DSM 6.x und darunter Entschlüsselung über Schlüssel Manager geht nicht....

Alle DSM Version von DSM 6.x und älter

PaulMichael

Benutzer
Mitglied seit
11. Mrz 2017
Beiträge
1
Punkte für Reaktionen
0
Punkte
0
Hallo Zusammen,

ich bin gerade dabei meine DiskStation einzurichten.
ich habe zwei gemeinsame Ordner. Beide sind verschlüsselt und die Schlüssel sind im Schlüsslemanager abgelegt.

Irgendwie verstehe ich nicht, warum er beim Hochfahren die Ordner nicht entschlüsselt.

Ich bekomme auch keine Fehlermeldung etc.

Wenn ich in die gemeinsamen Ordner gehe und dort per rechter Maustaste "Anhängen" auswähle, danach auf Schlüsselmanager den Code eingebe, geht es. Bedeutet für mich, dass die Schlüssel im Manager richtig hinterlegt sind.

Ich finde leider auch keinen Lösungsansatz...

Gruß
 

mausbieber

Benutzer
Mitglied seit
26. Apr 2014
Beiträge
105
Punkte für Reaktionen
0
Punkte
16
Hallo Paul,
Du musst beim Hinzufügen des gemeinsamen Ordners zum Schlüsselmanager Rechnerschlüssel angeben, dann kannst Du an dem hinzugefügten Eintrag hinten den Haken setzen, dass er beim Starten automatisch eingehängt wird.
Bei mir geht es so
 

independence2206

Benutzer
Mitglied seit
30. Nov 2013
Beiträge
560
Punkte für Reaktionen
24
Punkte
38
Da es zu dem Thema noch nicht allzu viel Material gibt hänge ich mir hier mal ran.

-Der Rechnerschlüssel stellt sicher, dass die Verschlüsselung nur exakt von genau meiner DS entsperrt werden kann? Was dann also bedeutet, dass wenn meine DS den Geist aufgibt meine Daten auf jeden Fall weg sind, denn auch eine Austausch-DS gleicher Baureihe kann hier keine Abhilfe schaffe?
-Die Passphrase ist der normale Key, den ich beim Erstellen des verschlüsselten Ordners eingebe? Damit kann ich aber dann nicht das Volume automatisch einhängen oder?

Was passiert denn wenn der USB Stick worauf sich der Schlüsselmanager befindet abraucht? Sind dann die Daten auch weg oder kann ich den Schlüssel manuell eingeben? Ist es möglich einen ReserveUSB-Stick mit dem Schlüsselmanager zu erstellen?
 

mausbieber

Benutzer
Mitglied seit
26. Apr 2014
Beiträge
105
Punkte für Reaktionen
0
Punkte
16
Hallo,

der Rechnerschlüssel bezieht sich nur auf den Schlüsselmanager, für das Verzeichnis selbst hat man immer noch den key zum entschlüsseln.
Mit dem Rechnerschlüssel kann der Schlüsselmanger beim automatischen einhängen feststellen ob es die richtige DS ist.
 

independence2206

Benutzer
Mitglied seit
30. Nov 2013
Beiträge
560
Punkte für Reaktionen
24
Punkte
38
Ja und was ist dann der Unterschied zu der Passphrase, welche ich ja auch beim Erstellen eines neuen Schlüssels auswählen kann?
 

mausbieber

Benutzer
Mitglied seit
26. Apr 2014
Beiträge
105
Punkte für Reaktionen
0
Punkte
16
Hallo,
die oberen beiden Passphrasen ist die für den gemeinsamen Ordner, die untere ist die für den Schlüsselmanger.
Unter der unteren muss man Rechnerschlüssel stehen lassen, wenn man später den Ordner automatisch angehängt haben möchte.
Der Haken wird aber nicht automatisch gesetzt, dazu muss man noch einmal in den Schlüsselmanager
 

independence2206

Benutzer
Mitglied seit
30. Nov 2013
Beiträge
560
Punkte für Reaktionen
24
Punkte
38
Danke für deine Bemühungen mausbieber, ich verstehs trotzdem nicht^^
Ich glaube ich muss mir mal ein Video oder sonstiges dazu anschauen
 

