DSM 7.2 Fragen zu verschlüsselten Volumes

mindscout

Benutzer
Mitglied seit
25. Jan 2014
Beiträge
269
Punkte für Reaktionen
16
Punkte
18
Hallo,

hat sich jemand schon mit den verschlüsselten Volumes beschäftigt und kann sagen, was in der Paxis Vor- und Nachteile sind?
Ja, laut Synology soll es schneller sein und eben das ganze Volume betreffen, aber wie genau ist der Workflow?

Bei verschlüsselten Ordnern benötige ich das Passwort oder den Key und muss nach einem Neustart die Verschlüsselung wieder freigeben. Dass habe ich bisher immer händisch erledigt.

Nach kurzem Test von 7.2 habe ich bei einem verschlüsselten Volume gar kein Passwort mehr zur Verfügung, sondern es gibt einen Passwort-Tresor, welcher den Key bereithält und welcher wiederum mit einem von mir vergebenen Passwort geschützt ist. Aber nun kommen die Fragen:

  1. Wo genau ist dieser Tresor gespeichert?
  2. Gilt dessen Passwoort für alle, auch zukünftige, verschlüsselte Volumes und Ordner?
  3. Hängt dieser Tresor bei einem Neustart automatisch das Volume ein, oder muss ich manuell das Kennwort eingeben?
  4. Wenn 3. "ja", wie sind dann Daten bei einem Diebstahl der NAS geschützt?
  5. Was passiert, wenn man das Laufwerk mit dem verschlüsselten Volume in eine andere NAS migrieren will?
  6. Was muss man noch alles bedenken und beachten?
Danke schonmal im Voraus!
 

mindscout

Benutzer
Mitglied seit
25. Jan 2014
Beiträge
269
Punkte für Reaktionen
16
Punkte
18
Wieso früh?
Es muss doch auch bei einer Beta geregelt sein, wie es sich mit dem Passwort verhält und der Sicherheit?! :unsure:
Das muss doch jemand festgelegt und programmiert haben. Naja und daraus ergeben sich ggf. weitere Fragen, z.B. ob/wie man diesen Passwort-Tresor sichern/backupen muss. 🤷‍♂️
 

Monacum

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
03. Jan 2022
Beiträge
2.200
Punkte für Reaktionen
1.024
Punkte
224
Schon richtig, aber meinst du nicht, dass Synology da der bessere Ansprechpartner ist? Und dass die entsprechenden Hilfeartikel natürlich erst noch aktualisiert werden müssen?

Der bisherige Schlüsselmanager speichert die Schlüssel jedenfalls auf einem Teil der Systempartition.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Schon wieder der nächste Bot am Start :mad:
 

ds214se

Benutzer
Mitglied seit
31. Jul 2014
Beiträge
236
Punkte für Reaktionen
23
Punkte
18
Mich stört am Schlüsselmanager (DSM 7.1.1-42962 Update 5 auf einer DS920+ und auf einer DS918+) vor allem das hier:
Anmerkung: Nur Rechnerschlüssel unterstützt das automatische Anhängen verschlüsselter freigegebener Ordner beim Hochfahren.

Nach DSM-Updates mit Neustart oder in anderen Situationen, wo ein Neustart passiert, ist nachher das manuelle Anhängen nötig, wenn man den Schlüssel auf einem USB-Stick speichert.

Synology empfiehlt u.a. aber:
Wählen Sie unter Schlüsselspeicherort ein externes Gerät oder eine Systempartition als Schlüsselspeicher aus. Wir empfehlen die Verwendung eines externen Geräts, da es sicherer ist, eine verschlüsselte Datei und den zugehörigen Schlüssel auf verschiedenen Geräten zu speichern.

Das leuchtet ja ein, ist aber (s.o.) aufgrund der Notwendigkeit des manuellen Anhängens nach jedem Neustart unpraktisch.

Wie häufig (und wenig überraschend) passen Bequemlichkeit und Sicherheit nicht zueinander.

Mir geht es vor allem darum, bei geplanter längerer Abwesenheit (z.B. Urlaub) möglichst unkompliziert die NAS (bzw. Nutzer-Ordner) in einen verschlüsselten Zustand zu bringen und das nach Rückkehr wieder flott zum Laufen zu bekommen.

Nebenbei bemerkt funktioniert Roundcube (zumindest bei mir) nicht, wenn /homes nicht angehängt ist. Ich hatte länger gebraucht zu kapieren, dass mein Mail-Programm die Verbindung zum Mailserver nicht herstellen konnte, weil nach einem Neustart /homes nicht angehängt war (ist verschlüsselt). ;)

Wie handhabt Ihr das mit der Verschlüsselung? Welche sinnvollen Möglichkeiten gibt es sonst noch aktuell oder mit der Beta?
 

Toby-ch

Benutzer
Mitglied seit
02. Okt 2013
Beiträge
453
Punkte für Reaktionen
18
Punkte
18
Hallo zusammen
Gibt es auch die Möglichkeit bestehende Volumen zu verschlüsseln ?
Ich habe die Funktion nirgends gefunden o_O
 
  • Like
Reaktionen: Gehsteigpanzer

Jagnix

Benutzer
Sehr erfahren
Mitglied seit
10. Okt 2018
Beiträge
1.233
Punkte für Reaktionen
324
Punkte
109
Nein.
 
  • Like
Reaktionen: Toby-ch

Monacum

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
03. Jan 2022
Beiträge
2.200
Punkte für Reaktionen
1.024
Punkte
224
@Toby-ch Ich habe hier mal über mein Vorgehen und meine Erfahrungen geschrieben.
 
  • Like
Reaktionen: Toby-ch

Kingscus

Gesperrt
Mitglied seit
22. Dez 2022
Beiträge
19
Punkte für Reaktionen
4
Punkte
3
@Kaktus1911
Das bedeutet, dass die Volume Encryption ohne KMIP-Server nur gegen normale Einbrecher taugt. Du kannst im geschäftlichen Umfeld dann nicht wirklich von Schutz reden, wenn die Keys für die Verschlüsselung auf der Festplatte liegen. Sensible Daten auf dem NAS sollten aus meiner Sicht weiterhin bzw. zusätzlich mit der dateibasierten Verschlüssleung geschützt werden.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.102
Punkte für Reaktionen
2.067
Punkte
259
Da gehe ich dann doch etwas weiter: Ich würde gerade in einem gewerblichen Umfeld die Verschlüsselung aktivieren. Es gibt nicht nur den Diebstahl, es gibt auch einen technischen Defekt oder den Austausch der Hardware. Die Verschlüsselung schützt in allen diesen Fällen die Daten, auch wenn andere (oft organisatorische) Absicherungen vorgesehen sind.

Juristisch gesehen: Die Verschlüsselung ist als Maßnahme vorgesehen. Wenn ich sie gewerblich nicht aktiviere, setze ich den verfügbaren „Stand der Technik“ zum Schutz der Daten nicht ein, und mache mich ggf. haftbar.

Damit jetzt niemand Panik schiebt: Da es auch Stand der Technik ist, dass nur ein neu aufgesetztes Volume verschlüsselt werden kann, muß jetzt niemand sein bestehendes Setup 1x durch den Wolf drehen, um es verschlüsselt wieder aufzusetzen.
 
  • Like
Reaktionen: Kingscus

Kaktus1911

Benutzer
Mitglied seit
16. Nov 2022
Beiträge
103
Punkte für Reaktionen
24
Punkte
68
Auch danke an dich :)
Die Folderverschlüsselung (Maschinenschlüssel) dürfte ja auch mit einem default Masterkey von Snyology verschlüsselt werden - und dementsprechend zu knacken sein.
Darum hab ich mich auf die Volumeverschlüsselung gefreut.
KMIP-Server dürfte ja auch seine Tücken haben - aber den werd ich mir mal anschauen.
Ideal wäre eine Lösung ala Bitlocker die einfach zu benutzen aber doch besser abgesichert ist - aber dafür fehlt halt das TPM Modul oder ähnliches.

Aktiviert wird Verschlüsselung auf jeden Fall (gewerblich) nur bleibt halt immer der Beigeschmack dass das mehr zur Zierde und zur Erfüllung der rechtlichen Bedingungen ist ;)
 

Kingscus

Gesperrt
Mitglied seit
22. Dez 2022
Beiträge
19
Punkte für Reaktionen
4
Punkte
3
@Kaktus1911
Hast du Hinweise darauf, dass bei der Ordnerverschlüssleung ein Masterkey von Synology verwendet wird? Mir sind soweit keine solche Hinweise bekannt und daher würde ich die Lösung so sicher einstufen wie es mit eCryptFS nun mal geht,
 

Kingscus

Gesperrt
Mitglied seit
22. Dez 2022
Beiträge
19
Punkte für Reaktionen
4
Punkte
3
OK, ich hatte dich glaube ich missverstanden. Dir geht es um Lösungen, die nach einem Start ohne Interaktion des Users weiterhin arbeiten (Maschinenschlüssel und Schlüssel-Manager bei Folderencryption). Ich dachte erst, du willst auf eine undokumentierte Backdoor anspielen. Da wäre ein TPM oder ähnliches zumindest wünschenswert. Das mit dem KMIP-Server ist eine feine Sache. Ich habe zwei Synology-Systeme, die via S2S-VPN miteinander verbunden sind. Ein System ist via Volumeverschlüsselung verschlüsselt und nimmt das andere NAS als KMIP-Server. Das ist schon ein ganz angenehmer Schutz aus meiner Sicht und läuft soweit ohne Probleme bisher.
 

ElaCorp

Benutzer
Mitglied seit
12. Mai 2015
Beiträge
820
Punkte für Reaktionen
62
Punkte
48
Darf ich fragen, wie sicher nun die Volumverschlüsselung ist und ob man diese überhaupt verwenden kann?
eventuell sogar zusätzlich mit der Ordnerverschlüsselung?
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.890
Punkte für Reaktionen
1.510
Punkte
274
Sicher - leg einfach ein 15 stelliges Passwort mit Sonderzeichen an, das wird keiner knacken.

Hast du so geheime Daten, dass Du neben einen verschlüsselten Volumen noch eine Ordnerverschlüsselung brauchst?
 
  • Like
Reaktionen: ElaCorp


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat