Full Volume Encryption

[maxblank]

Wenn es verschlüsselt erstellt wurde, sollte das auch so bleiben. Wie spielst du das Backup ein bzw. wie erstellt?

Bin auch gerade durch. Ja, komplettes Backup stellt die Volumes so, wie sie waren, wieder her. Also unverschlüsselt.

Mit dem "Packages and Folders" Backup kannst du auf ein neues, verschlüsseltes Volume wiederherstellen. Ein paar Paket-Settings haben es nicht überlebt, die Daten sind aber alle da. Mach die viele Screenshots von den Settings.

Darauf zielte meine Frage ab. Bei der Wiederherstellung mit HB „gesamtes System“ war das zu erwarten, da auch die Volumes im entsprechenden Ursprungszustand wiederhergestellt werden.

 

[Dasuku]

Kann man dem Schlüsselmanager eigentlich in Sachen Sicherheit vertrauen, wenn der das Volume dann mit dem Rechnerschlüssel startet?

 

[maxblank]

Darüber gibt es verschiedene Thesen, ob und wie das ausgelesen werden kann.
Meines Wissens nach hat es bisher zumindest noch niemand public gemacht.

 

[mexl916]

Gibt es eine Möglichkeit zu testen, ob der heruntergeladene Wiederherstellungsschlüssel auch wirklich funktioniert?

Danke & Gruß

 

[maxblank]

Wenn du den Key aus dem Key Vault entfernst, sollte das Valume verschlüsselt bleiben und so kannst du danach testen, ob der Wiederherstellungsschlüssel passt.



https://kb.synology.com/de-de/DSM/help/DSM/StorageManager/volume_create_volume?version=7#encrypted

 

[Dasuku]

Du könntest versuchen das Keyfile zu decodieren, dann solltest du deine eigens vergebene Passphrase wieder erkennen.

printf "%s" "\$1\$5YN01o9y" | ecryptfs-unwrap-passphrase keyfile.key -

So siehst du auch, ob der Wiederherstellungsschlüssel funktionieren würde.

 

[mexl916]

@maxblank
Wie kann ich den Key aus dem Schlüsseltresor entfernen?

Einfach den Schlüsseltresor zurückzusetzen bringt es laut Hilfe nicht:
"Sie können den Schlüsseltresor zurücksetzen, um seinen Speicherort zu ändern oder das Kennwort für den Tresor zurückzusetzen. Wenn der Tresor zurückgesetzt wurde, werden auch alle darin gespeicherten Verschlüsselungsschlüssel zurückgesetzt und durch neue ersetzt."

Den Schlüsseltresor kann ich auch nicht einfach deaktivieren, Dialog sagt:
"Schlüsseltresor kann nicht deaktiviert werden, wenn verschlüsselte Volumes vorhanden sind."

Was funktionieren könnte, ist DSM zurückzusetzen (was ich eigtl. nicht versuchen will):
"Wenn Sie DSM zurücksetzen, wird der Schlüsseltresor gelöscht und deaktiviert, d. h. Ihre verschlüsselten Volumes werden gesperrt. Um erneut Zugriff auf diese Volumes zu erlangen, müssen Sie den Tresor erneut aktivieren und jedes verschlüsselte Volume mit dem entsprechenden Wiederherstellungsschlüssel entsperren."

 

[maxblank]

Du kannst den nicht entfernen? Dann weiß ich es leider auch nicht, hattet das so explizit nicht getestet.

 

[Thonav]

Also ernsthaft Probieren kannst Du es nur wenn Du eben mindestens den einfachen Reset nutzt. Das ist ja genau das Szenario bei dem der Schlüsselmanager greifen muss, nämlich Dein verschlüsseltes Laufwerk in dem Moment vor nicht autorisierten Personen zu schützen.

 

[mexl916]

Verstehe ich euch richtig, dass ihr es als nicht so wichtig anseht die Volume Encryption zu testen?

 

[maxblank]

Hat niemand behauptet.
Ich hebe vor dem Einsatz ausführliche Test mit erfolgreichen Wiederherstellungen gemacht und die auch hier dokumentiert. Allerdings nie den Key separat getestet - das habe ich oben gemeint. Das war bei der Wiederherstellung inkludiert.

 

[mexl916]

Ok, dann probiere ich das mit dem "einfachen Reset" mal aus. Gehe ich richtig in der Annahme, dass ich folgendes dafür tun sollte:

1. Configuration Backup erstellen (https://kb.synology.com/en-global/DSM/help/DSM/AdminCenter/system_configbackup?version=7)
2. Reset NAS im Modus 1 (https://kb.synology.com/de-de/DSM/tutorial/How_to_reset_my_Synology_NAS_7)

 

[synfor]

Einfach den Schlüsseltresor zurückzusetzen bringt es laut Hilfe nicht:
"Sie können den Schlüsseltresor zurücksetzen, um seinen Speicherort zu ändern oder das Kennwort für den Tresor zurückzusetzen. Wenn der Tresor zurückgesetzt wurde, werden auch alle darin gespeicherten Verschlüsselungsschlüssel zurückgesetzt und durch neue ersetzt."

Der fett hervorgehobene Teil würde ein Umverschlüsseln der Volumen nach sich ziehen. Ich bezweifel dass das stattfindet.

 

[mexl916]

Danke an alle, entschlüsseln nach dem einfachen Reset hat funktioniert!

 

[Thonav]

@mexl916 D.h. es wurde automatisch entschlüsselt? Wäre hilfreich wenn Du präziser hinsichtlich Vorgehensweise und des Ergebnisses wärst

 

[mexl916]

@Thonav
Durch den einfachen Reset wurde der Schlüsseltresor gelöscht. Danach piepste die Synology fröhlich vor sich hin, da das Volume nicht mehr automatisch entsperrt werden konnte. Ich musste daher erst den Schlüsseltresor neu einrichten und das Volume händisch mit dem Wiederherstellungsschlüssel entsperren (https://kb.synology.com/de-de/DSM/help/DSM/StorageManager/volume_create_volume?version=7#b_21).

 

[Thonav]

Da danke ich Dir aber herzlich für die Erklärung. Nun wissen wir alle, dass die Nutzung von verschlüsselten Laufwerken bei Diebstahl der DS durchaus hilfreich sein kann und systemseitig sicher ist.

 

[StephanH]

jetzt hat es funktioniert... nun ist die nas verschlüsselt... hab das backup einzeln eingespielt und nicht das ganze system

 

[metalhead79]

Darüber gibt es verschiedene Thesen, ob und wie das ausgelesen werden kann.
Meines Wissens nach hat es bisher zumindest noch niemand public gemacht.

Du könntest versuchen das Keyfile zu decodieren, dann solltest du deine eigens vergebene Passphrase wieder erkennen.

printf "%s" "\$1\$5YN01o9y" | ecryptfs-unwrap-passphrase keyfile.key -

So siehst du auch, ob der Wiederherstellungsschlüssel funktionieren würde.

Das wäre ihr Preis gewesen und damit ist schon alles über die Sicherheit des Passworttresors gesagt. --> Nicht existent!
Das ist wirklich erschreckend was da abgeliefert wird. Die Verschlüsselung ist super sicher, aber das Passwort wird mit einem Postit außen aufs Gehäuse geklebt.

Gruß Metalhead

 

[metalworker]

Also du hast es so versucht und konntest über diesen Weg den Key Extrahieren ?