MasterofChaos

Benutzer
Mitglied seit
04. Okt 2013
Beiträge
70
Punkte für Reaktionen
6
Punkte
8
Hi, ich hätte auch zwei Fragen zum Schlüsselmanager:

1. Gibt es irgendeine Möglichkeit "ohne" USB Stick mehrere verschlüsselte Ordner beim Start einzuhängen?
2. Gibt es eine Möglichkeit die SD Karte als Speicherort auszuwählen?
3. Gibt es eine Möglichkeit eine Batchdatei am PC zu schreiben um den Ordner automatisch einzuhängen?

Generell ist mir nicht ganz klar, was der USB Stick bewirken soll...wenn jemand die DS klaut, dann nimmt er doch eh alles mit...wozu dieser Aufwand? Ist es da nicht logischer, dass das Synctool bspw. nachschaut, ober der Computer der sich verbindet den richtigen Code kennt und dann den Ordner einhängt?

vg
Axel
 
Zuletzt bearbeitet:

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
Zum Entschlüsseln über eine Batchdatei gibt es:
Rich (BBCode):
synoshare --enc_mount $ENCRYPT_DIR_PATH $PASSWORD

Hierzu müsste dann das Passwort im Klartext in der Batchdatei hinterlegt sein. Das bringt natürlich keine Sicherheit, speziell beim Diebstahl der DS, hat der Dieb die Daten und das Passwort.

Es gibt z.B. folgende Möglichkeit (eine von vielen!) um dies zu verhindern:
Man teilt das Passwort zum Entschlüsseln in zwei Teile (123456 in 123 und 456). Teil1 bleibt in der Batchdatei, Teil2 wird aus einem anderen eingebundenen Laufwerk (nicht auf der DS!) ausgelesen. Hierzu bietet sich z.B. die NAS-Funktion einer Fritzbox an, wo man einen Pfad über die File Station einbindet. Beim Start der DS wird das Script über den Aufgabenplaner gestartet, das Script liest Teil2 aus einer Textdatei aus, baut das Passwort zusammen und entschlüsselt die gemeinsamen Ordner. Sollte sich die DS nicht im eigenen Netzwerk befinden (z.B. durch Diebstahl) findet sie beim Start nicht die Textdatei und kann somit auch die gemeinsamen Ordner nicht entschlüsseln.

Codeschnipsel:
Rich (BBCode):
FILE=/FreigabePfad/ZweiterTeilvomPW.txt
j=`head -n 1 $FILE`

meinarray=(gemeinsamerOrdner1 gemeinsamerOrdner2)

for i in ${meinarray[@]}; do
 synoshare --enc_mount $i "ErsterTeilvomPasswort"$j
done

Quelle für das Script: Irgendwo hier aus dem Forum, ich weiß leider nicht mehr wo.
 

MasterofChaos

Benutzer
Mitglied seit
04. Okt 2013
Beiträge
70
Punkte für Reaktionen
6
Punkte
8
Hallo Peter,

die Variante hört sich vielversprechend an. Kann man eine Aufgabe der DS auch auslösen, wenn ich bspw. mit einem bestimmten Rechner mich mit der DS verbinde?

Ich habe leider kein Frizbox...und die DS geht meist an, wenn ich nicht am Rechner bin.

vg und vielen Dank
Axel
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
Neuer Ansatz für die Passwortteilung:
Kleiner USB-Stick, 2 bis 3m USB-Kabel, das (fest!) hinter den Schrank (oder sonst versteckt) legen. Bei Diebstahl der DS wird der Dieb alle Kabel (inkl. dem USB-Kabel) hinten rausziehen und sich davon machen. So hat er wieder nur die DS und das halbe Passwort.

Mal generell: Das Passwort ist nur beim Neustart der DS nötig. Solange die DS nur im Standby ist, ist das Passwort nicht nötig. Bei mir läuft die DS immer durch, sprich sie braucht das Passwort nur nach einem Stromausfall oder Neustart durch ein Update.
 

