Full Disk Encryption mit cryptsetup/LUKS

[zarsyn]

Hallo Forum

Ich habe mir vor kurzem eine DS412+ gekauft und bin sehr zufrieden mit dem Gerät. Das einzige Manko für mich ist eine vollständige Verschlüsselung meiner Festplatten, welche ich jetzt mit cryptsetup/LUKS und dm-crypt realisieren möchte. Ich habe mir eine mögliche Lösung überlegt, bin aber nicht sicher, ob das auch so umsetzbar ist, wie ich es mir vorstelle:

- Volume 1 ist komplett verschlüsselt über cryptsetup/LUKS
- Mounten von Volume 1 über angesteckten USB-Stick per Keyfile und ohne Passphrase
--- Ohne USB-Stick/Keyfile bootet das NAS ohne die Festplatten (?) und ist über SSH/Telnet/WebInterface erreichbar (?)
--- Mit USB-Stick/Keyfile bootet das NAS normal, HDDs sind entsprechend eingebunden

Den USB-Stick stecke ich also dann an, wenn ich das NAS booten will, um Volume 1 mit Hilfe des dort gespeicherten Keyfiles mounten zu können, ansonsten ist er nicht am NAS angesteckt.

Denkt ihr, dass ein derartiges Setup funktionieren würde? Fallen euch Probleme/Anregungen/Lösungsvorschläge dazu ein? Was haltet ihr allgemein von diesem Ansatz?

Schonmal vorweg Danke für den Input!

LG

 

[Puppetmaster]

Hallo und willkommen!

Ich kann mir nicht vorstellen, dass das funktionieren wird. Synology sieht die Verschlüsselung ganzer Volumes nicht vor, und mir ist völlig schleierhaft, wie du dem Betriebsystem diese Funktionalität beibringen möchtest.

EDIT:
Im internationalen Forum habe ich einen 6 Jahre alten Thread zu diesem Thema gefunden (link) gefunden, wo es schon einmal jemand mit einer 406 gemacht hat. Theoretisch könnte es also gehen. Allerdings wird man da wohl sehr viel Zeit und Arbeit hineinstecken müssen.

 

[raymond]

Sehe ich auch so: Für Vollverschlüsselung, inklusive Betriebssystem selbst, würde ich auch eher einen leistungsstarken Rechner kaufen, da das schon sehr viel CPU Zeit in Anspruch nimmt. Dafür gibts dann auch Anleitungen wie man das realisiert. Da kommst du vermutlich auch deutlich günstiger weg als mit einer Synology NAS.

Als Webmanagement gibts dann ja viele Möglichkeiten, wie Webmin.

Du kannst aber mal Synology anschreiben. Vielleicht führen die das ja für die Zielgruppe der sehr sicherheitsbewussten User ein. Die NASes werden ja immer schneller und daher könnte eine Vollverschlüsselung schon Sinn ergeben und praktikabel sein. Aber vermutlich zuerst nur auf den Intel Prozessoren.

 

[zarsyn]

Natürlich steht ein Aufwand dahinter, aber ich sehe es mehr als Herausforderung und Rätsel, das gelöst werden will

EDIT:
Im internationalen Forum habe ich einen 6 Jahre alten Thread zu diesem Thema gefunden (link) gefunden, wo es schon einmal jemand mit einer 406 gemacht hat. Theoretisch könnte es also gehen. Allerdings wird man da wohl sehr viel Zeit und Arbeit hineinstecken müssen.

Danke für den Link, das bestätigt mir zumindest, dass es möglich ist



Wichtig ist, dass ich vorerst nur Volume1(-X) verschlüsseln möchte, nicht das Betriebssystem selbst und dieser Ansatz sollte, wenn auch einiges an Sicherheit verloren geht, zumindest machbar sein. Die Tools zum Kompilieren der entsprechenden Module sind alle vorhanden, jetzt heißt es nur noch Ärmel hoch krempeln und die Sache angehen . Sobald ich hier nennenswerte Fortschritte gemacht habe, werde ich eine kurze Anleitung posten.

 

[raymond]

Und sofern das geklappt hat auch im Wiki unter www.synology-wiki.de einstellen.

 

[Matthieu]

Wo ist denn für dich der Vorteil von vollständig verschlüsselten Platten gegenüber der Synology-Lösung für verschlüsselte Ordner?

MfG Matthieu

 

[hakiri]

Wo ist denn für dich der Vorteil von vollständig verschlüsselten Platten gegenüber der Synology-Lösung für verschlüsselte Ordner?

MfG Matthieu

....für mich wäre der Vorteil, dass ich vollverschlüsselte Ordner via NFS sharen kann und Samba endlich rausfliegt.

 

[zarsyn]

....für mich wäre der Vorteil, dass ich vollverschlüsselte Ordner via NFS sharen kann und Samba endlich rausfliegt.

Abgesehen vom Diebstahlschutz: Man kann auch Systemordner wie "web" oder die Datenbank verschlüsseln, was ja mittels eCryptFS z.B. nicht geht.

 

[Merthos]

Du kannst das alles auch mit eCryptFS machen. Synology bietet nicht alles über die GUI an, aber auf der Konsole geht das (/volumeX ist auch nur ein Mount-Point).

Problematisch an Deinem Vorhaben ist mehr, dass das DSM nicht darauf ausgelegt ist, dass ein Volumen mal nicht da ist. Am einfachsten wäre wohl bei Nichtvorhanden des Keys gleich wieder auszugehen (hier müsste man nur schauen, ob man diese Prüfung auch früh genug hinbekommt). Oder man hat ein zweites Dummy-Volumen mit dem man in so einem Fall startet.

 

[hakiri]

Workaround wäre, die Platte nicht zu initialisieren, sondern quasi "selbst" zu verwalten.
Aber ich denke mit dem Vorhaben ist man bei ner selbst-Bastellösung besser aufgehoben. z.B. FreeNAS.

 

[zarsyn]

Ich versuche das Thema mal mit dm-crypt zu lösen - wenn das nicht klappt sehe ich mir Alternativen an. Wie gesagt werd ich hier dann über meine Fortschritte berichten

 

[rumknapser]

werd ich hier dann über meine Fortschritte berichten

Vielen Dank für Deinen Einsatz.
Ich bin auch an diesem Deinen Szenario (Full Disk Encryption / Festplattenverschlüsselung ) interessiert und freue mich, das Du so motiviert an das Thema gehst.

Schade, das das Thema Verschlüsselung heutzutage immer noch mit wochenlangen Basteln und Recherchearbeiten in die Länge getrieben wird.

 

[Puppetmaster]

Schade, das das Thema Verschlüsselung heutzutage immer noch mit wochenlangen Basteln und Recherchearbeiten in die Länge getrieben wird.

Die Frage ist: warum muss man denn unbedingt das gesamte System verschlüsseln? Die einzelnen Freigaben kannst du ja schließlich ohne "Bastelleien" verschlüssen. Was genügt daran nicht?

 

[rumknapser]

Die Frage ist: warum muss man denn unbedingt das gesamte System verschlüsseln?

Guten Morgen,
Das ist nicht die Frage, sondern Deine Frage. Mir ist es egal, warum. Das für und wider können wir gerne in einem anderen Thread klären, denn die Antwort hierauf wurde schon gegeben. Ich würde es bevorzugen, wenn man sich auf die Lösung der Frage des Fragestellers konzentriert
Alternativen (die zustande kommen, wenn man fragt: warum?) sind selbstverständlich zulässig, keine Frage, aber das wurde ja schon weiter oben geklärt.

 

[Puppetmaster]

Das ist nicht die Frage, sondern Deine Frage.

Und deine Antwort auf die Frage habe ich dann wohl überlesen. Ich dachte, du wolltest Hilfe... war ich wohl auf der falschen Spur.
Das von dir gewünschte Feature erfüllt die Wünsche von vielleicht 5% der Anwender, von daher kann ich gut verstehen warum die Hersteller darauf verzichten und du jetzt basteln mußt.

 

[zarsyn]

Leider geht im Moment nichts weiter, ich warte noch auf die aktuellen ToolChains und GPL-Sourcen für meine DS412+ - erst dann kann ich die nötigen Kernelmodule kompilieren. Sobald ich die habe kann ich weitermachen