Full Volume Encryption

Dasuku

Benutzer
Mitglied seit
10. Jan 2023
Beiträge
11
Punkte für Reaktionen
3
Punkte
53
Das wäre ihr Preis gewesen und damit ist schon alles über die Sicherheit des Passworttresors gesagt. --> Nicht existent!
Das ist wirklich erschreckend was da abgeliefert wird. Die Verschlüsselung ist super sicher, aber das Passwort wird mit einem Postit außen aufs Gehäuse geklebt.

Gruß Metalhead
Das ist nicht ganz korrekt. Die unsichere Verschlüsselung bezieht sich nur auf den Export des Keyfile. (Was da für ein PW drinnen steht, weiß ich ja sowieso.)
Die Frage ist die interne Verschlüsselung mit dem Rechnerschlüssel. Und da ist bislang einfach nicht bekannt, wie Sicher es ist.
 

metalhead79

Benutzer
Mitglied seit
03. Nov 2011
Beiträge
74
Punkte für Reaktionen
8
Punkte
8
So steht das zumindest überall im Netz, (gerade mal 30min mit der Sicherheit des automatischen mountens von verschlüsselten Volumes beschäftigt und fast vom Stuhl gefallen):
https://blog.elcomsoft.com/2019/11/...on-forensic-analysis-of-synology-nas-devices/

Ich werde das bei Gelegenheit mal mit einem key-file (das ich vor >10 Jahren mal auf meiner DS212+ erstellt habe) ausprobieren. Genutzt habe ich das allerdings nie, sondern immer die Passphrase händisch eingegeben.

Gruß Metalhead
 

metalhead79

Benutzer
Mitglied seit
03. Nov 2011
Beiträge
74
Punkte für Reaktionen
8
Punkte
8
Das ist nicht ganz korrekt. Die unsichere Verschlüsselung bezieht sich nur auf den Export des Keyfile. (Was da für ein PW drinnen steht, weiß ich ja sowieso.)
Die Frage ist die interne Verschlüsselung mit dem Rechnerschlüssel. Und da ist bislang einfach nicht bekannt, wie Sicher es ist.
Klar weißt du das PW daß da drinnen steht und wenn jemand dein NAS klaut, kann er das einfach mit dem Kommando auslesen (Denn das Keyfile liegt logischerweise außerhalb der verschlüsselten Partition).
Der von Synolgy gepriesene "Rechnerschlüssel", der angeblich auf jedem NAS einzigartig ist, ist gar nicht so einzigartig.
Wenn das immer noch so ist, ist der Schlüsseltresor komplett für'n Arsch (selbst wenn der Key mittlerweile geändert sein sollte).

Gruß Metalhead
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.061
Punkte für Reaktionen
1.086
Punkte
194
Na moment , das Key File für die WIederherstellung packst du doch nicht auf das gleiche NAS , das solltest ja gesichert woanders lagern.
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.432
Punkte für Reaktionen
5.663
Punkte
524
Nur mal so, ich nutze Ordnerverschlüsselung ohne Schlüsseltresor und sehe mich so absolut auf der sicheren Seite.
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.432
Punkte für Reaktionen
5.663
Punkte
524
@metalworker es ist wohl möglich das Keyfile aus dem Schlüsseltresor zu extrahieren.
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.061
Punkte für Reaktionen
1.086
Punkte
194
ah ok , und wie soll das funktionieren ?
also bin da echt neugierig
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.432
Punkte für Reaktionen
5.663
Punkte
524

Dasuku

Benutzer
Mitglied seit
10. Jan 2023
Beiträge
11
Punkte für Reaktionen
3
Punkte
53
Nur mal so, ich nutze Ordnerverschlüsselung ohne Schlüsseltresor und sehe mich so absolut auf der sicheren Seite.
Hier geht es aber eigentlich um Volumenverschlüsselung
und das es schön wäre das bei Systemstart automatisch zu mounten. (Denn sonst werden MailPlus/Docker ect sicher erst Mal crashen).
 

metalhead79

Benutzer
Mitglied seit
03. Nov 2011
Beiträge
74
Punkte für Reaktionen
8
Punkte
8
Na moment , das Key File für die WIederherstellung packst du doch nicht auf das gleiche NAS , das solltest ja gesichert woanders lagern.
Ja, aber das gleiche File wird ja auch im "Schlüsseltresor" gespeichert und wenn der gemeine DAU beim Verschlüsseln den Haken bei "Automount" setzt dann hat er schon verloren.
Gesichert irgendwo anders lagern kannst du auch das plain-Passwort.