MasterofChaos

Benutzer
Mitglied seit
04. Okt 2013
Beiträge
70
Punkte für Reaktionen
6
Punkte
8
Okay, dann überlege ich mir mal wie ich es am besten mache. Vielen Dank für die Hinweise :)
 

Klobbi

Benutzer
Mitglied seit
15. Jun 2008
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Hallo Zusammen,

der letzte Beitrag ist zwar schon eine Weile her, aber da ich aktuell mit dem Thema beschäftigt habe, möchte ich euch meine Lösung zeigen. Die Variante mit dem Stick stellte für mich keine Alternative dar. Wenn man eine FB hat, kann diese zwar nutzen, aber auch hier besteht unter Umständen die Möglichkeit, dass sich diese im gleichen Raum befindet und von Einbrechern mit erbeutet wird. Somit bevorzuge ich eine Lösung über einen externen Server, auf den außer mir keiner Zugriff hat.

Dieser Server ist z.B. unter https://www.domain.de erreichbar und verfügt zudem über ein SSL-Zertifikat. Dort habe ich mit einen Ordner angelegt und die PW-Datei abgelegt. Damit keiner die Passwortdatei lesen kann wurde eine .htaccess erstellt und nur der Zugriff für meine IP zugelassen.

htaccess:
Rich (BBCode):
Order Deny,Allow
Deny from all
Allow from xxx.xxx.xxx.xxx

Für alle, die keine feste IP haben, kann man diese auch automatisch aktualisieren lassen. Näheres dazu unter
https://github.com/holodyn/dyndns-htaccess

Anschließend kann man sich sein Passwort mit
Rich (BBCode):
p=$(curl -k https://www.domain.de/passwort/pw.txt)
oder
Rich (BBCode):
p=$(curl https://www.domain.de/passwort/pw.txt)
in seine Batchdatei holen.

Die 1. Variante mit -k schaltet Zertifikatsprüfung aus, somit kann man auch ein eigenes Zertifikat verwenden.

Somit habe ich meiner Meinung nach alle Anforderungen erfüllt.
1. Die Laufwerke werden immer eingehängt, solange sich die DS am Netz befindet.
2. Der Schlüssel ist weit weg und kann auch nicht ohne weiteres gelesen werden.
3. Dank SSL wird der Schlüssel nicht im Klartext übertragen.
4. Laufwerke werden nach einem Diebstahl nicht gemountet.

Wichtig dabei ist jedoch eine gesicherte Leitung mit ssl zu verwenden, sonst wird das Passwort im Klartext übermittelt UND dass der Zugriff über die IP eingeschränkt wird.


Vielleicht hilft diese Variante ja dem ein oder anderen der keine FB hat, aber vielleicht einen Server betreibt.
VG
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
628
Punkte
484
Hm, wollte mich schon länger mal mit dem Thema Schlüsselmanager im DSM beschäftigen, aber da ich erst kürzlich eine Test-DS auf DSM 6.1 gebracht habe, war das ein eher theoretisches Thema.
Ich möchte dazu kein eigenes Thema eröffnen und hier passt es ja hervorragend. ;)

Was ich mich jetzt frage: was ist der Trick, um einen "entfernten" USB Stick, beispielsweise an der Fritzbox, anzusprechen?
Wenn ich den Schlüsselmanager bei einer verschlüsselten Freigabe verwenden möchte, besteht der DSM auf einem an der DS angeschlossenen USB-Device...

Irgendwo fehlt mir da ein Schritt.
 

Klobbi

Benutzer
Mitglied seit
15. Jun 2008
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Da gibt es keinen Trick. Entweder der Stick steckt an der DS oder es geht nicht mit dem Manager. Entfernte Datein musst du per Script ansprechen.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
628
Punkte
484
OK, Trick = script ;)

Aber wie soll das gehen? Da fehlt mir noch der entscheidende Hinweis.

Der DSM lässt mich ja gar nichts weiter tun, sofern er kein USB Gerät an der DS findet. Wie soll das umgangen werden?

