externe USB-Platte verschlüsseln - eine Lösung!?

[CHT1]

Nachdem ich hier doch einiges gelesen habe, habe ich auf fast alle meine Fragen eine Antwort gefunden.

Ein super Forum ohne dies wären die Stationen nur halb soviel wert!

Ein Problem habe ich allerdings bis jetzt nicht hinreichend gelöst bekommen, nämlich ein externes Backup auf eine USB-Platte vor Missbrauch anständig zu schützen. Gerade wenn die Backup-Platte das Haus verlässt müssen die Daten zwingend vor dem Zugriff bei Verlust geschützt sein.

Natürlich hat das allwissende Forum und das Wiki auch hierzu etwas zu bieten
USB Festplatte über DISKSTATION verschlüsseln - [Anleitung] aber so richtig anwenderfreundlich ist das sicherlich nicht.

Eine Lösung für uns habe ich nun in einer speziellen Festplatte gefunden und kann damit vielleicht dem Einen oder Anderen einen Tipp geben.

Zuerst aber noch: Ich bin User einer Diskstation und habe weder mit dem Hersteller noch mit irgendwelchen Vertriebspartnern etwas zu tun!


Die Platte hat einen 3-fach Schutz!

Zitat:
1.) RFID-Zugriffskontrolle
Der RFID-Zugriff ist durch einen 128-Bit-Schlüssel nach Advanced Encryption Standard (AES) geschützt.

2.) S.M.A.R.T.-Lock
Das Gehäuse der Festplatte nutzt die S.M.A.R.T.-Funktion der Festplatte und vergibt selbstständig ein ATA-Passwort. Dieser ATAKennwortschutz wird automatisch aktiv, sobald die Festplatte aus dem Gehäuse entfernt, ausgeschalten oder mittels RFID-Schlüssel gesperrt wurde.
Die Deaktivierung des Passwortschutzes erfolgt gleichzeitig mit der Entsperrung der Festplatte durch den RFID-Schlüssel.

3.) Datenverschlüsselung
Die Daten auf der Festplatte werden durch einen Hersteller eigenen Algorithmus verschlüsselt.


Laut einigen Bewertungen auf z.Bsp. Amazon scheinen die Daten wirklich ziemlich sicher zu sein, auch ein Ausbau der Festplatte aus dem Gehäuse und Einbau in einen PC unterbindet wohl den Zugang zu den Daten bzw. der Festplatte allgemein.

Also bei mir tut die Platte genau das was sie soll, mit ext3 formatiert funktioniert auch alles noch und mit einer Erweiterung im Total Commander komm ich in Verbindung mit dem RFID-Tag jederzeit an meine Daten.

Wer hat von euch Erfahrungen mit dieser Platte und wenn, welche?

eine Suche nach "Digittrade" hat leider hier keine Treffer gebracht.

Achja:
An Datentransferraten habe ich so 20-30 MB/sec geschafft, wobei da 350 GB mit einer Unmenge an kleinen Dateien übertragen wurde, auch war "Metadaten" als auch "Miniaturbilder" aktiviert.

 

[itari]

Deine Empfehlung hat vor 2 Jahren mal beim Heise-Verlag (c't) eine schlechte Kritik erhalten: http://www.heise.de/newsticker/meld...stplattengehaeuse-geknackt-Update-219073.html und hier: http://www.heise.de/security/artikel/Hersteller-Reaktion-270954.html

Es kann natürlich sein, dass sich das mittlerweile gebessert hat.

Itari

 

[CHT1]

Interessant, aber so etwas ähnliches hatte ich schon fast erwartet, nicht umsonst habe ich den Originaltext mit eingefügt . .

"3.) Datenverschlüsselung
Die Daten auf der Festplatte werden durch einen Hersteller eigenen Algorithmus verschlüsselt."

Allerdings bleibt der Vorteil zumindest für mich, das "Otto-Normal-Finder" so ganz ohne Know-How nicht dran kommt, andererseits erklärt das aber auch die doch recht hohe Datentransfergeschwindigkeit.

Also für mich erst einmal eine vertretbare Lösung zu einer gänzlich offenen Platte.



PS: was ist eigentlich von der "S.M.A.R.T. Lock Festplattensperre" zu halten? gab es die seinerzeit auch schon?

 

[CHT1]

Ich sehe gerade, aufgrund der Verschlüsselung hat man seinerzeit den Text wohl geändert wie oben bereits geschrieben.

Jetzt gibt es wohl auch Platten mit einer 128bit Hardwareverschlüsselung siehe hier

 

[CHT1]

Noch einmal ich

habe nun eine weitere Platte gekauft, nun aber die Version mit 128bit AES Hardwareverschlüsselung!

die ersten Tests ergeben eine Datenübertragung von nahezu 30MB/sec und das trotz der online Verschlüsselung.

Die Platte ist von den Abmessungen etwas größer als die normalen 2,5" Festplattengehäuse aber das ist mir egal, das passt noch.

 

[Plastekasper]

Hallo,

mal eine andere Frage: Warum bietet Synology das seinen Kunden nicht schon beim Backup an, Qnap tut dies ja auch? Hatte jemand mal Kontakt zu Synology und kann sagen, ob das in zukünftigen DSM-Updates enthalten sein wird? Es kann doch nicht die Lösung wie oben verlinkt sein, die zwar mit viel Mühe und Kenntnis geschrieben wurde, aber selbst jemand mit halbwegs anständigen Computerkenntnissen kann damit nur wenig anfangen. Auch ist es ja Overkill für teuer Geld eine hardwareverschlüsselte Platte zu kaufen find ich...

Gruß
Heiko

 

[CHT1]

Also die SW Lösung weiter oben ist mir auch zu hoch gewesen,

mit der USB Platte kann ich sehr gut leben und "Overkill" finde ich das nicht, sind einmalig 50 Euro mehr für die Platte und die Handhabung ist perfekt.

Deine eigentliche Frage allerdings kann ich dir auch nicht beantworten warum das nicht serienmäßig möglich ist. Zumal die Verschlüsselung nicht so prozessorlastig sein kann, sonst hätte ich nicht so hohe Übertragungsraten.

 

[amarthius]

Wende dich an den Support und schildere deinen Wunsch.

Hier schaut niemand von Synology rein.

 

[jahlives]

Ich habe mal ein bissl geggogelt und es scheint, dass auch diese "neue" Disk so ihre Problemstellen hat. So wird anscheindend der Schlüssel zwischen RFID und Platte im Klartext ausgetauscht, was theoretisch wieder Angriffmöglichkeiten bieten würde. Leider gibt es den Beitrag dazu bei ix nur gegen Bezahlung

 

[itari]

Zumal die Verschlüsselung nicht so prozessorlastig sein kann, sonst hätte ich nicht so hohe Übertragungsraten.

Eine Verschlüsselung auf der Platte (per Plattencontroller) ist natürlich nicht prozessorlastig. Allerdings kann es auch sein, dass hier Äpfel mit Birnen verglichen werden ... die einfach Frage stell sich ja sofort: wenn es ein gutes (sicheres) Verfahren gibt und der Markt es auch hergibt, dass Leute so etwas kaufen, warum produzieren die großen Plattenherstellern dann nicht solche Laufwerke? So blöd sind die ja nicht, dass man ihnen unterstellen kann, dass sie die Zeichen der Zeit nicht erkennen könnten ... Also muss es einen Grund dafür geben, warum nicht jede Festplatte bereits werkseitig mit einer Verschlüsselung ausgestattet ist.

Itari

 

[Plastekasper]

So, ich habe Synology angeschrieben mit folgender Mail:

Hi,
I strongly miss the possibility to encrypt the backup of my Diskstation when stored on an external drive. Qnap has this feature, so I think it is generally possible to implement.
In the German synology-forum.de there are lots of other people who would be glad to see this feature in the near future.
Are you planning to implement this?

Thank you!

Sincerely

Daraufhin habe ich heute folgende Antwort erhalten:

Hi Heiko,

Thank you for the feedback.

After consulting with our PM team, unfortunately, this feature hasn't been supported and tested yet. If you don't mind, could you provide us the German forum link as a reference to know what encryption exactly the users want. 

 However, there is one thing for certain, this suggestion of yours has certainly caught our attention. We have put this suggestion in our enhancement database. If you need to suggest more features, you could also sumit the following form to let the PM team know you ideas:

http://www.synology.com/support/inquiry_form.php?lang=enu&type=1

Hope this helps.

--
Sincerely,

So und jetzt die große Bitte an alle die es interessiert:

Bitte postet hier im Thread einfach einmal, wenn ihr wollt, dass die Verschlüsselung von Backups auf externe Platten in Zukunft implementiert wird in die Firmware. Ich denke wir haben hier die Möglichkeit Synology erstens mal auf dieses Forum aufmerksam zu machen und dadurch auch verschiedene Änderungen ans Entwicklerteam zu leiten.

