DSM 6.x und darunter Geschwindigkeitseinbußen bei Entschlüsselung über USB Stick

[Emic]

Hallo zusammen,

das Ziel ist es, dass man bei meiner DS die Daten nicht auslesen kann, sollte die Festplatte entwendet werden.

Nun frage ich mich wie es bei folgender Konfiguration mit der Übertragungsgeschwindigkeit aussieht.
Die gemeinsamen Ordner auf der DS werden verschlüsselt und die Schlüssel sind auf einem USB Stick gespeichert. Solange der USB Stick dran ist, werden die Daten entschlüsselt und sobald man ihn abzieht, greift die Verschlüsselung.
Wie wirkt sich das auf die Übertragungsgeschwindigkeit bei Zugriff per WebDAV und per CloudStation aus?

Danke euch!

 

[Puppetmaster]

Ist das denn eine gelebte Konfiguration bei dir? Woher stammt die? Synology bietet so etwas meines Wissens nicht ab, hier braucht man nur einmalig zum Einhängen der verschlüsselten Freigaben den entsprechenden USB Stick.

Macht ja auch wenig Sinn, dass der Stick permanent verbunden sein muss.

 

[Emic]

Ist das denn eine gelebte Konfiguration bei dir? Woher stammt die? Synology bietet so etwas meines Wissens nicht ab, hier braucht man nur einmalig zum Einhängen der verschlüsselten Freigaben den entsprechenden USB Stick.

Macht ja auch wenig Sinn, dass der Stick permanent verbunden sein muss.

(Noch) nicht. Ich dachte das geht so. Im Schlüssel Manager kann ich ja ein externes Laufwerk/ USB Stick auswählen. Mir war nicht bewusst, dass das so nicht geht bzw. der Schlüssel nur einmalig zum Einhängen verwendet werden muss.

Vielleicht denke ich auch zu verschachelt und es geht ganz anders... Wie kann ich meine Daten schützen, damit nicht einfach jemand die Festplatte aus der DS ausbauen kann und dann Zugriff auf sämtliche Daten hat?

 

[peterhoffmann]

Der Schlüssel wird nur einmalig beim Start bzw. dem Einhängen benötigt.

Man könnte jetzt den Schlüssel bzw. das Passwort auf einen USB-Stick legen und dieser muss beim Start bzw. dem Einhängen eingesteckt sein. Danach kann er raus, solange die DS läuft. Der Datendieb muss für die Mitnahme der DS bzw. den Ausbau der HDDs die DS stromlos machen. Dann hat er nur verschlüsselte Daten.

Falls man das automatisiert ohne USB-Stick machen möchte, gibt es noch eine andere Lösung, falls du die Möglichkeit hast in deinem Netzwerk ein anderes Gerät zu haben, welches ein Datenlaufwerk zur Verfügung stellt. Z.B. eine Fritzbox 7390, 7490 etc. haben eine NAS-Funktion. Dann kann man den Schlüssel dort ablegen, die DS holt sich ihn beim Start und die Ordner sind entschlüsselt. Sobald die HDDs ausgebaut sind oder die DS gestohlen wird, hat der Dieb nur verschlüsselte Daten, da die DS ja nicht mehr auf den Schlüssel in deinem Netzwerk zugreifen kann.

Man kann den Schlüssel auch teilen (Teil1 auf der DS, Teil2 auf der Fritzbox) und mittels Script zusammenbauen und mounten. Das hätte den Vorteil, dass nirgends der Schlüssel komplett abgelegt und einsehbar ist.

Ich habe einen Nachbarn, dem ich das so eingerichtet habe. Dieses Script liegt im Aufgabenplaner und wird beim Start der DS abgearbeitet:

FILE=/volume1/DEINPFAD/teil2vompasswort.txt
j=`head -n 1 $FILE`

meinarray=(gemeinsamerOrder1 gemeinsamerOrder2 gemeinsamerOrder3 gemeinsamerOrder4)

for i in ${meinarray[@]}; do
 synoshare --enc_mount $i "teil1vompasswort"$j
done

Der Pfad => /volume1/DEINPFAD/teil2vompasswort.txt
ist ein gemounteter externer Pfad z.B. von der Fritzbox.

