt, die namen scrabelt und den inhalt. So könnte man dann auch ein backup machen. Macht er das so?

Bei einen crypto-loop könnte er zudem auch peer NFS zugreifen, was aber scheinbar nicht möglich ist!?

 

[Pax90]

Hallo zusammen,
nach diesem Update kann ich wieder nicht meine Device´s entschlüsseln. Nach einer Neuinstallation der Firmeware ist es wieder möglich (also liegt es nicht am container), nur nach jedem Firmewareupdate alles wieder zu installieren, ist auch nicht das gelbe vom Ei :/

So geh ich vor:

XXX> /opt/sbin/losetup -e aes /dev/loop0 /xxxxx/c1.raw
Password:
ioctl: LOOP_SET_FD: Device or resource busy
XXX>

Gibt es eine Log, wo ich nachsehen kann, warum er es nicht laden kann :/ ?

Lg

 

[pillepalle]

hi, kurze frage, geht das mit den verschlüsselten ordern per DSM firmware auch mit meiner 207+ ?
is mir jetz noch nich ganz klar.. ob sich das update also lohnt. wenn ja woher bekomme ich das?