Danke schonmal!

Ich werde die erhaltene Mail beantworten und das Anliegen weiter spezifizieren, mir reicht übrigens AES Verschlüsselung, ich denke die ist auch am einfachsten zu integrieren, mal sehen was da noch so von Synology kommt.

Viele Grüße
Heiko

 

[amarthius]

Interessante Antwort. Man könnte daraus eine Umfrage hier im Forum machen.
Wäre nur gut zu wissen was es da für Möglichkeiten gibt. Ich kenne mich da nicht wirklich aus.

Kannst du nicht eine Aufstellung machen oder Mögliche Frage/Antwortszenarien?

 

[Plastekasper]

Interessante Antwort. Man könnte daraus eine Umfrage hier im Forum machen.
Wäre nur gut zu wissen was es da für Möglichkeiten gibt. Ich kenne mich da nicht wirklich aus.

Kannst du nicht eine Aufstellung machen oder Mögliche Frage/Antwortszenarien?

Kann ich, macht aber keinen rechten Sinn, da es grundsätzlich nicht darum geht welche Verschlüsselung für die externe Platte angeboten wird, sondern vielmehr darum, dass es überhaupt eine Möglichkeit dafür gibt.
Insofern wären mögliche Auswahlen für eine Umfrage "Verschlüsselung für Backup der DS auf externen Datenträgern" nur "Ja, wünsche ich mir, das Feature vermisse ich schon lange!", "Wäre schön zu haben.", "Unnützes Feature, schade um die Entwicklungszeit."

Ich habe in der Zwischenzeit mit meinen beschränkten Englischkenntnissen noch ne Mail getippt, die ich Synology schicke:

Hi XXX,

thank you very much for your answer!

One Link to a thread in the german forum is this: http://www.synology-forum.de/showth...erschlüsseln-eine-Lösung!&p=191065#post191065
I hope you don't mind that I quoted your Email there.

To be more specific about the encryption: The background for asking this, is that I want to have a backup of my Diskstation which is stored outside of my flat, e.g. in my garage, to have my data save in case of a fire or something like that. My garage is not that safe against burgling in as my flat is. So if I have my external harddrive with the backup of the DS on it in my garage and it gets stolen, all of my data are easily accessible by the thief because they are unencrypted and thus unprotected.
And I don't think its a matter of what kind of encryption will be used, I think AES is fine, but more to have a possibility to encrypt my data at all (without encrypting files on the DS itself). How the DS deals with this - as a container or a whole volume encryption - doesn't matter to me.

I already tried Truecrypt to achieve it, but that is not working because I find no way to mount a Truecrypt volume on the DS.

There is, however, a workaround for this, but I guess most people, including me, are not able to use it: http://www.synology-wiki.de/index.php/Verschlüsseltes_Backup

So hopefully there will be a native solution soon.

Sincerely

Gruß
Heiko

 

[amarthius]

Kann ich, macht aber keinen rechten Sinn, da es grundsätzlich nicht darum geht welche Verschlüsselung für die externe Platte angeboten wird, sondern vielmehr darum, dass es überhaupt eine Möglichkeit dafür gibt.
Insofern wären mögliche Auswahlen für eine Umfrage "Verschlüsselung für Backup der DS auf externen Datenträgern" nur "Ja, wünsche ich mir, das Feature vermisse ich schon lange!", "Wäre schön zu haben.", "Unnützes Feature, schade um die Entwicklungszeit."

Gruß
Heiko

Die Mehrheit wird meiner Meinung nach für Antwort 1 und 2, also mehrheitlich für Ja stimmen.

Mir ging es eher darum, wie die Implementation aus Usersicht aussehen soll.

Soll nur die normale Sicherung verschlüsseln können?
Sollen die verschlüsselten Dateien auch im DSM zu öffnen sein?
Soll auch TimeBackup verschlüsseln?
Wie wird verschlüsselt?
Mit was kann ich entschlüsseln und wie?
Geht das auch übers Netzwerk?
Kann ich verschlüsselte Backups auch dauerhaft entschlüsseln (ohne Daten doppelt zu haben)?
...
Von den Algorithmen, Keyfiles ,Masterkey, etc habe ich keine Ahnung ob das auch relevant ist.

 

[Merthos]

@Plastekasper:
Wenn es Dir nur um Backups geht, autorun hat eigentlich alles dafür nötige an Bord.


Ist aber trotzdem eine Funktion, die Synology einbauen sollte.

 

[Plastekasper]

@ amarthius: Das ist schwer zu beantworten, aber ich sag es mal ganz einfach: So, wie man auch beim Erstellen eines gemeinsamen Ordners die Verschlüsselung aktivieren kann, so müsste das auch beim Erstellen eines Sicherungsjobs in "Datensicherung- und Wiederherstellung" sein. Dort, wo der Sicherungsordner gewählt wird, sollte eine Option da sein "Verschlüsselung aktivieren", Verschlüsselungsmethode "XY" und "YX" und fertig. Das kann ja ruhig für alle Sicherungsmethoden sein, denn standardmäßig wird eh ein Container gebastelt und die Daten reingeschoben. Ob der nun auf eine externe Platte, einen Netzwerkspeicher oder zu Amazon S3 geschoben wird, spielt ja erstmal keine Rolle. Mehr Anforderungen werden die meisten an so ein externes Backup auch garnicht haben denke ich.

@ Merthos: Danke für den Link! Das ist echt toll gemacht und sicher auch praktikabel - allerdings nur für den, der erstens mal fähig ist zu verstehen was da genau abläuft und zweitens bereit ist den entsprechenden Aufwand auch zu betreiben. Ich mein man kann ja grundsätzlich so vieles machen, das System als Solches ist ja wie Linux (oder durch ) extrem flexibel. Aber nur für den, der Ahnung davon hat. Die meisten User scheitern schon an den Möglichkeiten der DS an sich.

 

[Merthos]

Welcher Aufwand? Ein spk zu installieren sollte man schon noch hinkriegen, der Rest ist Klickibunt-Oberfläche.

ein Container gebastelt und die Daten reingeschoben. ... einen Netzwerkspeicher oder zu Amazon S3 geschoben wird

Das passt nicht so wirklich zueinander. Ich würde das im ersten Schritt einfach auf externe Platten beschränken, weil da kann alles mit den vorhandenen Mitteln gemacht werden, fehlen quasi nur ein paar Einstellungen im DSM. Netzwerksicherungen sind problematisch, bei Containern gehen ggf. keine Deltas und das eingebaute eCryptfs erzeugt seltsame Dateinamen, die momentan schon bei HiDrive Probleme machen.

 

[Plastekasper]

Welcher Aufwand? Ein spk zu installieren sollte man schon noch hinkriegen, der Rest ist Klickibunt-Oberfläche.

Das passt nicht so wirklich zueinander. Ich würde das im ersten Schritt einfach auf externe Platten beschränken, weil da kann alles mit den vorhandenen Mitteln gemacht werden, fehlen quasi nur ein paar Einstellungen im DSM. Netzwerksicherungen sind problematisch, bei Containern gehen ggf. keine Deltas und das eingebaute eCryptfs erzeugt seltsame Dateinamen, die momentan schon bei HiDrive Probleme machen.

Na ich probier das mal aus mit dem spk...

Ok, das es bei den Netzwerksicherungen zu Problemen kommt wusste ich nicht. Wie gesagt mir würde es reichen, wenn das auf einer ext. Platte funktioniert.

 

[Drain]

Hi Plastekasper,

wie ist der Stand der Dinge? Mich interessiert dieses Thema auch. Möchte mein Backup verschlüsseln, da ich es außer Haus lagern will.
Oder ist das vielleicht bereits im DSM4 implementiert worden?

Drain

 

[Plastekasper]

Hi Plastekasper,

wie ist der Stand der Dinge? Mich interessiert dieses Thema auch. Möchte mein Backup verschlüsseln, da ich es außer Haus lagern will.
Oder ist das vielleicht bereits im DSM4 implementiert worden?

Drain

Hallo Drain,

leider noch nichts Neues in der Sache. Ich hab das mit dem spk immernoch nicht ausprobiert, ich bin durch Umzug etc. einfach nicht dazu gekommen. Ich hoffe ja auch, dass in der 4.0 sich mal was getan hat dahingehend, aber ich befürchte nicht. Die Neuerungen, die man bis jetzt auf der Homepage sehen kann, sind für mich wenig vielversprechend. Aber vielleicht kann jemand anderes dazu noch was sagen.

Gruss
Heiko