Das Ganze kannst du noch auf die Spitze treiben. Leg in so einen Ordner einen Container von Truecrypt/Veracrypt (Paranoidmodus).

 

[Emic]

Danke für die ausführliche Antwort. Das ist im Prinzip wonach ich gesucht habe.
Ich besitze allerdings eine Fritz Box 7360. Mit der geht das nicht oder? Scheint keinen internen Speicher zu geben.

Wie wirkt sich die Übertragungsgeschwindigkeit bei einem gemounteten Laufwerk im Vergleich zu einem unverschlüsselten aus?

 

[Puppetmaster]

Wie wirkt sich die Übertragungsgeschwindigkeit bei einem gemounteten Laufwerk im Vergleich zu einem unverschlüsselten aus?

Das lässt sich pauschal nicht beantworten, da es sehr von der eingesetzten Hardware, hier DS, abhängt.
Auf kleinen, wenig performanten Systemen kann die Belastung auf die CPU natürlich erheblich sein und spürbare Auswirkungen haben. Hat die DS hingegen ein eigenständiges Verschlüsselungsmodul, ist die CPU von der Arbeit befreit und es geht wesentlich schneller. Die größeren DSen (insb. Intel CPU) haben hier die meiste Power und zwischen verschlüsseltem und unverschlüsseltem Ordner ist so gut wie kein Unterschied mehr feststellbar.

 

[peterhoffmann]

Ich besitze allerdings eine Fritz Box 7360. Mit der geht das nicht oder? Scheint keinen internen Speicher zu geben.

Ich nutze für solche Fragen gerne eine Suchmaschine bevor man Fragen stellt, die man selber in 30s geklärt hat.
Z.B. habe ich eine Suma mit "Fritzbox 7360 NAS" gefüttert. Eines der Ergebnisse war:
https://avm.de/service/fritzbox/fri...on/show/274_FRITZ-Box-Mediaserver-einrichten/

Wie wirkt sich die Übertragungsgeschwindigkeit bei einem gemounteten Laufwerk im Vergleich zu einem unverschlüsselten aus?

Bei der J-Serie verlangsamt das die Übertragung ordentlich. Bei der +-Serie ist kaum/kein Unterschied zu spüren.

Meine Erfahrung:
2Bay J-Serie (z.B. DS216j) => ca. 20MB/s
2Bay +-Serie (z.B. DS216+) => 80-100MB/s

Hier kannst du es in Zahlen nachvollziehen:
https://www.synology.com/de-de/products/performance

 

[frimp]

Man kann auch den USB-Stick automatisch auswerfen lassen. Dann zieht man ihn einfach ab und nimmt ihn mit. Nachteil: bootet die DS unbeabsichtigt, steht man erstmal dumm da. Aber irgendwas ist ja immer...

 

[PsychoHH]

Danke für die ausführliche Antwort. Das ist im Prinzip wonach ich gesucht habe.
Ich besitze allerdings eine Fritz Box 7360. Mit der geht das nicht oder? Scheint keinen internen Speicher zu geben.

Einfach einen USB Stick anschließen und diesen nutzen.
Hab ich seit langer Zeit so

 

[Rabbit_1]

Hi,

also ich finde die Lösung von @peterhoffmann die Schlüssel in den Internen Speicher der Fritzbox abzulegen eine Interesante Lösung.
Aber wäre es nicht möglich den Ordner des Schlüsselmanagers statt auf einen USB-Stick auf die Fritzbox zu legen?
Vorteil es ist verschlüsselt und ich muß nichts aufteilen.
Würde das gehen?

Gruß Marco

 

[PsychoHH]

Nein jedenfalls nicht ohne mounts usw.