Full Volume Encryption

[peterhoffmann]

Ablegen der Zugangsdaten:
Ein Pass, der auf dem Gerät gespeichert wird, war schon immer nutzlos, egal wie geschickt man es verpackt. Alles nur eine Frage vom Aufwand um den richtigen Weg zu finden. Echte Sicherheit hat keine Wege, die zum Ziel führen, sondern alle Wege enden vor einer unüberwindbaren Wand.

Keyfile (Ordnerverschlüsselung):
Der Keyfile dient dem User zur Beruhigung wie eine Tablette vom Arzt, ist aber genau das Gegenteil, sprich eine massive Gefahrenquelle. Der normale User verschlüsselt seine "Gemeinsamen Ordner" und legt die Keyfiles brav auf dem Windows-PC, externer HDD oder USB-Stick ab. Da kann man das PW gleich als Zettel unter das NAS legen.
Der ganze Vorgang mit dem Keyfile dient nach meiner Ansicht nicht dem User, sondern nur Synology, sprich ich halte das eher für eine Ausredenrückversicherung von Synology. Egal wer sich beschwert, egal mit welchem Vorwurf, spätestens mit dem Keyfile bekommt man ihn ruhiggestellt.

(Mein) Fazit zur Volumenverschlüsselung:
Die Volumenverschlüsselung ist reine Augenwischerei, dient einzig der Selbstberuhigung und einer (gefühlt) rechtlichen Absicherung (z.B. DSGVO). In einer perfekten Welt sollte die Zielsetzung vom Hersteller eine sichere Verwahrung von Daten sein, stattdessen wird nur so getan als ob alles sicher wäre. Wenn was passiert, können alle die Hände hochreißen, ganz betroffen tun und können sagen, dass sie doch alles menschenmögliche getan haben.

 

[metalhead79]

Wenn die Volumenverschlüsselung wirklich nur mit dem Tresor verwendbar ist, dann hast du recht (das geht scheinbar wirklich nicht). Ich werde da wohl bei der Ordnerverschlüsselung ohne ein gespeichertes Keyfile bleiben müssen.
Der Verschlüsselungsalgorythmus an sich ist sicher, nur die Aufbewahrung der Passphrase dafür nicht.

Gruß Metalhead

 

[metalworker]

Würde also nur dann was bringen wenn man nen externen KMIP Server verwendet .

 

[metalhead79]

Würde also nur dann was bringen wenn man nen externen KMIP Server verwendet .

Ja das würde wieder gehen, weil das NAS dann nur in bekannter Netzwerkinfrastruktur die Volumes entschlüsseln kann.
Oder man holt sich die Schlüssel aus verschiedenen Teilen zusammen, wie die Scripte hier (z.B. 1. Teil auf der eigenen Fritzbox die nur intern erreichbar ist, 2. Teil vom DNS-Server (oder sonst wo), 3. Teil aus dem Internet (den könnte man löschen wenn jemand alles klaut).
Oder man packt den Schlüsseltresor auf einen USB-Stick, steckt den über ein USB-Kabel an, legt das Ende mit Stick in die Schreibtischschublade und schweißt die zu (ok den könnte man über das Kabel natürlich noch schnell kopieren).

Gruß Metalhead

 

[peterhoffmann]

Volumenverschlüsselung wirklich nur mit dem Tresor verwendbar ist

Beim letzten Neuaufsetzen vom NAS habe ich ein wenig damit rumgetestet:
https://www.synology-forum.de/threa...uegiger-schluesseltresor.128529/#post-1099583
(siehe #3)

 

[metalhead79]

OK, danke, dann brauch ich das selber gar nicht testen. Das ist unschön gemacht von Synology.
Verzeichnisverachlüsselung ist halt blöd wenn man mehr als einen share hat.

Gruß Metalhead

 

[peterhoffmann]

mehr als einen share

Ich habe 23 Stück davon. Das NAS läuft 24/7. Ein Neustart ist im Grunde nur nötig, wenn ein Update (DSM) das erfordert.

Bei einem Neustart sucht sich mein Script die Passwortteile aus mehreren Quellen zusammen und mountet nacheinander alle Ordner automatisch.
Jeder Ordner hat ein anderes Passwort (Teile davon), das wird aber auch automatisch vom Script berücksichtigt.

 

[stevenfreiburg]

Hallo Peter,

DIESES Script interessiert mich sehr.
Kriegt man das auch als "Nicht-Programmierer" zum Laufen?
Über mehr Informationen dazu wäre ich sehr dankbar.

Gruß,
Steven




Hintergrund:
Ich will Verschlüsselung haben. Aber ich bin über ein DSM Update in den Genuss der neuen Funktion "FULL VOLUME Verschlüsselung" gekommen, d.h. mein NAS war bereits einigermaßen voll. Und dass man um FULL VOLUME Verschlüsselung nutzen zu können erstmal die Platte blank putzen muss und dann ALLES wiederherstellen darf (ich hab ja ansonsten nix Besseres zu tun als mein NAS zu pflegen) ;
hatte mir bereits richtig Bauchschmerzen bereitet.
Nach Lektüre dieses Threads bin ich geschockt und habe die FULL VOLUME Verschlüsselung als Option für mich verworfen.
"Verzeichnisverschlüsselung" fand ich bisher nervig wegen der Notwendigkeit nach jedem Neustart mehrfach Passwörter eingeben zu müssen.
Dieses Script hört sich nach einer guten Lösung an!

 

[patrickn]

Wenn dich "nur" nervt, dass du jeden einzelnen Ordner dann wieder entschlüsseln musst, kannst du das auch mit einem USB Stick und dem Schlüsselmanager lösen - in den kommen alle Schlüssel für die Freigaben und dann kannst du mit einem Passwort vom USB Stick alle gleichzeitig entschlüsseln

 

[stevenfreiburg]

Die Passwörter sollten räumlich getrennt vom NAS sein, am besten versch. Webspace//FTP Server o.ä..
Für mich ist dieses Konzept grade aufgrund der verschiedenen UND gleichzeitig aufgeteilten Passwörter sehr attraktiv.

 

[peterhoffmann]

Dieses Script interessiert mich sehr.

Das möchte ich aber nicht so 1:1 posten / abgeben.

Kriegt man das auch als "Nicht-Programmierer" zum Laufen?

Ja und nein. Natürlich bekommst du es zum Laufen, aber wenn du nicht verstehst, was da passiert, kannst du dir selber bei Problemen nicht helfen. Das ist bei dem Thema Grundvoraussetzung.

Ein Grundgerüst vom Script ist hier im Forum mehrfach vorhanden. Der Rest sind nur wenige Befehle, die man verstehen muss (z.B. cat, curl, usw.). Dafür gibt es umfangreiche Hilfen im Internet. Ein wenig Testen, natürlich im Trockenmodus, sprich statt Entschlüsseln den String per echo-Befehl anzeigen lassen. Dann mittels Testordner durchtesten, usw. bis du halt am Ziel bist. Danach hast du das System verstanden, kennst dein Script und kannst dir jederzeit selber helfen.

 

[patrickn]

Die Passwörter sollten räumlich getrennt vom NAS

Musst den Stick ja nicht dran lassen

Stick ran, Schlüsselmanager öffnen und Passwort angeben, entschlüsseln und wieder auswefen und abstecken

 

[stevenfreiburg]

Die Suche im Forum war erfolgreich:

HIER gibt es so ein Script.
Mal schauen, ob ich das hinbekomme oder jemand frage, der mir hilft.

@kev.lin Vielen Dank !




@peterhoffmann
dein Anspruch//Ansatz//Philosophie, dass man soetwas alles selbst verstehen//programmieren//können sollte; völlig ok, mach das so (für dich).
Aber ich sehe und praktiziere das anders und das entspricht auch nicht meinem Verständnis von einem Forum.


@patrickn
Danke für den Tip, allerdings ist deine Methode für mich keine Lösung, u.a. weil mein NAS bei mir nicht direkt am Arbeitsplatz steht.
Treppen laufen um einen USB Stick reinzustöpseln oder Passwörter manuall eingeben, das alles würde ich eben gerne vermeiden.
Und wenn es tatsächlich klappt ohne groß auf Sicherheit zu verzichten bin ich dabei.

 

[stevenfreiburg]

Nach weiterer Recherche im Forum HIER ein weiteres Script zu dem Thema
"automatisches Mounten ohne Kontrollverlust (!) von verschlüsselten Ordnern".

Zu Risiken und Nebenwirkungen fragen Sie.....
(oder eben gelbe Seiten? )




Sieht übrigens mittlerweile danach aus, dass ich mich lieber auf die Suche nach jemanden mache, der/die das für mich umsetzen/implementieren kann.

 

[metalworker]

Aber behalte auch immer deine Backups im Blick.
Geht schnell das man durch sowas seine Daten unwiederbringlich verschlüsselt

 

[stevenfreiburg]

Dies Script übernimmt ja nur die Passworteingabe, dient also nur der Bequemlichkeit.
Das Script selbst kann daher doch nix kaputt machen.

Solange ich die Passwörter meiner Synolgy Ordner nicht "verliere", sollte dieses Verfahren zum automatischen Mounten also "eigentlich" sehr sicher sein.
Oder siehst du das anders?

 

[metalworker]

eigentlich ja . Aber da gibts so viele Punkte wo es doch schiefgehen kann.

Ich will ja nur damit sagen das du deine Backups nicht vergisst. Und wenn du die auch verschlüsselst. Das du immer die Möglichkeit hast an den Schlüssel ran zu kommen.


Hatte im Freundeskreis den fall schon gehabt.

NAS hat Backups verschlüsselt in die Cloud gemacht.
Den Schlüssel hatte er sich zu Sicherheit ausgedruckt .

Bude abgebrannt und der Zettel leider auch mit .
Daten Weg, Backup nutzlos

 

[peterhoffmann]

Das Script selbst kann daher doch nix kaputt machen.

Richtig. Wenn die Passphrase nicht stimmt, wird einfach der Ordner nicht eingehängt und somit hat man keinen Zugriff.

Wichtig ist, dass man auch ohne Script die Passphrase kennt.

Meine Vorgehensweise: Auf der Unterseite vom NAS ist ein Klebestreifen mit der Passphrase. Aber so, dass ausschließlich nur ich den Hinweis dort verstehe. Wenn ich den Hinweis selber nicht mehr verstehe, habe ich Demenz und dann brauche ich auch keine Daten mehr. ;-)