DS213j - Datensicherheit bzgl. Diebstahl

[raymond]

Egal wie: wenn man verschlüsselt Daten ablegen möchte, holt man sich aktuell keine Synology und erst recht keine aus der "j" Serie. Man muss dann schon zu professionellen und dafür optimierten Equipment zurückgreifen.

Die Verschlüsselung bei Synology ist derzeit, finde ich, noch in einem sehr ausbaufähigem Zustand. Die Frage ist auch, ob daran Synology so schnell was ändert, da derzeit massiv auf die Performance geht und es sich vermutlich erst lohnt wenn noch wesentlich dickere Prozessoren bzw. extra Verschlüsselungsmodule verbaut werden. Erst ab der xs Serie macht das wirklich Spaß und kann es von der Performance sinnvoll nutzen.

 

[mike3k]

Wenn die Anwendung (!) selbst verschlüsselt, liegt der Schlüssel mitnichten neben den Rohdaten. Im Idealfall verlangt die Anwendung dann nämlich nach dem Schlüssel bspw. per Smartcard (und das wird durchaus auch so in der Praxis umgesetzt). Ein simples Beispiel wäre die Verschlüsselung von Office-Daten über die integrierte Funktion. Passwort kennt der Anwender oder der Passwort-Safe (Keepass o.ä.) und liegt nicht neben den Rohdaten.
MfG Matthieu

Da hast du eben nur ein Problem: Du musst die Integrität der Anwendung, des Systems, der Treiber usw absichern. Das ist ein Riesenaufwand in Anbetracht der vielen Anwendungen & Schichten, daher ist die vorgeschlagene Vollverschlüsselung etwas besser und günstiger, denn du kannst zumindest die Rohdaten nicht manipulieren (Platte rausbauen). Du musst halt nur absichern, dass der Boot Prozess sauber ist, sprich nicht manipuliert. Dazu gibts einfache Methoden.

@raymond: die 213j hat bereits extra einen cryptochip, der das übernimmt! Ebenfalls kann ich dieses Performancegedöns nicht mehr hören. Das ist doch Gelaber, denn jedes Handy kann das seit Jahren ohne spürbare Effekte. Das erinnert mich an SmartTV/SetopBoxen Chips, da scheinen auch stets Dinger drin zu stecken, die 20 Jahre alt sind, wenn man sich die RuckeGUIs mal anschaut.

 

[raymond]

@raymond: die 213j hat bereits extra einen cryptochip, der das übernimmt! Ebenfalls kann ich dieses Performancegedöns nicht mehr hören. Das ist doch Gelaber, denn jedes Handy kann das seit Jahren ohne spürbare Effekte. Das erinnert mich an SmartTV/SetopBoxen Chips, da scheinen auch stets Dinger drin zu stecken, die 20 Jahre alt sind, wenn man sich die RuckeGUIs mal anschaut.

Fakt ist aber, dass die Leistung um 2-5x im download bzw. upload vermindert wird:
http://www.synology.com/products/performance.php?lang=deu#tabs-2

Und auch bei den dicksten Modellen bricht zumindest die Schreibgeschwindigkeit auch erheblich ein:
http://www.synology.com/products/performance.php?lang=deu#tabs-xs-plus

 

[mike3k]

Ist sicherlich sehr heftig, der Einbruch. Daran muss der Hersteller definitiv arbeiten, was auch nicht schwer sein sollte. Allerdings aktuell für mich nicht so dass Riesenproblem. Denn bei ca 12MB/s bin ich beim 100mbit Netz ja noch nicht am Limit.

 

[Matthieu]

Allerdings aktuell für mich nicht so dass Riesenproblem. Denn bei ca 12MB/s bin ich beim 100mbit Netz ja noch nicht am Limit.

Ich glaube von dir als "Anwendungsbeispiel" sind wir schon längst weg. Und ja, mit 12MB/s limitierst du auch 100MBit. Damit sind rechnerisch nämlich 100/8, also 12,5MB/s machbar.
Mit der Crypto-Einheit ist soweit ich weiß die normale Gleitkommaeinheit gemeint, die je nach Architektur (u.a. PPC) in vielen Geräten vorhanden ist. Eine "echte" Einheit wäre zum Beispiel mit FPGAs realisierbar ... und damit auch außerordentlich teuer.

Inwiefern sich beim Einsatz eines NAS als Datenspeicher die Manipulationssicherheit in Abhängigkeit der Verschlüsselungsmethode ändert, erschließt sich mir ebenfalls nicht. Auf Manipulationssicherheit kann nur ein entsprechend gerüstetes Dateisystem oder die Applikation selbst testen. Der Vorteil einer Verschlüsselung ist hier nur, dass es schwierig ist zu manipulieren wenn man die genaue Datenstruktur aufgrund der Verschlüsselung nicht kennt. Meist resultiert Manipulation verschlüsselter Daten meinem Verständnis nach nur in korrupten Dateien.

MfG Matthieu

 

[itari]

Du musst die Integrität der Anwendung, des Systems, der Treiber usw absichern. Das ist ein Riesenaufwand ...

ja und ... soll es sicher sein oder bequem

die Office-Verschlüsselung war in vergangenen Zeiten ein Fake, also nicht ernsthaft ... kann aber sein, dass es mittlerweile besser ist

noch ne Bemerkung zu dem 'Cryptochip' ... es handelt sich um eine Funktionseinheit im SoC, die für die Verschlüsselung von Netzwerkpaketen sorgt ... also nicht zu viel erwarten - die Botschaft lautet eher, Synology performt sogar mit Teilen, die andere Hersteller eher weniger kennen und nutzen ...

Itari

 

[raymond]

Ich habe es mal an Synology gemeldet, wenigstens mal zu schauen ob ecryptfs aktualisiert (ecryptfs-utils) werden kann: http://ecryptfs.org/

Wie ich sehe, gibts dafür auch eine kernel Komponente, wo wir wieder beim Thema fälligem kernel update (2.6.32 wird noch bis Mitte 2014 unterstützt: https://www.kernel.org/category/releases.html) sind.

Vielleicht ist da noch etwas performance drin.

 

[mike3k]

Ich glaube von dir als "Anwendungsbeispiel" sind wir schon längst weg. Und ja, mit 12MB/s limitierst du auch 100MBit. Damit sind rechnerisch nämlich 100/8, also 12,5MB/s machbar.

Ich gehe mal davon aus, dass auch die übergroße Mehrheit in diesem Lande immer noch 100MBit Netzwerke zu Hause (und auch im Büro am Endarbeitsplatz) hat. Reicht ja idR auch aus...

Mit der Crypto-Einheit ist soweit ich weiß die normale Gleitkommaeinheit gemeint, die je nach Architektur (u.a. PPC) in vielen Geräten vorhanden ist. Eine "echte" Einheit wäre zum Beispiel mit FPGAs realisierbar ... und damit auch außerordentlich teuer.

Was die genau in Ihrem "Hardware-verschlüsseltem Modul" haben, weiß ich nicht... Und was man effektiv braucht, keine Ahnung. Aber ziehen wir einen Vergleich ran. In der ct gabs mal einen Vergleich eines (glaube ich) Galaxy Nexus mit/ohne Vollverschlüsselung. Denke mal, dass da auch AES256 (Edith sagt: AES-128 im ESSIV Modus) zum Einsatz kommt o.ä. Fazit war: Außer beim Boot-Vorgang selbst (vermutlich Integritätsprüfung) war kein Unterschied festzustellen. In dem Ding steckt was drin? Ja, ein simpler ARM 1,2 Ghz Dualcore... Keine speziellen Chips oder sonstwas. Die CPU selbst war glaube ich einer von TI, also nicht mal ein Exynos aus der Zeit, der bei gleichem Takt mehr Leistung hat (vgl mit Galaxy S2). Ich bin kein Hardware-Entwickler und stells mir mit Sicherheit zu einfach vor. Aber da es andere seit Jahren können (selbst aufm Jahre alten Atom ist die TC-Vollverschlüsselung nicht zu spüren!) sollte da mal was drin sein.

Meist resultiert Manipulation verschlüsselter Daten meinem Verständnis nach nur in korrupten Dateien.

Richtig, das ist der Hauptschutz, wenn man es so nennen will... Gerade eben, wenn man eine Vielzahl an Diensten, Applikationen usw fährt, wo nicht jede seinen eigenen Schutz aufbauen muss. Klar, im laufendem Betrieb bist du da in einer Art DMZ, aber das ist im Privatbereich mE i.O. und scheint ja selbst im professionellen Sektor i.O. zu sein, sonst würde man 99% der am Markt existierenden Sachen nicht einsetzen.


@Itari: D.h. es ist mehr oder minder ne Mogelpackung, was sie dort bewerben?

@raymond: Was gabs denn für Änderungen in dem Modul? Abwärtskompatibel wirds ja hoffentlich sein!?

 

[raymond]

Ich gehe mal davon aus, dass auch die übergroße Mehrheit in diesem Lande immer noch 100MBit Netzwerke zu Hause (und auch im Büro am Endarbeitsplatz) hat. Reicht ja idR auch aus...

Ich gehe eher davon aus, dass die meisten im Büro schon Gigabit auch bis zu den Clients haben: Gigabit Switches sind schon lange Standard. Zuhause werden leider den Kunden immer noch 100 Mbit/s Router angeboten und wenige kommen auf die Idee einen Gigabit Router oder Gigabit Switch zu kaufen (Ausnahme halt die Verwendung einer NAS).

@raymond: Was gabs denn für Änderungen in dem Modul? Abwärtskompatibel wirds ja hoffentlich sein!?

Bei den utils habe ich nur bugfixes rauslesen können. Beim Kernel sieht da schon anders aus:
Bessere AES-NI performance: http://www.phoronix.com/scan.php?page=news_item&px=MTM2OTg
was leider erst nur bei den Intel Prozessoren was bringen. Leider unterstützen selbst die dicksten Synology NASes mit dem Intel i3 dies nicht.

Von Abwärtskompatibilität gehe ich auch mal aus.

 

[mike3k]

Ich gehe eher davon aus, dass die meisten im Büro schon Gigabit auch bis zu den Clients haben: Gigabit Switches sind schon lange Standard. Zuhause werden leider den Kunden immer noch 100 Mbit/s Router angeboten und wenige kommen auf die Idee einen Gigabit Router oder Gigabit Switch zu kaufen (Ausnahme halt die Verwendung einer NAS).

Aus Erfahrung sag ich da eher: nein, ganz im Gegenteil! Das Backbone ist idR mdst 1Gbit, die Clients hängen aber meist (extra) mit 100mbit am Netz, damits Netz vermutlich nicht überlastet wird, sprich immer Daten fließen können. Standort mit einigen hundert Plätzen. GBit nur bei Leuten, die es "brauchen". Admins oder Leute, die wirklich Daten verschieben müssen. Klar, da läuft kein solches NAS sondern ein eigener Server-Raum mit anderem Kaliber. Also kein vergleichbares Szenario. Die kleinen Offices mit max 5 MA's sind aber dennoch auch oft nur mit 100er angebunden, denn dort steht ja meist wieder nur der DSL-Router vom Provider. Wenn der "Geldgeber" nicht gerade IT-Erfahrung hat, kennt man eh kaum die Unterschiede. Es läuft ja... ^^