Fragen zur Verschlüsselung (speziell DS214+)

[Peter_Lehmann]

Von daher für privat / Small Business ausreichend, für Staatsgeheimnisse eher nicht.

Genau das bezeichne ich als eine sehr gute Antwort! Leider hier kaum beachtet.

Im Bereich der IT-Sicherheit kennen wir den Begriff des "Kalkulierbaren Restrisikos". Das bedeutet, stark vereinfacht gesagt (!), das Abwägen zwischen der zu erreichenden (gewollten oder geforderten) Stufe der Sicherheit und dem Aufwand, welcher erforderlich ist, dieses Ziel zu erreichen. Es dürfte klar sein, dass was den maximal zulässigen (!) Aufwand betrifft, dieser von der zu erreichenden Stufe des Schutzes bestimmt wird. Für "offen" oder "PERSDAT" ist dieser Schutz eben anders als für "GEHEIM" oder gar "STRENG GEHEIM".
Daran sollte man also auch immer denken. Welchen Aufwand will/muss ich betreiben, welche Sicherheit will/muss ich erreichen, welche Nebenwirkungen können auftreten?

Weiterhin (und mit dieser Meinung werde ich bestimmt auf viel Widerstand stoßen ...) sehe ich es als absolut sinnfrei an, auf einem ständig in Betrieb befindlichen Server eine Festplattenverschlüsselung anzuwenden.
Selbstverständlich sind meine zwei dienstlich genutzten Rechner mit einer (hardwaremäßigen) Festplattenvollverschlüsselung versehen. Und selbstverständlich lässt sich diese nur durch Stecken einer Chipkarte mit X.509-Zertifikaten und nach Eingabe der richtigen PIN entsperren. (Also Besitz und Wissen zweier Geheimnisse). Aber dieser Schutz dient einzig und allein der Vorsorge für den Fall des Verlusts der Hardware (wieviel 1000 Notebooks werden jährlich weltweit geklaut ...).
Eine verschlüsselte Festplatte ist im laufenden Betrieb (also gemountet) unverschlüsselt. Für einen Angreifer, der mit der größten Wahrscheinlichkeit zuerst einmal "übers Netz" kommt, ist noch nicht einmal offensichtlich, dass dieser Datenträger verschlüsselt ist. Er nutzt die üblichen (bekannten oder uns noch unbekannten) Schwachstellen der Protokolle und Anwendungen aus. Das ist auf alle Fälle der viel einfachere Weg und der Weg des für den Angreifer geringsten Risikos.

Ich möchte an dieser Stelle anbringen, dass zur IT-Sicherheit aber auch das Kriterium der Verfügbarkeit gehört. Also der Schutz vor Datenverlust. Habt ihr schon mal auf einem vollverschlüsselten Datenträger eine Datenrettung gemacht? (Das ist eine der oben erwähnten "Nebenwirkungen"!)

An genau dieser Stelle muss beim Nachdenken (auch im privaten Bereich oder im KMU) angesetzt werden.
Wo ist das größere Risiko? Dass einer "übers Netz kommt", dass mir einer die DS klaut, oder dass meine HW mit der verschlüsselten HD mal den Geist aufgibt?
Wie "geheim" sind denn überhaupt meine "Geheimnisse"?

Und die nächste Frage ist, wo bekommt das System den Schlüssel für das Mounten der verschlüsselten HD her?
- auf der Kiste gespeichert (also Automount beim Booten)
- indem ich jedes mal ein PW einhacken muss (sicherer, aber lästig => das PW wird immer trivialer ...)
- indem ich zumindest beim Booten einen USB-Stick anstecken muss (empfehlenswerte Lösung!)
- indem ich (so wie auf meinen dienstlichen Notebooks) eine Chipkarte stecken und eine PIN eingeben muss (welche HW kann das? teuer! - aber sehr sicher!!)

Jetzt gibt es garantiert Nutzer, die sagen, "ja, aber wenn bei mir das BKA nachts klingelt ...".
Keine Sorge. Die Jungs wissen schon, dass man einen in Betrieb befindlichen Server nicht einfach so vom Strom trennt und in die Umzugskiste steckt. Gut informierte Diebe übrigens auch.


Selbstverständlich nutze ich privat auch verschlüsselte Container (ja, Truecrypt) für meine kleinen privaten "Geheimnisse" auf meiner stationären IT und eine entsprechende (hier softwaremäßige) Vollverschlüsselung auf meinen beiden Notebooks. Aber die Container werden nur für die Zeit gemountet, wenn ich die Daten benötige. <= Und genau das ist mein persönliches kalkulierbare Restrisiko, welches ich dann bewusst in Kauf nehme.
Dass meine "private IT" ausschließlich über ein VPN aus dem "bösen Netz" erreichbar ist, erwähne ich nur am Rande.
JA, der Beruf färbt ab ... .


MfG Peter

 

[Puppetmaster]

Sehr sehr schöner Bericht!

Vor allem, weil er den Grundgedanken, nämlich das Abwägen der Verhältnisse, sehr in den Vordergrund holt. Es nutzt niemanden ein Fort Knox für die letzten harmlosen Fotos der Familienfeier, die interessieren ausser einem persönlich vermutlich niemanden sonst, und entsprechend groß ist dann auch der Ehrgeiz dieser Daten habhaft zu werden.

Von ständig gemounteten, und womöglich noch aus dem Netz erreichbaren, verschlüsselten Ordnern oder gar ganzen Platten, halte ich übrigens auch nichts. Kriminalität findet heute vor der Haustüre statt, da nutzt das Verschlüsseln dann eben auch nichts, wenn der Dieb das noch nicht einmal bemerkt.

 

[Frogman]

Schöner Abriss... kann da nur voll zustimmen!

 

[picard_1983]

Moin, ich möchte hier auch gern mal kurz eingreifen. Ich nutze einen verschlüsselten gemeinsamen Ordner auf der DS. Dort liegen private Dokumente (Rechnungen etc.).

So wie ich das verstehe und gelesen habe, muss bei einer wiederherstellung jede Datei einzeln von Hand entschlüsselt werden? Zum Beispiel von einem Linux LIve_CD mit bestimmten Terminal befehlen?

Sehe ich das richtig? Oder kann ich die verschlüsselten Dateien in eine neue DS kopieren und diese dort komplett entschlüsseln mit dem PW?

 

[Peter_Lehmann]

Hallo picard_1983,


Zuerst einmal: Ich freue mich wirklich, dass du dir derartige Gedanken machst! Wenn das nur alle machen würden!
In den anderen Foren, wo ich ständig schreibe (Thunderbird u.a.) muss ich des öfteren Usern, die heulend den Verlust ihrer suuuuper wichtigen Daten beklagen, mit meinem Lieblingsspruch antworten:
"Höre auf zu heulen! Ungesicherte Daten sind unwichtige Daten!"
Nun, das wirst du hier von mir nicht zu lesen bekommen.

Fakt ist, dass die alte Regel "es ist viel einfacher eine Datei wiederherzustellen, als diese Datei spurlos zu löschen!" immer noch gilt. Das gilt auch für verschlüsselt gespeicherte Daten. Die Frage ist nur, mit welchem Aufwand an Zeit und Ressourcen und welche Kenntnisse dafür benötigt werden. Auf jeden Fall kann ich dir keinesfalls empfehlen, davon auszugehen, dass dies sooooo einfach ist, dass du auf eine zusätzliche Datensicherung verzichtest.

Wieder da ...

Nun, mittlerweile hat ja Merthos schon die Antwort gegeben.
Aber trotzdem, auch wenn das mit Bordmitteln zumindest theoretisch recht einfach möglich ist (sein sollte - hat das schon mal jemand life ausprobiert?), würde ich dir niemals empfehlen, einen verschlüsselten Datenbestand ohne zusätzliche Sicherung anzulegen.
Bei einem normalen Backup sollte man ja auch niemals von einem Erfolg ausgehen, wenn man den Restore noch nie getestet hat. Nur wie testet man life und unter Originalbedingungen das Wiederherstellen von verschlüsselten Daten? Wie macht man das, wenn auch die HD an sich nicht mehr richtig funktioniert oder vlt. nur noch Bruchstücke als Image gerettet werden können?
Auch hier gilt die weiter oben beschriebene Risikoabschätzung.

MfG Peter

 

[Merthos]

Das Wiederherstellen von verschlüsselten Daten ist im Wiki beschrieben und das geht für ganze Ordner (inkl. Unterordner) in einem Rutsch.

 

[Frogman]

... würde ich dir niemals empfehlen, einen verschlüsselten Datenbestand ohne zusätzliche Sicherung anzulegen.

Oder gar - was hier auch immer gerne nachgefragt wird - auch das Backup der verschlüsselten Daten zu verschlüsseln... Wer das ernsthaft als Schutzmaßnahme sieht, der hat noch nie einen echten Ernstfall erlebt. Wenn man ein Backup sichern will, dann wäre eher das gemeine Schließfach eine Option...

 

[Matthieu]

Ich stelle hier mal eine Forschungsarbeit rein:
https://www4.cs.fau.de/Lehre/SS10/PS_KVBK/papers/03.v2.robby.zippel.ausarbeitung.pdf
Da wird auf einige interessante Punkte eingegangen. Ich hab mir jetzt mal den ecryptfs Teil angesehen. So sind diese Daten vollständig transportabel also ohne größeren Aufwand an einem anderen Rechner wiederherstellbar. Mit TPM sehe das anders aus ...
Welche HW kann mit Chipkarte verschlüsseln? Zu jedem mir bekannten Business-Notebook gibt es eine Option für ein Lesegerät. Eine entsprechende Karte kostet in der Größenordnung 10-20€. Darüber hinaus ist über TPM viel geschrieben worden in der Vergangenheit, da spare ich mir mal jegliche Anmerkung. In Software implementierte Verschlüsselung ist mir da viel lieber.

Wenn ich es richtig verstanden habe, kann man bei ecryptfs beliebige Teile wiederherstellen. Also ganze Ordnerstrukturen oder auch nur einzelne Dateien.

MfG Matthieu

 

[Galileo]

Vor allem, weil er den Grundgedanken, nämlich das Abwägen der Verhältnisse, sehr in den Vordergrund holt. Es nutzt niemanden ein Fort Knox für die letzten harmlosen Fotos der Familienfeier,

Richtig. Fotos und Filme verschlüsse ich auch nicht. Bei allem anderen ist mir aber der Aufwand zu groß jeweils zu entscheiden, ob es verschlüsselt sein soll oder nicht, da ist komplette Verschlüsselung von allem im Handling einfacher, vorausgesetzt man hat die nötige CPU-Leistung dass die Performance nicht so wesentlich leidet.

 

[Galileo]

Das Wiederherstellen von verschlüsselten Daten ist im Wiki beschrieben und das geht für ganze Ordner (inkl. Unterordner) in einem Rutsch.

Ich hab's jetzt im Wiki nicht auf Anhieb gefunden, aber ich habe schon folgendes ausprobiert:

Angenommen ich habe die verschlüsselten Daten auf irgend einem Volume in irgend einer DS, sie sind aber nicht sichtbar. Dann lege ich einen Ordner mit dem ursprünglichen Namen und dem selbem Passwort in der Systemsteuerung neu an (vielleicht geht es auch wenn der Ordnername anders ist, aber das PW muss das selbe sein). Während der Ordner nicht gemounted ist verschiebe ich dann die verschlüsselten Daten in diesen Ordner (vielleicht geht es auch bei gemountetem Ordner). Wenn man den Ordner dann anhängt sind die Daten sichtbar.

 

[Puppetmaster]

Richtig. Fotos und Filme verschlüsse ich auch nicht. Bei allem anderen ist mir aber der Aufwand zu groß jeweils zu entscheiden, ob es verschlüsselt sein soll oder nicht, da ist komplette Verschlüsselung von allem im Handling einfacher, vorausgesetzt man hat die nötige CPU-Leistung dass die Performance nicht so wesentlich leidet.

Es ging ja auch nicht um Verschlüsselung oder nicht, also schwarz oder weiß, sondern um die vielen Graustufen dazwischen, bzw. das noch schwärzere Schwarz. D.h. konkret: welche Verschlüsselung muss ich für meine privaten, mir schützenswert erscheindenen Unterlagen, wählen. Bei mir mischen sich ja nicht ein paar private Rechnungen und daneben noch ein paar Staatsgeheimnisse ...

 

[Frogman]

Und um das hier mal anzumerken: "Staatsgeheimnisse" (also 'Streng Geheim') oder auch nur VS-eingestufte Dinge werden längst nicht nur mit Verschlüsselung abgesichert - der Eingeschränktheit ist man sich schon bewußt. Üblicherweise sind dafür separate Lagerungssysteme vorgeschrieben (also bspw. IT-Systeme, die keine Verbindung zu weiteren Systemen haben), einsehbar in separierten Räumlichkeiten, in denen es keinerlei Möglichkeiten zur machinellen Duplizierung gibt, Zugang nach Anmeldung, Kontrolle und in höchsten Einstufungen nur unter Aufsicht... Mehr geht immer, und dort wird auch kaum noch nach Kosten/Nutzen geschaut... wobei dann immer mal wieder geschludert wird wie jüngst, wenn Geheimakten auf einmal in einem Abgeordnetenbüro auf der Fernsterbank gefunden werden

 

[Puppetmaster]

Ja, denn wie immer wird auch hier der (Stör)Faktor Mensch meist nicht ausreichend berücksichtigt.

 

[Peter_Lehmann]

Trotz der Befürchtung, dass mich hier wohl bald ein Mod wegen [OT] rauskanten wird, schreibe ich doch noch eine Antwort ... .

Das "Problem" bei den (in erster Linie kleineren) DS ist ja, dass diese fast immer in privater Umgebung oder in einem KMU ohne ausgebildetes Administrationspersonal eingesetzt werden. Das ist ja auch der Sinn hinter einem derartigen Gerät: ONU/KMU soll es kaufen, anschließen und sich daran erfreuen. WOWEREIT!

Nun befinden sich in diesen kleinen, voll ONU-tauglichen Gerätchen tolle Features, welche natürlich auch gern genutzt werden. Auch das ist voll in Ordnung. Aber selbst wenn gewisse Warnungen und Hinweise (auf Datensicherung usw.) in den Anleitungen stehen (würden?), wer liest schon Anleitungen? Anleitungen sind doch eh nur für Weicheier! Es funktioniert ja ... . Und zwar auf Anhieb und meistens auch voll intuitiv.
Das Problem ist nur, wenn letzteres eintrifft ... .

Ich habe in meinem langen "IT-Leben" auch vielen Privatleuten geholfen, wenn denen Hunderte Bilder von der SD-Card in der Urlaubsknipse verloren gegangen sind. Oder wenn wegen einer Fehlbedienung mal auf einmal eine ganze HD leer war (der User wollte parallel zu seiner WinDOSe auf dem freien Platz noch Linux installieren ...). Auch eine Diplomarbeit konnte wiederhergestellt werden. Die leuchtenden Augen der Betreffenden sind einfach unvergesslich! Genau so wie die peinlichen Blicke, wenn auf der SD noch andere, längst vergessene Bilder auftauchten ... .
Aber wer kennt schon den uralten Grundsatz aus der Forensik, dass man niemals Rettungsversuche auf dem Datenträger selbst vornehmen darf? (Immer erst ein Image ziehen und mit diesem arbeiten!)

Fazit: Wie in meinem ersten Beitrag schon geschrieben, soll man nicht nur die tollen Features sehen, sondern auch immer an die "Nebenwirkungen" denken. Was passiert, wenn ...? Welche Möglichkeiten habe ich dann, usw?
Die Lösungen, die zwischenzeitlich hier gepostet wurden, sind Lösungen von (mehr oder weniger) Fachleuten, zumindest Leuten die selber suchen und lesen können. Ich denke aber auch an den ONU, der vor dem Scherbenhaufen seiner Daten steht und das große Fracksausen bekommt. Genau dann passieren die meisten Fehler. (Ja, andere leben von diesen Fehlern. )

MfG Peter

 

[Frogman]

Ja, denn wie immer wird auch hier der (Stör)Faktor Mensch meist nicht ausreichend berücksichtigt.

Bingo! - denn die Sicherheit eines Systems verhält sich IMMER reziprok zur Schusseligkeit der Benutzer...

 

[picard_1983]

Ich hab's jetzt im Wiki nicht auf Anhieb gefunden, aber ich habe schon folgendes ausprobiert:

Angenommen ich habe die verschlüsselten Daten auf irgend einem Volume in irgend einer DS, sie sind aber nicht sichtbar. Dann lege ich einen Ordner mit dem ursprünglichen Namen und dem selbem Passwort in der Systemsteuerung neu an (vielleicht geht es auch wenn der Ordnername anders ist, aber das PW muss das selbe sein). Während der Ordner nicht gemounted ist verschiebe ich dann die verschlüsselten Daten in diesen Ordner (vielleicht geht es auch bei gemountetem Ordner). Wenn man den Ordner dann anhängt sind die Daten sichtbar.

Na wenn das geht, dann ist das wiederherstellen ja simpel

 

[Galileo]

Ja, wobei man das Verschieben natürlich nur in der shell machen kann.

 

[Peter_Lehmann]

Guten Morgen!

Es steht außer Zweifel, dass ihr oder wir, die sich hier im Forum tummeln das "drauf haben". Und wenn nicht, dann werden die hier mitlesenden User sich Rat holen - und diesen auch garantiert bekommen.
Aber frage mal den ONU (siehe #34!) oder "Hans_den_Kleinunternehmer_und_Firmenchef", was eine "shell" ist! Die kennen nur die gleichnamige Tanke! Das ist ja wohl auch verständlich!
Und "Hans", der nur Gutes tun und seine vertraulichen Firmendaten etwas schützen wollte, bekommt das große Flattern und vlt. auch noch finanzielle Ausfälle, weil der Laden ein paar Tage nicht läuft.
Das sind dann die bewussten Nebenwirkungen, welche die beiden o.g. niemals ahnen und vor denen sie auch niemand gewarnt hat. Ob sie dann gleich auf die Idee kommen, sich hier im Forum anzumelden?

MfG Peter

 

[Galileo]

Peter, ich verstehe den Sinn deiner Beiträge nicht.

Ein Unternehmer sollte die Reichweite seiner Handlungen selbst überblicken, und die bei denen das nicht der Fall ist fallen ggf. der natürlichen Auslese zum Opfer, das ist aber eine Alllerweltsweisheit und hat mit dem Thema "Synology" oder "Verschlüsselung" garnichts zu tun.

 

[Matthieu]

IMHO funktioniert das stinknormale sichern der Daten über den DSM wenn der Ordner nicht eingehangen ist. In der eigentlichen Diskussion ging es mal eine Zeit lang um ecryptfs und dessen technischen Hintergrund zwecks Sicherheit. Das bedeutet aber nicht, dass es ein Synology-User so machen muss.

MfG Matthieu