DSM 6.x und darunter Schlüsselmanager bietet als Chiffre für Schlüssel kein Passphrase an

[3x3cut0r]

Hallo
ich habe einige meiner Gemeinsamen Ordner verschlüsselt und möchte diese per Schlüsselmanager nach einem reboot der DS alle gemeinsam mounten.
Dies funktioniert mit dem Schlüsselmanager und "Rechnerschlüssel" als Chiffre für Schlüssel auch sehr gut.
Das hat jedoch den Nachteil, das ich hier keine Passphrase o.Ä. eingeben muss. So könnte jeder, der sich Admin-Rechte verschafft, meine Gemeinsamen Ordner mounten ohne die Passphrases bzw. Schlüssel der einzelnen Ordner kennen zu müssen.

Wie bekomme ich den Schlüsselmanager dazu das ich Passphrase als Chiffre für Schlüssel angeboten bekomme?
Diese Option wird mir, entgegen dem Artikel in der Wissensdatenbank, garnicht erst angeboten.

Danke

 

[himitsu]

Ich dachte die Passphrase wird nur zum Verschlüsseln des Schlüsselspeichers auf der Platte/USB-Stick verwendet. (bräuchte man dann nach Neuinstallation/Rücksetzen des DSM, um den Schlüsselspeicher wieder öffnen zu können)

Tja, Wenn der Admin da nicht rankommen soll, dann darf der Ordner eben nicht automatisch entsperrt werden, sondern der User muss es immer manuell machen,
*aber* so lange, wie jemand den Ordner gemountet hat, kommt der Admin und jeder andere mit Rechten natürlich da auch drauf.

 

[3x3cut0r]

Das die Passphrase nur zum Verschlüsseln des Schlüsselspeichers verwendet wird ist ja in Ordnung, aber was bringt es wenn die Passphrase nicht verlangt wird?
Es geht mir nicht darum, das der Admin nicht dran kommen soll, sondern dass selbst er so leicht ohne Passphrase hin kommt.
Annahme: mir klaut jemand meine DS und resettet das Admin Passwort kann er dann auch direkt die Verschlüsselten Volumes mounten?!
Entweder ich verzichte dann auf den Schlüsselmanager und gebe für jedes Volume nach jedem Neustart die Passphrases einzelnd ein oder ich lass es mit der Verschlüsselung gänzlich bleiben

Mir geht es darum (siehe Screenshot): Warum wird mir hier die 2. Option garnicht angeboten mit der Passphrase?

 

[Lucifor]

Naja, ich denke du gehts falsch an die Sache heran.
Die Verschlüsselung dient dazu unbefugten Zugriff auf verschlüsselte Shares zu verweigern bzw unmöglich zu machen, NACHDEM die DS aus/und/oder gestohlen wurde. Es hat also überhaupt _keinen_ Sinn die Schlüssel auf der DS zu belassen und automatisch beim Start der DS zu mounten. Wenn du das so machst kannste die die VErschlüsselung sparen und besser die Performace die durch die Verschlüsselung verloren geht, nutzen.

Besser so:
USB Stick als Keymanager benutzen. (USB Stick in der DS als ex4 Laufwerk installieren)
USB Stick einen eindeutigen NAmen geben, hier : Keymanager
In der Systemsteuerung "Freigegebene Ordner" die Shares verschlüsseln und als Speicherort für den Schlüssel das Laufwerk Keymanager benutzen. Das Laufwerk Keymanager ist ebenfalls verschlüsselt und dieses Passwort dient als Masterpasswort.
Bei der Verschlüsselung der shares muss du nun ein Passwort für die VErschlüsselung benennen UNd den Masterkey des Sticks eingeben.
Unter AKtionen dann Automatisches Mounten beim start einschalten und den Haken setzten "Nach dem Start Laufwerk auswerfen!)

Hast du das mit ALLEN verschlüsselten Shares getan, wird anhand des Sticks die DS gestartet und die Shares aingebunden, danach im DSM den Stick auswerfen und gut weg tun, der wird nur beim Strat der DS benötigt.
Fertig.

Das Chiffre sollte auf Rechnerschlüssel bleiben, das hat den Sinn das die Shares sogar mit korrektem Passwort/Key NUR auf dieser DS eingebunden werden, jede andere DS oder anderes Raid-System kann die Daten trotzem NICHT einbinden.
Nachteil: Hardwareschaden an der DS (nicht die Platten!, sondern das Board!) und Pustekuchen mit den Daten. (Also Backup vorhalten!) (Verschlüsselt versteht sich)

Es gibt auf Tube ein gutes Video von iDomix zu diesem Thema.

 

[3x3cut0r]

Ich verstehe ja was du sagst ... und meine Frage ist nur: Warum er die Passphrase bzw. das "Masterpasswort" wie du es nennst nicht auch abfragt, wenn die schlüssel auf der Systempartition liegen?
Warum gibt es hier einen Unterscheid in dem Verhalten zu einem USB-Stick?

 

[Lucifor]

Ich weiss es nicht genau, aber meiner Meinung nach wäre das eh unsinn.

Wenn du ein Passwort benötigst um ein Passwort abzufragen.. Die Phassprase macht nur Sinn wenn die Passwörter woanders als im Zielsystem liegen (Um die Passwörter der Shares zu schützen), ansonsten fragt man unsinniger Weise zweimal ein passwort ab.
(Einmal das Passwort um das Share einzuhängen und einmal ein Passwort um das Passwort abzufragen, ergibt also einfach keinen Sinn)

Es ist (so denke ich) also nicht nötig wenn die Passwörter der Shares im System liegen daszu ein Passwort abzufragen. Vorausgesetzt man benutzt den Keymanager... Lässt du den ganz weg, wird erst nach Eingabe des PW das Share eingehangen.

 

[3x3cut0r]

Ich habe es jetzt herausgefunden.
Die Passphrase als Chiffre ist nur in Verbindung mit einem USB-Stick möglich, jedoch nicht von der System-Partition.
Es gibt für mich zwar absolut keinen logischen Grund warum man die Passphrase nicht auch beim Speichern der Keys auf der System-Partition anbietet aber ich nehme es jetzt einfach mal so hin und gut is.

Danke trotzdem

 

[himitsu]

warum

Sagen wir es mal so, wenn automatisch entschlüsselt wird, dann liegt auf deiner Systempartition irgendwo die Passphrase rum, quasi offen neben dem Schlüsselspeicher.
Es ist also sinnlos da noch verschlüsseln zu wollen, wenn der Schlüssel unter der Fußmatte liegt.

Beim USB-Stick: Wenn den jemand klaut oder du ihn irgendwo verlierst, dann sind die Schlüssel darauf sicher, weil ja verschlüsselt und die Passphrase wo anders liegt.

 

[3x3cut0r]

Wer behauptet denn das ich irgendwas automatisch entschlüsselt haben will ?!
Tut mir leid ich verstehe nicht was es für einen Unterschied macht ob der Schlüsselspeicher nun _verschlüsselt_ auf einem USB-Stick oder _verschlüsselt_ auf der System-Partition liegt?!
Warum kann ich nicht auch eine Passphrase zum ver/entschlüsseln des Schlüsselspeichers auf der System-Partition verwenden?

 

[Lucifor]

Einen sehr großen. Einen verdammt großen!
Angenommen man nutzt für jedes Share einen anderes Passwort (hoffentlich ist das so!) und diese liegen auf der Systempartition. Somit benötigt der Angreifer NUR EIN Passwort zu knacken und alle Shares sind eingebunden. (Das PW des Keymanagers)
Wer das tut kann auf die Verschlüsselung wie gesagt gleich verzichten.

 

[3x3cut0r]

Und jetzt die Gegenfrage:
Worin besteht jetzt der Unterschied wenn alles auf dem USB-Stick liegt? Auch da braucht dann der Angreifer nur ein Passwort zu knacken und kommt an alle Shares ...

 

[Ramihyn]

Siehe #4 von Lucifor. Nochmals lesen, nachdenken, hoffentlich verstehen. Er hat das eigentlich sehr gut beschrieben, wie mans richtig macht.

 

[Lucifor]

Danke

 

[hiddenass]

Ich möchte mich hier mal anschließen, um nicht extra einen neuen Thread zu eröffnen.

Für meine Frau und mich habe ich auf unserem ersten und neuen NAS DS218 jeweils einen geteilten Ordner mit unseren Namen angelegt, sowie einen geteilten Family Ordner. Verschlüsselung aktiviert, Passwort festgelegt und die drei Passwort Dateien ordentlich abgelegt. Nach einem Neustart getestet, geteilte Ordner werden (wie gewünscht), nicht einfach automatisch eingehängt. Ich kann sie manuell einhängen, Passwort Eingabe funktioniert, Datei zur Entschlüsselung funktioniert. Top.
- wird mein NAS gestohlen und neu hoch gefahren, dann sind die Ordner verschlossen
- geht eine WD Red innerhalb der Garantie flöten, dann sende ich sie ein und WD sollte auch keine Dateien von mir sehen (ist ja verschlüsselt)

Nun sehe ich als dritte Variante zum Entschlüsseln (als Admin angemeldet) aber "Schlüsselmanager". Angewählt und Ordner wird automatisch eingehängt. Dazu habe ich nun eine Frage:
Ist hier alles "sicher", da ein Dieb ja auch erst als Admin angemeldet sein und zusätzlich das Admin Kennwort kennen müsste, um überhaupt an den Schlüselmanager zu kommen und ohne Passwort zu entschlüseln? Oder übersehe ich hier etwas?

 

[3x3cut0r]

... in meinen Augen nicht!, da:
Das Admin-Passwort keine Sicherheit darstellt, da ich der Meinung bin, das man bei jedem Linux-basiertem Betriebssystem das root-passwort zurücksetzen / überschreiben kann, sobald man physischen Zugang zum Gerät hat.
Ist das der Fall hat man auch Zugang zu Schlüsselmanager.
Deshalb würde ich diesen auch nur mit Passphrase verwenden, was nur geht, wenn du ihn auf einen Externen USB-Datenträger speicherst und nicht auf der System-Partition ...

Gruß

 

[hiddenass]

@ 3x3cut0r
Danke. Interessanter Einwand.

Alle 3 Einträge / Ordner sind im Schlüsselmanager als Chiffre Rechnerschlüssel geführt. Wenn ich nun einfach alle 3 Einträge / Ordner aus dem Schlüsselmanager entferne:
- hat sich das Problem dann erledigt?
- funktioniert vermutlich die Passwortdatei nicht mehr?
- aber ich sollte weiterhin mittels manueller Eingabe die Laufwerke einhängen können?

Könnte sonst nochmal gucken, ob ich sie mit Chiffre Rechnerschlüssel entfernen und als Passphrase neu anlegen kann. Wenn ich ganz neue Ordner dafür anlegen müsste, Dateien da rein kopieren, usw....das wäre natürlich ätzend ;-)

... in meinen Augen nicht!, da:
Das Admin-Passwort keine Sicherheit darstellt, da ich der Meinung bin, das man bei jedem Linux-basiertem Betriebssystem das root-passwort zurücksetzen / überschreiben kann, sobald man physischen Zugang zum Gerät hat.
Ist das der Fall hat man auch Zugang zu Schlüsselmanager.
Deshalb würde ich diesen auch nur mit Passphrase verwenden, was nur geht, wenn du ihn auf einen Externen USB-Datenträger speicherst und nicht auf der System-Partition ...

Gruß

Wenn ich den USB Stick ext4 formatiere und den Schlüssel darauf verschlüsselt speichere, dann stecke ich den Stick zur Entschlüsselung mit dem Schlüsselmanager an. Ok. Ist der Stick defekt, dann komme ich aber weiterhin mittels manueller Eingabe des Passwortes an meine Ordner, ja?

 

[hiddenass]

Sorry für den Doppelpost. Aber:
Gerade mal getestet. Einträge aus dem Manager entfernt. Einen leeren Ordner getrennt. Lässt sich weiter manuell und mit der gespeicherten Passwortdatei einhängen. Wozu der externe USB? Nur zur Bequemlichkeit, damit ich möglichst wenig tun muss?
Kann doch theoretisch die Passwort Dateien auf einem Stick ablegen (gut versteckt) und die Schlüssel davon einbinden (an den Rechner gesteckt). Vielleicht stehe ich auch noch ziemlich auf dem Schlauch. Mein erster NAS, bisher nur mit TrueCrypt / VeraCrypt Ordnern gearbeitet zur Verschlüsselung. Entschuldigt daher bitte etwas doof anmutende Fragen

 

[3x3cut0r]

- hat sich das Problem dann erledigt?

ja

- funktioniert vermutlich die Passwortdatei nicht mehr?

klar funktioniert die noch! du hast ja durch das löschen das passwort nicht geändert.

- aber ich sollte weiterhin mittels manueller Eingabe die Laufwerke einhängen können?

ja

Ist der Stick defekt, dann komme ich aber weiterhin mittels manueller Eingabe des Passwortes an meine Ordner, ja?

ja!

Wozu der externe USB? Nur zur Bequemlichkeit, damit ich möglichst wenig tun muss?

So richtig erschließt sich mir der Sinn leider auch nicht. Die Antwort nach dieser Frage habe ich ja auch ein wenig gehofft zu finden mit diesem Thread, leider vergebens, da ich entweder missverstanden wurde oder sich mir die Antwort immer noch nicht erschlossen hat.

Ich fasse es mal folgendermaßen zusammen:
Wenn du mehrere Ordner verschlüsselst ... dort auch mehrere Passwörter verwendest (z.B. für jeden Ordner einen eigenen) ... kannst du dir das mounten jedes einzelnen Ordners erleichtern, in dem du den Schlüsselmanager verwendest. Hier verschlüsselst du quasi deine Schlüssel mit einem extra Passwort (passphrase) um so nur ein Passwort zum entschlüsseln des Schlüsselmanagers zu verwenden, der dir alle Ordner dann entschlüsseln kann. Das macht aber das verwenden unterschiedlicher Passwörter für die Ordner irgendwie sinnlos.
Speicherst du den Schlüsselmanager jedoch auf der System-Partition, anstatt auf den USB-Stick, fällt die Passphrase weg und jeder Admin kann die Ordner mounten.
Und genau das ist für mich noch absurder, dann kann ich auf das verschlüsseln auch ganz verzichten. (-> Meine Meinung<-)

 

[hiddenass]

Vielen Dank. Du hast mir sehr geholfen!

 

[Fusion]

Einziger Anwendungsfall für den Schlüsselmanager ist meines Erachtens, dass man den USB-Stick beim Booten anstecken kann, der DSM alle verschlüsselten Ordner für die es konfiguriert ist einhängen kann, und der USB-Stick danach wieder entfernt wird / abgesteckt wird.
Die Verschlüsselung dient nur im Falle eines Diebstahles oder ähnlich wo die DS stromlos wird / neu startet, dass die Ordner ohne den USB-Stick nicht eingehängt werden.
Geht der USB-Stick kaputt, kann man immer noch auf seine Daten zugreifen und von Hand mit key/password die Ordner einhängen.
Auch wenn die DS kaputt geht wird so nur der Schlüsselmanager/Stick wertlos, weil mit einer neuen DS ein neuer Rechnerschlüssel gilt. key/password sind aber weiterhin gültig nach einer Migration in eine neue DS.
Mehr kann die Lösung nicht leisten.