EDITH: Ok, ich stehe vermutlich auf dem Schlauch und die verschlüsselten Freigaben müssen per script entschlüsselt werden, nicht über den Schlüsselmanager des DSM. DAS ist der entscheidende Hinweis. Korrekt? :)

EDITH2: wenn ich so beim Schreiben drüber nachdenke, hätte ich auch selbst drauf kommen können ... :D
 
Zuletzt bearbeitet:

frimp

Benutzer
Mitglied seit
03. Mrz 2011
Beiträge
225
Punkte für Reaktionen
37
Punkte
34
Ich mache das mit einem angeschlossenen USB-Stick, den ich anschliessend abziehe. Pech nur, wenn die DS rebooted bzw, der Strom ausfällt.
Kam aber noch nie vor und wäre auch halb so wild...
 

_Joachim_

Benutzer
Mitglied seit
05. Jun 2016
Beiträge
62
Punkte für Reaktionen
0
Punkte
0
Schlüssel-Manager / Passphrase neu initialisieren...

Hallo zusammen,

ohne jetzt alle obigen Posts gelesen zu haben, möchte ich meine "Schlüssel-Manager"-Erfahrungen kurz mitteilen inkl. einer Lösung.

Zunächst fiel auf, dass 2 meiner verschlüsselten 'Gemeinsamen Ordner' in der Systemsteuerung unter Bearbeiten > Verschlüsselung die Option "Beim Start automatisch anhängen" beinhalten, zwei andere verschlüsselte 'Gemeinsame Ordner' aber nicht. Und dass in den beiden Ordnern, wo diese Option vorhanden ist, das Setzen zwar akzeptiert wird, aber erfolglos bleibt.
Der Support erklärte dazu, dass möglicherweise die zwei Ordner (mit der Option) unter DSM 6.0 angelegt wurden; die ohne diese Option unter DSM 6.1. Mit DSM 6.1 sei die Funktionalität in den "Schlüssel-Manager" ausgelagert worden und nur über diesen das automatische Anhängen möglich.

Nur... die Nutzung meines "Schlüssel-Managers" (Aktion > Schlüssel-Manager) scheiterte regelmäßig an der Passphrase. Zwar hatte ich zu jedem verschlüsselten Ordner auch den nötigen Verschlüsselungsschlüssel um die Ordner manuell anhängen zu können (Verschlüsselung > Anhängen > Schlüssel eingeben), aber eine Passphrase zum Schlüssel-Manager?
Irgendwie müsste doch der "Schlüssel-Manager" neu zu initialisieren sein - ohne negativen Einfluss auf das funktionierende manuelle Einhängen!?
Hier lag für mich die Lösung darin, alle USB-Geräte von der DS zu entfernen! Nach einem Neustart und Zugriff auf den Schlüssel-Manager wurde ich aufgefordert ein USB-Speichergerät anzuschließen. Steckt man nun einen leeren USB-Stick an (zumindest einen ohne das Verzeichnis @keystore) dann kann man eine neue Passphrase vergeben, die darüber 'automatisch anzuhängenden' verschlüsselten Ordner mittels deren Verschlüsselungsschlüssel definieren und festlegen, ob sie beim Start automatisch angehängt werden sollen.

Wer also, wie der Support ebenfalls mitteilte, eine neue Passphrase für den Schlüssel-Manager anlegen möchte oder muss, kann (bei vorhandenem 'Schlüssel-Manager-Stick') auch einfach das Verzeichnis @keystore auf dem USB-Stick löschen - in jedem Fall aber werden die vergebenen Verschlüsselungsschlüssel für die jeweiligen verschlüsselten Ordner benötigt!
 

GeeEmm

Benutzer
Mitglied seit
26. Mai 2018
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

mich würde interessieren, ob der Inhalt eines durch den Schlüsselmanager initalisierten USB Sticks gespeichert auf einer externen Quelle direkt für das Entschlüsseln der Ordner mit Hilfe eines Skriptes verwendet werden kann. Ich würde gerne vermeiden, dass die Ordner Schlüssel unverschlüsselt abgelegt werden. Gibt es sonst Alternativen, die Schlüssel möglichst sicher/verschlüsselt mit einem Skript einzubinden? Ich habe hier auch einen Thread aufgemacht:

https://www.synology-forum.de/showt...-Entschlüsseln-von-externer-Quelle-(Fritzbox)

Viele Grüße,
GeeEmm
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat