Fragen zur Verschlüsselung und dem Schlüsselmanager

[schwix]

Ich würde gerne einzelne Gemeinsame Ordner auf meinem NAS verschlüsseln.
Meine Vorstellung zu dieser Verschlüsselung ist analog zum BitLocker von Windows:

Jetzt bietet Synology an nen Schlüsselmanager zu benutzen. Aber wenn ich das richtig verstehe ist der einzige Vorteil des Schlüsselmanagers,
alle Laufwerke auf einmal zu mounten und dies im Zweifelsfall automatisch beim booten zu tun?

Spricht irgendetwas dagegen, den Schlüsselmanager nicht zu benutzen und die *.key Dateien manuell an einem sicheren Ort aufzubewahren für den Fall dass man das Passwort zum Entschlüsseln vergessen hat? Alles was ich tun müsste, wäre nach einem neustart im DSM die gemeinsamen Ordner einmal manuell zu mounten, richtig?

Danke schonmal

Jan

 

[the other]

Moinsen,
Ja. Ist genau so, es dient zum automatischen mounten.
Kann auf dem NAS selber angelegt werden (suboptimal) oder auf zb USB Stick oder oder...
Oder du pfeifst auf ein automatisches wiedereinhängen, wenn dein NAS mal vom Strom war oder reboot Pause genommen hat.
Je nach Anwendung und setting ist sowas wichtig, birgt aber auch Risiken bzgl des eigentlichen Sinnes, nämlich wenn der USB Stick ungesichert dauerhaft am NAS hängt...

 

[the other]

Moinsen,
Achso... Kannste einfach jedes Mal manuell machen. Mache ich hier auch so... Mit key oder pw.

 

[whitbread]

Also ich finden den Schlüsselmanager inzwischen sehr hilfreich. Ich habe die Daten auf einer externen USB-Platte, die dauerhaft an der NAS hängt. Daher nutze ich das automatische Einhängen nicht. So muss ich nach dem Reboot einmal das Passwort für den Schlüsselmanager eingeben und kann dann alle verschlüsselten Ordner einhängen. Hier sehe ich kein grosses Risiko, da ja die Daten des Schlüsselmanagers verschlüsselt und mittels Passwort geschützt sind (ein sicheres! Passwort vorausgesetzt).
Allerdings - nur zur Beruhigung: Wenn Deine NAS mal incl. USB-Platte geklaut wird und der Dieb Deine Login-Daten nicht kennt, muss er ein Reset machen und damit wird auch der Schlüsselmanager gelöscht. Somit bleibt ihm der Zugriff auf Deine verschlüsselten Ordner verwehrt.

 

[RAIDler]

Moinsen,
Ja. Ist genau so, es dient zum automatischen mounten.
Kann auf dem NAS selber angelegt werden (suboptimal) oder auf zb USB Stick oder oder...
Oder du pfeifst auf ein automatisches wiedereinhängen, wenn dein NAS mal vom Strom war oder reboot Pause genommen hat.
Je nach Anwendung und setting ist sowas wichtig, birgt aber auch Risiken bzgl des eigentlichen Sinnes, nämlich wenn der USB Stick ungesichert dauerhaft am NAS hängt...

Wie funzt das mit dem USB-Stick ?

Sag ich dem Schlüsselmanger er soll die keys auf den Stick schreiben und dann ?
Muss der dann eingesteckt bleiben, was ja blödisnn wäre oder dient er nur als "key-Backup" und ich leg den auf die Seite ?


Offtopic :

Wenn ich einen Ordner nachtärglich verschlüssel, was passiert dann mit den kopierten Daten ?
Überschriebt die DS die Daten oder liegen die dann blank im Nirvana der Festplatte ?

 

[the other]

Moinsen,
wenn du das NAS ausschaltest werden die verschlüselten gem. Ordner ausgehängt. Beim nächsten Hochfahren sind diese weiterhin ausgehängt, zum Einhängen benötigst du dann die keys. Da diese auf dem USB Stick sind muss der dann zum Einhängen am NAS eingesteckt sein. Danach kannst du den Stick wieder entfernen.
Da (m)ein NAS oft 24/7 läuft kann der Stick also einfach an einem sicheren Ort (welcher NICHT am NAS ist) verweilen.
Alternativ kannst du auch mit Passwort einhängen, das geht dann eben nicht automatisch. Hintergrund ist vor allem der Schutz deiner Daten bei Diebstahl. Gerät weg, Daten weg...aber durch die Verschlüsselung und hoffentlich nicht anhängendem Stick daher kein Nutzen für den Dieb.
Wenn du einen Ordner nachträglich verschlüsselst, dann werden die enthaltenen Daten verschlüsselt. AFAIK werden dazu die Daten quasi in einen neuen verschlüsselten Daten kopiert, danach der (unverschlüsselte) Ordner entfernt, deswegen benötigt das nachträglich Verschlüsseln auch kurz etwas mehr Speicherplatz. So jedenfalls mein Verständnis dazu, mag aber sein, dass das gleich von jemandem korrigiert wird...

 

[Aevin]

Ich handhabe es so wie @whitbread und lasse den Stick in der RS stecken.
Macht sich blöd in einem Serverschrank nach Neustart die RS zu ziehen um den Stick anzustecken. Geht sicherlich auch mit USB-Verlängerung, sei es drum.
Ich habe ein sehr langes sicheres Passwort für den Stick gewählt und bin mir ich ziemlich sicher, dass es nicht so einfach ist die Ordner zu "knacken".

 

[RAIDler]

Moinsen,
wenn du das NAS ausschaltest werden die verschlüselten gem. Ordner ausgehängt. Beim nächsten Hochfahren sind diese weiterhin ausgehängt, zum Einhängen benötigst du dann die keys. Da diese auf dem USB Stick sind muss der dann zum Einhängen am NAS eingesteckt sein. Danach kannst du den Stick wieder entfernen.
Da (m)ein NAS oft 24/7 läuft kann der Stick also einfach an einem sicheren Ort (welcher NICHT am NAS ist) verweilen.
Alternativ kannst du auch mit Passwort einhängen, das geht dann eben nicht automatisch. Hintergrund ist vor allem der Schutz deiner Daten bei Diebstahl. Gerät weg, Daten weg...aber durch die Verschlüsselung und hoffentlich nicht anhängendem Stick daher kein Nutzen für den Dieb.
Wenn du einen Ordner nachträglich verschlüsselst, dann werden die enthaltenen Daten verschlüsselt. AFAIK werden dazu die Daten quasi in einen neuen verschlüsselten Daten kopiert, danach der (unverschlüsselte) Ordner entfernt, deswegen benötigt das nachträglich Verschlüsseln auch kurz etwas mehr Speicherplatz. So jedenfalls mein Verständnis dazu, mag aber sein, dass das gleich von jemandem korrigiert wird...

Ich habe an DS920+ "nur" 2 USB-Anschlüsse, die beide dauerhaft belegt sind (USV und externe Backup-Platte)
Da fällt die USB-Stick-Variante wohl ins Wasser, leider :-(

Was aber mit den vorher unverschlüsselten Daten passiert, ist unklar ? Könnte also sein, dass die "böser" Mensch, rekonstruieren kann, wenn er das Teil geklaut hat ?

 

[RAIDler]

Ich handhabe es so wie @whitbread und lasse den Stick in der RS stecken.
Macht sich blöd in einem Serverschrank nach Neustart die RS zu ziehen um den Stick anzustecken. Geht sicherlich auch mit USB-Verlängerung, sei es drum.
Ich habe ein sehr langes sicheres Passwort für den Stick gewählt und bin mir ich ziemlich sicher, dass es nicht so einfach ist die Ordner zu "knacken".

Also kann ich mit einem sehr sicher gewählten Passwort, für den Schlüsselamanager, auch ohne USB-Stick Variante klar kommen ?
Der "Dieb" müsste ja erstmal das Passwort knacken ....

 

[schwix]

@the other

ich mache es inzwischen genau so. Letztlich starte ich das NAS ja nicht dauernd neu, daher ist der Aufwand die Festplatten in den paar Fällen neu einzuhängen marginal. Danke für den Rat.

 

[Aevin]

Also kann ich mit einem sehr sicher gewählten Passwort, für den Schlüsselamanager, auch ohne USB-Stick Variante klar kommen ?
Der "Dieb" müsste ja erstmal das Passwort knacken ....

Ich glaube wir reden da ein bisschen aneinander vorbei. Ich habe ja einen ganz kleinen USB Stick angehangen und dort den Schlüsselmanager mit meinem "MEGA" - Passwort drauf. Den ziehe ich auch nicht ab und muss nach Neustart nur den Schlüsselmanager vom USB Stick aktivieren und nach einmaliger Passworteingabe werden alle Ordner wieder eingehangen.

 

[RAIDler]

Ich glaube wir reden da ein bisschen aneinander vorbei. Ich habe ja einen ganz kleinen USB Stick angehangen und dort den Schlüsselmanager mit meinem "MEGA" - Passwort drauf. Den ziehe ich auch nicht ab und muss nach Neustart nur den Schlüsselmanager vom USB Stick aktivieren und nach einmaliger Passworteingabe werden alle Ordner wieder eingehangen.

Nochmal zum Verständis :

Die UBS-Stick Variante geht ja bei mir nicht, wegen nicht ausreichenden USB-Anschlüssen.

Ich kann also

1. den Schlüsselmanger nehmen, damit der mir alle verschlüsselten Ordner auf einmal entsperrt ?
2. jeden Ordner einzel entsperren, jedesmal wenn die DS neu startet ?


Noch ein paar letzte Fragen, bevor ich nun diverse Ordner nachträglich verschlüssel :

Meine DS läuft nur von 05:00 - 21:30 Uhr, dass heißt dann, ich muss jeden morgen am PC alles freigeben ?
Vom Smartphone aus entsperren geht nicht ?
Werden die Zugriffszeiten extrem langsamer ?
Wenn ich den Schlüsselmanger nutze, und die DS wird geklaut, dann muss aber erst das von mir gewählte Passwort geknackt werden, oder ?
Da ich kein USB-Stick nutzen kann, kann ich nmur noch die externe Backup-Platte auswählen für den Schlüssel zu speichern, macht das Sinn, oder lieber dann händisch für die 2/3 Ordner das Passwort eingeben ?
Das ganze System einfach verschlüsseln...Geht das nicht, und wäre das nicht einfacher ?

Danke vielmals !!!!!

Grüße

 

[peterhoffmann]

Es ist möglich den Vorgang vom Mounten eines oder mehrerer gemeinsamer verschlüsselter Ordner zu automatisieren und gleichzeitig sicher zu gestalten.

Link => https://www.synology-forum.de/threa...chluessel-sinnvoll-loesen.112303/#post-916416

 

[RAIDler]

Es ist möglich den Vorgang vom Mounten eines oder mehrerer gemeinsamer verschlüsselter Ordner zu automatisieren und gleichzeitig sicher zu gestalten.

Link => https://www.synology-forum.de/threa...chluessel-sinnvoll-loesen.112303/#post-916416

Leider habe ich von dem Scriptzeugs NULL AHNUNG !

 

[Yippie]

Mal für mich zum Verständnis: die Eingabe des Passwords findet ja im DSM statt, also im Browser, richtig?

Ist das ein manueller Vorgang, in dem Sinne, dass ich im DSM irgendwas tun muss um die Ordner zu mounten? Da steht wohl kein Popup nach der Anmeldung im DSM, welches mich zur Password Eingabe auffordert, oder?

 

[peterhoffmann]

Ist das ein manueller Vorgang

Ja, du musst in die Systemeinstellung, dann auf gemeinsame Ordner, dann den Ordner auswählen, Verschlüsselung wählen, Passwort eingeben und bestätigen. Bei mehreren Ordnern musst du das mehrmals machen. Fazit: mühselig.
Auf der Konsole (per Script) ist das Mounten ein Einzeiler.

synoshare --enc_mount "GemeinsamerORDNER" PASSWORD

 

[Yippie]

Auf der Konsole (per Script) ist das Mounten ein Einzeiler.

. . ein Einzeiler aber je Ordner, denke ich. Ich glaube es aber verstanden zu haben. Danke dir!

 

[peterhoffmann]

Einzeiler aber je Ordner

Das kann man auch automatisieren, z.B. die Ordnernamen in einen Array schreiben und daraus auslesen. Bei mir sind es fast 20 Ordner, funktioniert tadellos. Wenn du aber das NAS klaust, geht nichts mehr.

 

[Yippie]

Danke dir!

 

[RAIDler]

Wenn meine DS morgens um 5 Uhr startet und ich aus Sicherheitsgründen nicht den Manager nehme, dann müsste ich also auch den PC anmachen um die Ordner einzuhängen ?

Kann ich das einhängen auch via Smartphone von unterwegs aus machen ?

Schreiben die Apps auch Daten in die Ordner von unterwegs, wenn diese nicht eingehangen sind ?