TrueCrypt

[itari]

Die Argumentation finde ich jetzt spannend.

Welchen Sinn hat eine verschlüsselte Platte/Partition/Container? Doch dass niemand was mit den Daten anfangen kann, wenn sie physikalisch entfernt wird oder ich es nicht will. Das RAID-5 hilft dann ja auch nicht gegen das entfernen. Wenn ich dann keine Kopie hab, sind die Daten futsch. Wenn mir das egal ist, warum mach ich dann den Aufwand, sie zu verschlüsseln? Sind die Daten denn nicht irgendwie wertvoll für dich? Wenn nicht, dann kann es sich ja nur um 'belastendes' Material handeln. Ob ich das nun gut finden soll?

Itari

 

[Tschernomyrdin]

Es ist kein "belastendes" Material. Es geht mir hauptsächlich darum, das nicht jeder Hans und Franz z.B. bei Diebstahl usw was mit meinen Daten anfangen kann. Denn es gibt genügend "legale" Dinge, die keinen anderen was angehen. Sollte der Container kaputt gehen...okay...alles nochmal von vorne. Und nein...ich werde dann nicht ganz laut um Hilfe schreien. Denn ich hab es so gewollt...


Gruss Tschernomyrdin

 

[itari]

Du musst dich nicht rechtfertigen ... es gibt 1000 Gründe für eine Verschlüsselung. Aber mir fallen keine ein, die ohne Sicherung wären.

Wenn du sagst, wenn alles kaputt geht, dann noch mal von vorne ... dann müssen ja irgendwo noch Kopien sein ... sind die auch verschlüsselt??? Oder nicht? Wenn nicht, dann frag ich mich, was das Ganze soll ... (auch hier musst dich nicht rechtfertigen - ich will ja nur verstehen, warum du etwas machst, was für mich noch keinen Sinn ergibt

Itari

 

[Tschernomyrdin]

Einige Sachen davon liegen auf einer verschlüsselten Partition meines Desktops und einige Sachen befinden sich zwischen meinen Ohren.


Gruss Tschernomyrdin

 

[itari]

Das nenne ich ein plausible Antwort: 2 TB als TrueCrypt-Container anlegen wollen und es faustdick hinter - äh zwischen den Ohren zu haben

Weiter so.

Itari

PS. ich frag immer nur so gescheit daher, weil ich ja nie die den ganzen Plan bei einer Frage beschrieben bekomme, und ich nicht irgendwas empfehlen möchte, was vielleicht später einmal Lücken aufweist, weil ich was vergessen hab zu erwähnen ... so gehört für mich die Sicherungsstrategie für sehr wichtige Daten auch dazu ... deswegen nichts für ungut.

 

[NASsie]

Auch mir geht es in erster Linie darum, dass - im Falle eines Diebstahls - keiner mit meinen persoenlichen Daten (Bilder, Schriftwechsel, Steuer, Briefe, Emails, etc.) etwas anfangen kann. Und wenn ich schon die persoenlichen Daten verschluessele, sagt Dir jeder Sicherheitsexperte, dass man auch gleich alle Daten verschluesseln sollte, um Unbekannten gar nicht erst die Chance zu geben, wichtige von unwichten Daten unterscheiden zu koennen.

Auch ich arbeite mit Truecrypt seit Jahren und moechte es natuerlich lieber auf der Synology DS fortsetzen, denn eine andere Verschluesselung einsetzen.
Wenn es aber partout nicht (serverseitig) mit Truecrypt klappen sollte, dann siegt eine andere vor keiner Verschluesselung und ich werde komplett umstellen.

Allerdings hoffe ich noch auf eine serverbasierte TC-Verschluesselung. Das waere ein Traum, um seine Daten homogen unter verschiedenen Betriebssystemen und Datentraegern zu behandeln.