Gruß Metalhead
 

metalhead79

Benutzer
Mitglied seit
03. Nov 2011
Beiträge
74
Punkte für Reaktionen
8
Punkte
8
Also du hast es so versucht und konntest über diesen Weg den Key Extrahieren ?
Das funktioniert, sowohl mit dem key von der DS712+ aus 2012 als auch mit dem Key der DS1522+ von 2023.
Gerade getestet, der Gerätekey ist somit seit mindestens 11 Jahren gleich und weltweit bekannt!

Gruß Metalhead
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.041
Punkte für Reaktionen
2.125
Punkte
289
Mit welchem Protokoll soll der Key auf einem fremden NAS ohne irgendwelche Zugangsdaten ausgelesen werden können?

Wie muss derjenige sich auf das gestohlene NAS verbinden, dass der Key ausgelesen werden kann?
 

metalhead79

Benutzer
Mitglied seit
03. Nov 2011
Beiträge
74
Punkte für Reaktionen
8
Punkte
8
Wenn ich zugriff auf die Hardware habe komme ich immer auf's Filesystem (auf jedem Betriebssystem).
Verschlüsselt natürlich nicht, aber der Key muß ja unverschlüsselt vorhanden sein.

Gruß Metalhead
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.041
Punkte für Reaktionen
2.125
Punkte
289
Dann würde ja keine Verschlüsselung der Welt funktionieren, dass kann in Bezug auf deinen letzten Post ja nicht sein.
 

metalhead79

Benutzer
Mitglied seit
03. Nov 2011
Beiträge
74
Punkte für Reaktionen
8
Punkte
8
Warum? Normalerweise merkt man sich ja das Passwort und gibt es ein.
Ein Volumen automatisch entschlüsseln kannst du ja nur wenn das Passwort selber iregendwie vorhanden ist. Klar kann man das auch wieder verschlüsseln, aber Synology selber sagt ja daß das mit dem einmaligen Computerschlüssel verschlüsselt wird (der ja nun nicht so einmalig ist).
Auf jeden Fall werde ich den Schlüsseltresor definitv nicht nutzen (lese doch mal den Artikel den ich verlinkt habe, die schreiben das ja auch).

Gruß Metalhead
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.041
Punkte für Reaktionen
2.125
Punkte
289
Wenn ich zugriff auf die Hardware habe komme ich immer auf's Filesystem (auf jedem Betriebssystem).
Verschlüsselt natürlich nicht, aber der Key muß ja unverschlüsselt vorhanden sein.

Dann würde ja keine Verschlüsselung der Welt funktionieren, dass kann in Bezug auf deinen letzten Post ja nicht sein.

Mir geht es dabei um deine hier zitierte Aussage. Den anderen Artikel stelle ich nicht in Frage.
 

metalhead79

Benutzer
Mitglied seit
03. Nov 2011
Beiträge
74
Punkte für Reaktionen
8
Punkte
8
Welche genau? Daß ich auf jedes unverschlüsselte Filesystem komme wenn ich physikalischen Zugriff auf die Hardware habe? Oder daß ich den Schlüssel im Klartext brauche um etwas zu entschlüssen?

Gruß Metalhead
 
Zuletzt bearbeitet von einem Moderator:

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.041
Punkte für Reaktionen
2.125
Punkte
289
Sind doch beide von mir gemeinte Aussagen zitiert.

Um es auf den Punkt zu bringen, ist deine Aussage falsch. Der Key bei aktivierter Verschlüsselung am Beispiel eines PCs, Laptop oder Server liegt selbstverständlich verschlüsselt vor z.B. im TPM.
 

metalhead79

Benutzer
Mitglied seit
03. Nov 2011
Beiträge
74
Punkte für Reaktionen
8
Punkte
8
Um irgendwas zu entschlüsseln muß der Key im Klartext vorhanden sein (zumindest im RAM). Daß der nicht im Plain-Text irgendwo rumliegt ist mir schon klar. Und zwischen einem TPM-Modul und dem top-Secret-Key von Synology liegen schon mal Welten. ;)

Gruß Metalhead
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat