DSM 7.2 Fragen zu verschlüsselten Volumes

[mindscout]

Hallo,

hat sich jemand schon mit den verschlüsselten Volumes beschäftigt und kann sagen, was in der Paxis Vor- und Nachteile sind?
Ja, laut Synology soll es schneller sein und eben das ganze Volume betreffen, aber wie genau ist der Workflow?

Bei verschlüsselten Ordnern benötige ich das Passwort oder den Key und muss nach einem Neustart die Verschlüsselung wieder freigeben. Dass habe ich bisher immer händisch erledigt.

Nach kurzem Test von 7.2 habe ich bei einem verschlüsselten Volume gar kein Passwort mehr zur Verfügung, sondern es gibt einen Passwort-Tresor, welcher den Key bereithält und welcher wiederum mit einem von mir vergebenen Passwort geschützt ist. Aber nun kommen die Fragen:

1. Wo genau ist dieser Tresor gespeichert?
2. Gilt dessen Passwoort für alle, auch zukünftige, verschlüsselte Volumes und Ordner?
3. Hängt dieser Tresor bei einem Neustart automatisch das Volume ein, oder muss ich manuell das Kennwort eingeben?
4. Wenn 3. "ja", wie sind dann Daten bei einem Diebstahl der NAS geschützt?
5. Was passiert, wenn man das Laufwerk mit dem verschlüsselten Volume in eine andere NAS migrieren will?
6. Was muss man noch alles bedenken und beachten?

Danke schonmal im Voraus!

 

[Monacum]

Was muss man noch alles bedenken und beachten?

Vielleicht ein bisschen früh die Frage bei einer Beta-Version… Zumal sich da auch mit Sicherheit noch Sachen ändern werden.

 

[mindscout]

Wieso früh?
Es muss doch auch bei einer Beta geregelt sein, wie es sich mit dem Passwort verhält und der Sicherheit?!
Das muss doch jemand festgelegt und programmiert haben. Naja und daraus ergeben sich ggf. weitere Fragen, z.B. ob/wie man diesen Passwort-Tresor sichern/backupen muss.

 

[Monacum]

Schon richtig, aber meinst du nicht, dass Synology da der bessere Ansprechpartner ist? Und dass die entsprechenden Hilfeartikel natürlich erst noch aktualisiert werden müssen?

Der bisherige Schlüsselmanager speichert die Schlüssel jedenfalls auf einem Teil der Systempartition.

 

[plang.pl]

Schon wieder der nächste Bot am Start

 

[ds214se]

Mich stört am Schlüsselmanager (DSM 7.1.1-42962 Update 5 auf einer DS920+ und auf einer DS918+) vor allem das hier:

Anmerkung: Nur Rechnerschlüssel unterstützt das automatische Anhängen verschlüsselter freigegebener Ordner beim Hochfahren.

Nach DSM-Updates mit Neustart oder in anderen Situationen, wo ein Neustart passiert, ist nachher das manuelle Anhängen nötig, wenn man den Schlüssel auf einem USB-Stick speichert.

Synology empfiehlt u.a. aber:

Wählen Sie unter Schlüsselspeicherort ein externes Gerät oder eine Systempartition als Schlüsselspeicher aus. Wir empfehlen die Verwendung eines externen Geräts, da es sicherer ist, eine verschlüsselte Datei und den zugehörigen Schlüssel auf verschiedenen Geräten zu speichern.

Das leuchtet ja ein, ist aber (s.o.) aufgrund der Notwendigkeit des manuellen Anhängens nach jedem Neustart unpraktisch.

Wie häufig (und wenig überraschend) passen Bequemlichkeit und Sicherheit nicht zueinander.

Mir geht es vor allem darum, bei geplanter längerer Abwesenheit (z.B. Urlaub) möglichst unkompliziert die NAS (bzw. Nutzer-Ordner) in einen verschlüsselten Zustand zu bringen und das nach Rückkehr wieder flott zum Laufen zu bekommen.

Nebenbei bemerkt funktioniert Roundcube (zumindest bei mir) nicht, wenn /homes nicht angehängt ist. Ich hatte länger gebraucht zu kapieren, dass mein Mail-Programm die Verbindung zum Mailserver nicht herstellen konnte, weil nach einem Neustart /homes nicht angehängt war (ist verschlüsselt).

Wie handhabt Ihr das mit der Verschlüsselung? Welche sinnvollen Möglichkeiten gibt es sonst noch aktuell oder mit der Beta?

 

[Toby-ch]

Hallo zusammen
Gibt es auch die Möglichkeit bestehende Volumen zu verschlüsseln ?
Ich habe die Funktion nirgends gefunden

 

[Jagnix]

Nein.

 

[Monacum]

@Toby-ch Ich habe hier mal über mein Vorgehen und meine Erfahrungen geschrieben.

 

[Kingscus]

https://blog.elcomsoft.com/2023/06/...sm-7-2-luks-with-questionable-key-management/

Elcomsoft hat im Blog die beiden Verschlüsselungsvarianten einmal verglichen. War sehr interessant zu lesen und fasst glaube ich alles wichtige zusammen.

 

[Kaktus1911]

Ist das nicht auch schon geknackt worden?

https://forums.spacerex.co/t/bounty...ryption-keys-stored-on-box-gets-a-ds923/641/6

https://www.reddit.com/r/synology/comments/13pxzqm/comment/jld9fns/?sort=old

Ich kenn mich da leider zu wenig aus um das richtig beurteilen zu können...

Was heißt dass für ein reales Arbeitsumfeld?

 

[Kingscus]

@Kaktus1911
Das bedeutet, dass die Volume Encryption ohne KMIP-Server nur gegen normale Einbrecher taugt. Du kannst im geschäftlichen Umfeld dann nicht wirklich von Schutz reden, wenn die Keys für die Verschlüsselung auf der Festplatte liegen. Sensible Daten auf dem NAS sollten aus meiner Sicht weiterhin bzw. zusätzlich mit der dateibasierten Verschlüssleung geschützt werden.

 

[Kaktus1911]

Hm - ok danke für die Einschätzung

 

[Synchrotron]

Da gehe ich dann doch etwas weiter: Ich würde gerade in einem gewerblichen Umfeld die Verschlüsselung aktivieren. Es gibt nicht nur den Diebstahl, es gibt auch einen technischen Defekt oder den Austausch der Hardware. Die Verschlüsselung schützt in allen diesen Fällen die Daten, auch wenn andere (oft organisatorische) Absicherungen vorgesehen sind.

Juristisch gesehen: Die Verschlüsselung ist als Maßnahme vorgesehen. Wenn ich sie gewerblich nicht aktiviere, setze ich den verfügbaren „Stand der Technik“ zum Schutz der Daten nicht ein, und mache mich ggf. haftbar.

Damit jetzt niemand Panik schiebt: Da es auch Stand der Technik ist, dass nur ein neu aufgesetztes Volume verschlüsselt werden kann, muß jetzt niemand sein bestehendes Setup 1x durch den Wolf drehen, um es verschlüsselt wieder aufzusetzen.

 

[Kaktus1911]

Auch danke an dich
Die Folderverschlüsselung (Maschinenschlüssel) dürfte ja auch mit einem default Masterkey von Snyology verschlüsselt werden - und dementsprechend zu knacken sein.
Darum hab ich mich auf die Volumeverschlüsselung gefreut.
KMIP-Server dürfte ja auch seine Tücken haben - aber den werd ich mir mal anschauen.
Ideal wäre eine Lösung ala Bitlocker die einfach zu benutzen aber doch besser abgesichert ist - aber dafür fehlt halt das TPM Modul oder ähnliches.

Aktiviert wird Verschlüsselung auf jeden Fall (gewerblich) nur bleibt halt immer der Beigeschmack dass das mehr zur Zierde und zur Erfüllung der rechtlichen Bedingungen ist

 

[Kingscus]

@Kaktus1911
Hast du Hinweise darauf, dass bei der Ordnerverschlüssleung ein Masterkey von Synology verwendet wird? Mir sind soweit keine solche Hinweise bekannt und daher würde ich die Lösung so sicher einstufen wie es mit eCryptFS nun mal geht,

 

[Kaktus1911]

Ja hier:

https://blog.elcomsoft.com/2019/11/...on-forensic-analysis-of-synology-nas-devices/

 

[Kingscus]

OK, ich hatte dich glaube ich missverstanden. Dir geht es um Lösungen, die nach einem Start ohne Interaktion des Users weiterhin arbeiten (Maschinenschlüssel und Schlüssel-Manager bei Folderencryption). Ich dachte erst, du willst auf eine undokumentierte Backdoor anspielen. Da wäre ein TPM oder ähnliches zumindest wünschenswert. Das mit dem KMIP-Server ist eine feine Sache. Ich habe zwei Synology-Systeme, die via S2S-VPN miteinander verbunden sind. Ein System ist via Volumeverschlüsselung verschlüsselt und nimmt das andere NAS als KMIP-Server. Das ist schon ein ganz angenehmer Schutz aus meiner Sicht und läuft soweit ohne Probleme bisher.

 

[ElaCorp]

Darf ich fragen, wie sicher nun die Volumverschlüsselung ist und ob man diese überhaupt verwenden kann?
eventuell sogar zusätzlich mit der Ordnerverschlüsselung?

 

[Thonav]

Sicher - leg einfach ein 15 stelliges Passwort mit Sonderzeichen an, das wird keiner knacken.

Hast du so geheime Daten, dass Du neben einen verschlüsselten Volumen noch eine Ordnerverschlüsselung brauchst?