 

[Supaman]

Allerdings hoffe ich noch auf eine serverbasierte TC-Verschluesselung. Das waere ein Traum, um seine Daten homogen unter verschiedenen Betriebssystemen und Datentraegern zu behandeln.

dann freu dich auf die iSCSI unterstützung im nächsten firmware release. dann brauchst du nur noch die boot pratition verschlüsseln und der rest liegt als iSCSI volume auf dem NAS, client software gibts für jedes OS.

 

[NASsie]

dann freu dich auf die iSCSI unterstützung im nächsten firmware release. dann brauchst du nur noch die boot pratition verschlüsseln und der rest liegt als iSCSI volume auf dem NAS, client software gibts für jedes OS.

...was zwar Homogenitaet im Allgemeinen, nicht aber Konsitenz zu meinen bisherigen Datentraegern bedeutet - wenn ich das richtig verstehe.
Wie schon gesagt, ich nutze TC schon seit Jahren und habe einen Haufen Datentraeger damit verschluesselt.
Diese wuerde ich natuerlich auch gerne _so_ weiterhin nutzen, anstatt Aufwand der Konvertierung betreiben zu muessen. Immerhin ist das nicht unerheblich!
l
Mir geht es auch nicht um Verschluesselung im Allgemeinen sondern Verschluesselung mit TC im Speziellen.
Ich vertraue auch lieber speziel _dieser_ anerkannten OpenSource-Loesung, als mich mit einer neuen zu beschaeftigen.
Truecrypt hat sich aufgrund seiner Sicherheit schon einen relativ guten Namen gemacht und gilt aufgrund seiner Verschluesselungsstaerke, bei hinreichend sicheren Passwort (DAS ist im Uebrigen immer die eigentliche Schwachstelle der Verschluesselung), als bisher unter plausibelen Bedingungen als unknackbar. Bei kommerziellen ClosedSource-Projekten kann aber auch eine Schwachstelle im Code liegen, den entweder bisher niemand entdeckt oder die beabsichtigt dort eingebaut wurde. Das kann man bei TC ausschliessen.

Insb. unter dem Aspekt der Datenkonvertierung habe ich keine Lust, alle Daten in ein anderes Verschluesselungsformat zu uebtragen, um hinterher festzustellen, wo die Schwachstellen/Probleme liegen.

Alles in Allem ist TC fuer mich die beste, wenn nicht einzig akzeptierte Methode, Datentraeger mit vertraulichen Daten zu veschluesseln.

 

[lalago]

Truecrypt für Container okay, aber Photostation?

Hallo,

Das mounten von verschlüsselten containern auf der diskstation läuft ja sehr gut. Soweit auch kein Problem.

Ich würde jedoch sehr gerne die Fotos (folder: /photo) die ich für Photostation 3 hochlade auf der Platte verschlüsseln. Dies funktioniert wohl nicht, solange truecrypt nicht serverseitig läuft? Oder gibt es da einen guten Trick?

Das wäre sonst wirklich ein Firmwareupdate wert - Truecryptunterstützung für die Diskstation!

 

[Supaman]

Alles in Allem ist TC fuer mich die beste, wenn nicht einzig akzeptierte Methode, Datentraeger mit vertraulichen Daten zu veschluesseln.

das ist so nicht richtig... TC ist primär deshalb so verbreitet, weil es nichts kostet. container lassen sich damit recht gut handhaben, für große datenemengen eher ungeeignet. es funktioniert zwar, aber wenns mal ein problem gibt, dann geht ohne backup oft nichts mehr.

große container dateien sind halt anfälliger für dateistrukturprobleme der ursprungsplatte und das verschlüsseln ganzer partitionen ist recht propritär gelöst. bei anderen crypto softwares kann man die partitionen direkt verschlüssln und entschlüsseln, da muss nichts umstrukturiert werden. wenns mal klemmt, entschlüsselt man die ganze partition und kann die platte dann mit beliebigen datenrettungstools weiterbearbeiten.

 

[glowaq]

Ich nutze TrueCrypt schon seit einigen jahren und muss sagen, dass ich damit schon (bis zu) 2TB container benutzt habe. Auch plötzliches abschalten der volumes hat mir (wen überhaupt) bisher nur das filesystem im container "zelerlegt". Ich hatte sogar mal ein unlesbares filesystem, was ich nach dem mounten mit TC wieder mit herkömlichen recovery-tools recovern konnte.

TC ist wirklich sehr robust. Wer möchte mir das für die DS409+ compilieren? Die sourcecodes sind frei. Gibt es irgendwie eine möglichkeit für die DS was zu kompilieren?

 

[NASsie]

Ich nutze TrueCrypt schon seit einigen jahren und muss sagen, dass ich damit schon (bis zu) 2TB container benutzt habe. Auch plötzliches abschalten der volumes hat mir (wen überhaupt) bisher nur das filesystem im container "zelerlegt". Ich hatte sogar mal ein unlesbares filesystem, was ich nach dem mounten mit TC wieder mit herkömlichen recovery-tools recovern konnte.

TC ist wirklich sehr robust. Wer möchte mir das für die DS409+ compilieren? Die sourcecodes sind frei. Gibt es irgendwie eine möglichkeit für die DS was zu kompilieren?

Wenn ich das richtig gesehen habe, wurde im Cryptoloop-Beitrag schon einmal versucht zu kompilieren, was aber in einem Haufen Fehlermeldungen endete. Dort konnte bisher keiner weiter helfen.

Bin auch sehr an TC auf der DS interessiert...

 

[Tomte89]

iSCSI

ALle, die sich über schlechten Datendurchsatz ärgern oder nur Container erstellen können sich doch mit der iSCSI-Funktionalität der Synology-Storage Systeme Abhilfe schaffen. Dafür muss ich natürlich wissen, was iSCSI ist und wie ich es verwende:

iSCSI ist ein IP-basiertes Protokoll, welches die Erstellung von Netzwerkdatenträgern auf Storagesystemen erlaubt, welche als lokales Festplatten fungieren. VMWare arbeitet mit iSCSI im Zuge der Virtualisierung, auch andere Hersteller von Virtualisierung arbeiten mit iSCSI.

Ein iSCSI-Volume eignet sich hervorragend für die Einbindung eines Netzwerkspeichers mit schlankem Protokoll (=> Hoher Datendurchsatz durch geringen Overhead) und somit für die lokales Verschlüsselung mit TrueCrypt wie alle anderen lokalen Datenträger.

Seit Windows Vista ist ein iSCSI Initiator (Connector) bei MS in den Betriebssystemen enthalten, XP kann via Addon von Microsoft selber nachgerüstet werden. (mehr dazu: http://www.microsoft.com/downloads/en/details.aspx?FamilyID=12cb3c1a-15d6-4585-b385-befd1319f825)

Somit sollten doch alle Möglichkeiten einer lokalen Verschlüsselung möglich sein, wenn man weiss, wie.

Einen weiteren Vorteil bietet iSCSI: Laufwerke können vergrößert und verkleinert werden. Wie sich das mit TrueCrypt verträgt, habe ich noch nicht getestet. Aber Volumes mit >5 TB sind hier jedenfalls kein Problem!!! Und bei Diebstahl/DAtenklau/FEstplattenklau sieht der Taugenichts nur eine leere bzw mit Datenmüll gefüllte Platte mit einem iSCSI-Header...

Damit sollte doch ein Großteil der Problemkette hier gelöst werden können!

Wem das als Denkanstoß nicht reicht: Nehme ein NAS, erstelle ein iSCSI-Volume, verbinde dies mit einem Windows-SErver/Client, richte eine Verschlüsselung ein und gib die neue, auf dem WIndows-Server bzw Client befindliche Partition als Netzfreigabe frei. Damit sind alle Anforderungen erfüllt:

- RAID 5 auf NAS
- iSCSI-Volume-Verschlüsselung
- Freigabe an mehrere User
- manuelle Eingabe des Passwortes (nicht via die WebConsole des NAS aber am "Server")

Wenn noch wer Fragen dazu hat oder andere Bauchschmerzen, immer gerne

Gruß,
Tomte

 

[itari]

Damit sind alle Anforderungen erfüllt:

- RAID 5 auf NAS
- iSCSI-Volume-Verschlüsselung
- Freigabe an mehrere User
- manuelle Eingabe des Passwortes (nicht via die WebConsole des NAS aber am "Server")

Gibt es denn jetzt eine iSCSI-Volume-Verschlüsselung in der Firmware?

Itari

 

[Merthos]

Nein, ist nur etwas unglücklich formuliert. Gemeint ist, dass der Windows-Client / Server in dem iSCSI-Target ein Truecrypt-Laufwerk anlegt.

 

[glowaq]

Ich beschäftige mich seit langen mit iSCSI auf den Synology geräten. Ich habe selber "echte" iSCSI-Cluster in betrieb und kenne mich gut aus (25.000 euro une teurer). Ich habe es noch nie geschafft iSCSI auf einer Synology über einen längeren zeitraum stabil zum laufen zu bekommen.

Selbst der support von synology sagt, dass es nicht geht bzw. hat keine idee, wie man es zum laufen bekommt (siehe auch andere themen hier im forum). VMware hat mich ausgelacht, als ich den support wg. den problemen zu iSCSI und Synology angesprochen hatte. ;-)

Wenn es bei dir ohne probleme mit grossen durchsatz läuft, dann grosse gratulation!

 

[itari]

Nein, ist nur etwas unglücklich formuliert. Gemeint ist, dass der Windows-Client / Server in dem iSCSI-Target ein Truecrypt-Laufwerk anlegt.

So hatte ich das nicht verstanden, weil ja explizit von einer manuellen Eingabe des Passwortes am Server gesprochen wurde. Auch verstehe ich unter iSCSI-Verschlüsselung etwas anderes als einen TC-Container auf einem iSCSI-Volume. Irgendwie hatte ich das Gefühl, als würde nicht über eine Synology-NAS gesprochen.

Itari

 

[Merthos]

Es sind zwei Server: "verbinde dies mit einem Windows-SErver/Client, richte eine Verschlüsselung ein und gib die neue, auf dem WIndows-Server bzw Client befindliche Partition als Netzfreigabe". Also die DS, die das iSCSI bereitstellt und ein zweiter, der Truecrypt macht und das dann wieder freigibt. Aber wenn es für Tomte89 so funktioniert.

 

[drmaniac]

Ich beschäftige mich seit langen mit iSCSI auf den Synology geräten. Ich habe selber "echte" iSCSI-Cluster in betrieb und kenne mich gut aus (25.000 euro une teurer). Ich habe es noch nie geschafft iSCSI auf einer Synology über einen längeren zeitraum stabil zum laufen zu bekommen.

Selbst der support von synology sagt, dass es nicht geht bzw. hat keine idee, wie man es zum laufen bekommt (siehe auch andere themen hier im forum). VMware hat mich ausgelacht, als ich den support wg. den problemen zu iSCSI und Synology angesprochen hatte. ;-)

Wenn es bei dir ohne probleme mit grossen durchsatz läuft, dann grosse gratulation!

na toll

ich wollte auf meiner DS auch per iSCSI und Truecrypt jonglieren. Dachte so an 2TB.

ist iSCSI auf den synology stations nun generell buggy oder instabil, hat man einen Datenverlust nach einer gewissen Zeit?
Wäre ja nicht so toll

.

 

[glowaq]

Na, was macht eine VM, wenn du ihr die virtuelle HDD wegziehst? Mit NFS gehts aber perfekt ohne probleme.