Fragen zur Verschlüsselung und dem Schlüsselmanager

schwix

Benutzer
Mitglied seit
26. Feb 2020
Beiträge
14
Punkte für Reaktionen
0
Punkte
1
Ich würde gerne einzelne Gemeinsame Ordner auf meinem NAS verschlüsseln.
Meine Vorstellung zu dieser Verschlüsselung ist analog zum BitLocker von Windows:

Jetzt bietet Synology an nen Schlüsselmanager zu benutzen. Aber wenn ich das richtig verstehe ist der einzige Vorteil des Schlüsselmanagers,
alle Laufwerke auf einmal zu mounten und dies im Zweifelsfall automatisch beim booten zu tun?

Spricht irgendetwas dagegen, den Schlüsselmanager nicht zu benutzen und die *.key Dateien manuell an einem sicheren Ort aufzubewahren für den Fall dass man das Passwort zum Entschlüsseln vergessen hat? Alles was ich tun müsste, wäre nach einem neustart im DSM die gemeinsamen Ordner einmal manuell zu mounten, richtig?

Danke schonmal

Jan
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
Ja. Ist genau so, es dient zum automatischen mounten.
Kann auf dem NAS selber angelegt werden (suboptimal) oder auf zb USB Stick oder oder...
Oder du pfeifst auf ein automatisches wiedereinhängen, wenn dein NAS mal vom Strom war oder reboot Pause genommen hat.
Je nach Anwendung und setting ist sowas wichtig, birgt aber auch Risiken bzgl des eigentlichen Sinnes, nämlich wenn der USB Stick ungesichert dauerhaft am NAS hängt...
;)
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
Achso... Kannste einfach jedes Mal manuell machen. Mache ich hier auch so... Mit key oder pw.
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Also ich finden den Schlüsselmanager inzwischen sehr hilfreich. Ich habe die Daten auf einer externen USB-Platte, die dauerhaft an der NAS hängt. Daher nutze ich das automatische Einhängen nicht. So muss ich nach dem Reboot einmal das Passwort für den Schlüsselmanager eingeben und kann dann alle verschlüsselten Ordner einhängen. Hier sehe ich kein grosses Risiko, da ja die Daten des Schlüsselmanagers verschlüsselt und mittels Passwort geschützt sind (ein sicheres! Passwort vorausgesetzt).
Allerdings - nur zur Beruhigung: Wenn Deine NAS mal incl. USB-Platte geklaut wird und der Dieb Deine Login-Daten nicht kennt, muss er ein Reset machen und damit wird auch der Schlüsselmanager gelöscht. Somit bleibt ihm der Zugriff auf Deine verschlüsselten Ordner verwehrt.
 

RAIDler

Benutzer
Mitglied seit
30. Apr 2021
Beiträge
76
Punkte für Reaktionen
6
Punkte
8
Moinsen,
Ja. Ist genau so, es dient zum automatischen mounten.
Kann auf dem NAS selber angelegt werden (suboptimal) oder auf zb USB Stick oder oder...
Oder du pfeifst auf ein automatisches wiedereinhängen, wenn dein NAS mal vom Strom war oder reboot Pause genommen hat.
Je nach Anwendung und setting ist sowas wichtig, birgt aber auch Risiken bzgl des eigentlichen Sinnes, nämlich wenn der USB Stick ungesichert dauerhaft am NAS hängt...
;)


Wie funzt das mit dem USB-Stick ?

Sag ich dem Schlüsselmanger er soll die keys auf den Stick schreiben und dann ?
Muss der dann eingesteckt bleiben, was ja blödisnn wäre oder dient er nur als "key-Backup" und ich leg den auf die Seite ?


Offtopic :

Wenn ich einen Ordner nachtärglich verschlüssel, was passiert dann mit den kopierten Daten ?
Überschriebt die DS die Daten oder liegen die dann blank im Nirvana der Festplatte ?
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
wenn du das NAS ausschaltest werden die verschlüselten gem. Ordner ausgehängt. Beim nächsten Hochfahren sind diese weiterhin ausgehängt, zum Einhängen benötigst du dann die keys. Da diese auf dem USB Stick sind muss der dann zum Einhängen am NAS eingesteckt sein. Danach kannst du den Stick wieder entfernen.
Da (m)ein NAS oft 24/7 läuft kann der Stick also einfach an einem sicheren Ort (welcher NICHT am NAS ist) verweilen.
Alternativ kannst du auch mit Passwort einhängen, das geht dann eben nicht automatisch. Hintergrund ist vor allem der Schutz deiner Daten bei Diebstahl. Gerät weg, Daten weg...aber durch die Verschlüsselung und hoffentlich nicht anhängendem Stick daher kein Nutzen für den Dieb.
Wenn du einen Ordner nachträglich verschlüsselst, dann werden die enthaltenen Daten verschlüsselt. AFAIK werden dazu die Daten quasi in einen neuen verschlüsselten Daten kopiert, danach der (unverschlüsselte) Ordner entfernt, deswegen benötigt das nachträglich Verschlüsseln auch kurz etwas mehr Speicherplatz. So jedenfalls mein Verständnis dazu, mag aber sein, dass das gleich von jemandem korrigiert wird...
;)
 
  • Like
Reaktionen: RAIDler

Aevin

Benutzer
Mitglied seit
22. Nov 2010
Beiträge
1.371
Punkte für Reaktionen
96
Punkte
74
Ich handhabe es so wie @whitbread und lasse den Stick in der RS stecken.
Macht sich blöd in einem Serverschrank nach Neustart die RS zu ziehen um den Stick anzustecken. Geht sicherlich auch mit USB-Verlängerung, sei es drum.
Ich habe ein sehr langes sicheres Passwort für den Stick gewählt und bin mir ich ziemlich sicher, dass es nicht so einfach ist die Ordner zu "knacken".
 
  • Like
Reaktionen: RAIDler

RAIDler

Benutzer
Mitglied seit
30. Apr 2021
Beiträge
76
Punkte für Reaktionen
6
Punkte
8
Moinsen,
wenn du das NAS ausschaltest werden die verschlüselten gem. Ordner ausgehängt. Beim nächsten Hochfahren sind diese weiterhin ausgehängt, zum Einhängen benötigst du dann die keys. Da diese auf dem USB Stick sind muss der dann zum Einhängen am NAS eingesteckt sein. Danach kannst du den Stick wieder entfernen.
Da (m)ein NAS oft 24/7 läuft kann der Stick also einfach an einem sicheren Ort (welcher NICHT am NAS ist) verweilen.
Alternativ kannst du auch mit Passwort einhängen, das geht dann eben nicht automatisch. Hintergrund ist vor allem der Schutz deiner Daten bei Diebstahl. Gerät weg, Daten weg...aber durch die Verschlüsselung und hoffentlich nicht anhängendem Stick daher kein Nutzen für den Dieb.
Wenn du einen Ordner nachträglich verschlüsselst, dann werden die enthaltenen Daten verschlüsselt. AFAIK werden dazu die Daten quasi in einen neuen verschlüsselten Daten kopiert, danach der (unverschlüsselte) Ordner entfernt, deswegen benötigt das nachträglich Verschlüsseln auch kurz etwas mehr Speicherplatz. So jedenfalls mein Verständnis dazu, mag aber sein, dass das gleich von jemandem korrigiert wird...
;)
Ich habe an DS920+ "nur" 2 USB-Anschlüsse, die beide dauerhaft belegt sind (USV und externe Backup-Platte)
Da fällt die USB-Stick-Variante wohl ins Wasser, leider :-(

Was aber mit den vorher unverschlüsselten Daten passiert, ist unklar ? Könnte also sein, dass die "böser" Mensch, rekonstruieren kann, wenn er das Teil geklaut hat ?
 

RAIDler

Benutzer
Mitglied seit
30. Apr 2021
Beiträge
76
Punkte für Reaktionen
6
Punkte
8
Ich handhabe es so wie @whitbread und lasse den Stick in der RS stecken.
Macht sich blöd in einem Serverschrank nach Neustart die RS zu ziehen um den Stick anzustecken. Geht sicherlich auch mit USB-Verlängerung, sei es drum.
Ich habe ein sehr langes sicheres Passwort für den Stick gewählt und bin mir ich ziemlich sicher, dass es nicht so einfach ist die Ordner zu "knacken".
Also kann ich mit einem sehr sicher gewählten Passwort, für den Schlüsselamanager, auch ohne USB-Stick Variante klar kommen ?
Der "Dieb" müsste ja erstmal das Passwort knacken ....
 

schwix

Benutzer
Mitglied seit
26. Feb 2020
Beiträge
14
Punkte für Reaktionen
0
Punkte
1
@the other

ich mache es inzwischen genau so. Letztlich starte ich das NAS ja nicht dauernd neu, daher ist der Aufwand die Festplatten in den paar Fällen neu einzuhängen marginal. Danke für den Rat.
 

Aevin

Benutzer
Mitglied seit
22. Nov 2010
Beiträge
1.371
Punkte für Reaktionen
96
Punkte
74
Also kann ich mit einem sehr sicher gewählten Passwort, für den Schlüsselamanager, auch ohne USB-Stick Variante klar kommen ?
Der "Dieb" müsste ja erstmal das Passwort knacken ....
Ich glaube wir reden da ein bisschen aneinander vorbei. Ich habe ja einen ganz kleinen USB Stick angehangen und dort den Schlüsselmanager mit meinem "MEGA" - Passwort :p drauf. Den ziehe ich auch nicht ab und muss nach Neustart nur den Schlüsselmanager vom USB Stick aktivieren und nach einmaliger Passworteingabe werden alle Ordner wieder eingehangen.
 
  • Like
Reaktionen: RAIDler

RAIDler

Benutzer
Mitglied seit
30. Apr 2021
Beiträge
76
Punkte für Reaktionen
6
Punkte
8
Ich glaube wir reden da ein bisschen aneinander vorbei. Ich habe ja einen ganz kleinen USB Stick angehangen und dort den Schlüsselmanager mit meinem "MEGA" - Passwort :p drauf. Den ziehe ich auch nicht ab und muss nach Neustart nur den Schlüsselmanager vom USB Stick aktivieren und nach einmaliger Passworteingabe werden alle Ordner wieder eingehangen.
Nochmal zum Verständis :

Die UBS-Stick Variante geht ja bei mir nicht, wegen nicht ausreichenden USB-Anschlüssen.:cry:

Ich kann also

1. den Schlüsselmanger nehmen, damit der mir alle verschlüsselten Ordner auf einmal entsperrt ?
2. jeden Ordner einzel entsperren, jedesmal wenn die DS neu startet ?


Noch ein paar letzte Fragen, bevor ich nun diverse Ordner nachträglich verschlüssel ::)

Meine DS läuft nur von 05:00 - 21:30 Uhr, dass heißt dann, ich muss jeden morgen am PC alles freigeben ?
Vom Smartphone aus entsperren geht nicht ?
Werden die Zugriffszeiten extrem langsamer ?
Wenn ich den Schlüsselmanger nutze, und die DS wird geklaut, dann muss aber erst das von mir gewählte Passwort geknackt werden, oder ?
Da ich kein USB-Stick nutzen kann, kann ich nmur noch die externe Backup-Platte auswählen für den Schlüssel zu speichern, macht das Sinn, oder lieber dann händisch für die 2/3 Ordner das Passwort eingeben ?
Das ganze System einfach verschlüsseln...Geht das nicht, und wäre das nicht einfacher ?

Danke vielmals !!!!!(y)(y)(y)

Grüße
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
  • Like
Reaktionen: RAIDler

Yippie

Benutzer
Mitglied seit
01. Feb 2011
Beiträge
643
Punkte für Reaktionen
54
Punkte
54
Mal für mich zum Verständnis: die Eingabe des Passwords findet ja im DSM statt, also im Browser, richtig?

Ist das ein manueller Vorgang, in dem Sinne, dass ich im DSM irgendwas tun muss um die Ordner zu mounten? Da steht wohl kein Popup nach der Anmeldung im DSM, welches mich zur Password Eingabe auffordert, oder?
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
Ist das ein manueller Vorgang
Ja, du musst in die Systemeinstellung, dann auf gemeinsame Ordner, dann den Ordner auswählen, Verschlüsselung wählen, Passwort eingeben und bestätigen. Bei mehreren Ordnern musst du das mehrmals machen. Fazit: mühselig.
Auf der Konsole (per Script) ist das Mounten ein Einzeiler.
Code:
synoshare --enc_mount "GemeinsamerORDNER" PASSWORD
 

Yippie

Benutzer
Mitglied seit
01. Feb 2011
Beiträge
643
Punkte für Reaktionen
54
Punkte
54

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
Einzeiler aber je Ordner
Das kann man auch automatisieren, z.B. die Ordnernamen in einen Array schreiben und daraus auslesen. Bei mir sind es fast 20 Ordner, funktioniert tadellos. Wenn du aber das NAS klaust, geht nichts mehr.
 

Yippie

Benutzer
Mitglied seit
01. Feb 2011
Beiträge
643
Punkte für Reaktionen
54
Punkte
54
Danke dir!
 

RAIDler

Benutzer
Mitglied seit
30. Apr 2021
Beiträge
76
Punkte für Reaktionen
6
Punkte
8
Wenn meine DS morgens um 5 Uhr startet und ich aus Sicherheitsgründen nicht den Manager nehme, dann müsste ich also auch den PC anmachen um die Ordner einzuhängen ?

Kann ich das einhängen auch via Smartphone von unterwegs aus machen ?

Schreiben die Apps auch Daten in die Ordner von unterwegs, wenn diese nicht eingehangen sind ?
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat