Full Volume Encryption

[Dasuku]

Das wäre ihr Preis gewesen und damit ist schon alles über die Sicherheit des Passworttresors gesagt. --> Nicht existent!
Das ist wirklich erschreckend was da abgeliefert wird. Die Verschlüsselung ist super sicher, aber das Passwort wird mit einem Postit außen aufs Gehäuse geklebt.

Gruß Metalhead

Das ist nicht ganz korrekt. Die unsichere Verschlüsselung bezieht sich nur auf den Export des Keyfile. (Was da für ein PW drinnen steht, weiß ich ja sowieso.)
Die Frage ist die interne Verschlüsselung mit dem Rechnerschlüssel. Und da ist bislang einfach nicht bekannt, wie Sicher es ist.

 

[metalhead79]

So steht das zumindest überall im Netz, (gerade mal 30min mit der Sicherheit des automatischen mountens von verschlüsselten Volumes beschäftigt und fast vom Stuhl gefallen):
https://blog.elcomsoft.com/2019/11/...on-forensic-analysis-of-synology-nas-devices/

Ich werde das bei Gelegenheit mal mit einem key-file (das ich vor >10 Jahren mal auf meiner DS212+ erstellt habe) ausprobieren. Genutzt habe ich das allerdings nie, sondern immer die Passphrase händisch eingegeben.

Gruß Metalhead

 

[metalhead79]

Das ist nicht ganz korrekt. Die unsichere Verschlüsselung bezieht sich nur auf den Export des Keyfile. (Was da für ein PW drinnen steht, weiß ich ja sowieso.)
Die Frage ist die interne Verschlüsselung mit dem Rechnerschlüssel. Und da ist bislang einfach nicht bekannt, wie Sicher es ist.

Klar weißt du das PW daß da drinnen steht und wenn jemand dein NAS klaut, kann er das einfach mit dem Kommando auslesen (Denn das Keyfile liegt logischerweise außerhalb der verschlüsselten Partition).
Der von Synolgy gepriesene "Rechnerschlüssel", der angeblich auf jedem NAS einzigartig ist, ist gar nicht so einzigartig.
Wenn das immer noch so ist, ist der Schlüsseltresor komplett für'n Arsch (selbst wenn der Key mittlerweile geändert sein sollte).

Gruß Metalhead

 

[metalworker]

Na moment , das Key File für die WIederherstellung packst du doch nicht auf das gleiche NAS , das solltest ja gesichert woanders lagern.

 

[ctrlaltdelete]

Nur mal so, ich nutze Ordnerverschlüsselung ohne Schlüsseltresor und sehe mich so absolut auf der sicheren Seite.

 

[ctrlaltdelete]

@metalworker es ist wohl möglich das Keyfile aus dem Schlüsseltresor zu extrahieren.

 

[metalworker]

ah ok , und wie soll das funktionieren ?
also bin da echt neugierig

 

[ctrlaltdelete]

https://www.reddit.com/r/synology/comments/13pxzqm/contest_for_ds923_i_have_heard_a_bunch_of_people/
https://forums.spacerex.co/t/bounty...ryption-keys-stored-on-box-gets-a-ds923/641/6

 

[Dasuku]

Nur mal so, ich nutze Ordnerverschlüsselung ohne Schlüsseltresor und sehe mich so absolut auf der sicheren Seite.

Hier geht es aber eigentlich um Volumenverschlüsselung
und das es schön wäre das bei Systemstart automatisch zu mounten. (Denn sonst werden MailPlus/Docker ect sicher erst Mal crashen).

 

[metalhead79]

Na moment , das Key File für die WIederherstellung packst du doch nicht auf das gleiche NAS , das solltest ja gesichert woanders lagern.

Ja, aber das gleiche File wird ja auch im "Schlüsseltresor" gespeichert und wenn der gemeine DAU beim Verschlüsseln den Haken bei "Automount" setzt dann hat er schon verloren.
Gesichert irgendwo anders lagern kannst du auch das plain-Passwort.

Gruß Metalhead

 

[metalhead79]

Nur mal so, ich nutze Ordnerverschlüsselung ohne Schlüsseltresor und sehe mich so absolut auf der sicheren Seite.

Ja, das ist AES256 und das sollte dann passen wenn die Passphrase sicher ist.

Gruß Metalhead

 

[metalhead79]

Also du hast es so versucht und konntest über diesen Weg den Key Extrahieren ?

Das funktioniert, sowohl mit dem key von der DS712+ aus 2012 als auch mit dem Key der DS1522+ von 2023.
Gerade getestet, der Gerätekey ist somit seit mindestens 11 Jahren gleich und weltweit bekannt!

Gruß Metalhead

 

[maxblank]

Mit welchem Protokoll soll der Key auf einem fremden NAS ohne irgendwelche Zugangsdaten ausgelesen werden können?

Wie muss derjenige sich auf das gestohlene NAS verbinden, dass der Key ausgelesen werden kann?

 

[metalhead79]

Wenn ich zugriff auf die Hardware habe komme ich immer auf's Filesystem (auf jedem Betriebssystem).
Verschlüsselt natürlich nicht, aber der Key muß ja unverschlüsselt vorhanden sein.

Gruß Metalhead

 

[maxblank]

Dann würde ja keine Verschlüsselung der Welt funktionieren, dass kann in Bezug auf deinen letzten Post ja nicht sein.

 

[metalhead79]

Warum? Normalerweise merkt man sich ja das Passwort und gibt es ein.
Ein Volumen automatisch entschlüsseln kannst du ja nur wenn das Passwort selber iregendwie vorhanden ist. Klar kann man das auch wieder verschlüsseln, aber Synology selber sagt ja daß das mit dem einmaligen Computerschlüssel verschlüsselt wird (der ja nun nicht so einmalig ist).
Auf jeden Fall werde ich den Schlüsseltresor definitv nicht nutzen (lese doch mal den Artikel den ich verlinkt habe, die schreiben das ja auch).

Gruß Metalhead

 

[maxblank]

Wenn ich zugriff auf die Hardware habe komme ich immer auf's Filesystem (auf jedem Betriebssystem).
Verschlüsselt natürlich nicht, aber der Key muß ja unverschlüsselt vorhanden sein.

Dann würde ja keine Verschlüsselung der Welt funktionieren, dass kann in Bezug auf deinen letzten Post ja nicht sein.

Mir geht es dabei um deine hier zitierte Aussage. Den anderen Artikel stelle ich nicht in Frage.

 

[metalhead79]

Welche genau? Daß ich auf jedes unverschlüsselte Filesystem komme wenn ich physikalischen Zugriff auf die Hardware habe? Oder daß ich den Schlüssel im Klartext brauche um etwas zu entschlüssen?

Gruß Metalhead

 

[maxblank]

Sind doch beide von mir gemeinte Aussagen zitiert.

Um es auf den Punkt zu bringen, ist deine Aussage falsch. Der Key bei aktivierter Verschlüsselung am Beispiel eines PCs, Laptop oder Server liegt selbstverständlich verschlüsselt vor z.B. im TPM.

 

[metalhead79]

Um irgendwas zu entschlüsseln muß der Key im Klartext vorhanden sein (zumindest im RAM). Daß der nicht im Plain-Text irgendwo rumliegt ist mir schon klar. Und zwischen einem TPM-Modul und dem top-Secret-Key von Synology liegen schon mal Welten.

Gruß Metalhead