Verschlüsselter gemeinsamer Ordner über Windows anhängen

[patrick227]

Hallo,
ich möchte nicht jeden morgen in den DSM einsteigen und den verschlüsselten Ordner manuell anhängen. Kann ich auch zb den Ordner über Windows anhängen, zb das Passwort in einer Batch Datei auf einem Usb Stick ablegen... ?

Gruß
Patrick

PS: Wenn ich automatisches Anhängen aktivere, und sollte das NAS gestohlen werden, kann sich hier jemand Zugriff verschaffen ohne Kenntnis des Passwortes für lese-berechtigten Benutzer?

 

[Tommes]

Hallo erstmal und Willkommen im Forum.

Meines Wissens kann man einen verschlüsselten Ordner ausschließlich über den DSM ein- bzw. aushängen. Ich würde die Möglichkeit des Clientseitigen ein- / aushängengens aber auch sehr begrüßen. Vielleicht einfach mal die Jungs und Mädels vom Synology-Support darauf ansprechen.

Beim automatisch beim Start eingehangenen, verschlüsselten Ordner war es bis vor kurzem wohl immer so, das man nach einen einfachen Reset der DS (wobei u.a. das Admin-Passwort zurückgesetzt wird), vollen Zugriff auf den immer noch eingehangenen Ordner hatte. Jetzt aber liest man in der DSM-Hilfe

Wenn Sie Standard-Kennwörter mit der Reset-Taste auf der DiskStation wiederherstellen, werden verschlüsselte gemeinsame Ordner deaktiviert und die Option, automatisch verschlüsselte gemeinsame Ordner zu mounten, wird deaktiviert.

Tommes

 

[Merthos]

PS: Wenn ich automatisches Anhängen aktivere, und sollte das NAS gestohlen werden, kann sich hier jemand Zugriff verschaffen ohne Kenntnis des Passwortes für lese-berechtigten Benutzer?

Ja, Platte ausbauen und den Key am PC kopieren.

 

[Tommes]

Wo liegt denn dieses Key-File auf der DS?

Tommes

 

[Merthos]

Sollte unter /usr/syno/etc/.encrypt/ liegen.

 

[minoru]

Sollte unter /usr/syno/etc/.encrypt/ liegen.

Diese Dateien können aber nicht zum Mounten eines verschlüsselten Ordners verwendet werden, so wie es das key-File ermöglicht, welches einem beim Erstellen des verschlüsselten Ordners zum Download angeboten wird.

Würde mich auch wundern: Wenn der Schlüssel mehr oder weniger offen auf dem Gerät herumliegt, würde der ganze Aufwand der Verschlüsselung überflüssig sein. Es wäre dann jedenfalls nicht sicherer, als die Berechtigung auf einen unverschlüsselten freigegebenen Ordner zu gewähren bzw. zu entziehen.

 

[Merthos]

Natürlich kannst Du die verwenden. Wenn Du einen Automount haben willst, dann muss das irgendwo auf der Platte liegen, ein TPM oder sowas haben die DS nicht.

 

[Tommes]

Jetzt bin ich aber neugierig geworden.

Was heißt das jetzt genau? Kann ich etwa mit den unter /usr/syno/etc/.encrypt/ abgelegten Dateien, einen verschlüsselten Ordner einhängen? Wenn das denn so wäre, dann ist doch die ganze Verschlüsselung für den Popo, oder? Oder habe ich da jetzt irgendwas falsch verstanden.

Tommes

 

[Merthos]

Jep, kannst Du.

Ich hoffe ja, dass mittlerweile der Key auch gelöscht wird, wenn man den Ordner aushängt, zumindest unter 4.2 (da bin ich noch) bleiben die erhalten...

 

[minoru]

Jep, kannst Du.

Wirklich? Wenn ich diese Dateien zum Mounten auswähle, erhalte ich die Meldung "The password is invalid. (2544)". Was mache ich also falsch?

 

[Tommes]

Bei mir auch so.

Unter DSM 4.3 und DSM5 habe ich im Ordner /usr/syno/etc/.encrypt/ nur Dateien, die den Ordnernamen als Dateinamen tragen bzw. mit Ordnername@12345678 betitelt werden. Ein Key-File ala .key habe ich nicht gefunden. Das wäre ja noch schöner.

Ich habe jetzt mal probiert die Datei aus dem o.a. Ordner zu importieren, jedoch bricht das Einbinden mit der Fehlermeldung ab "Das Passwort ist ungültig". Ich bin einfach hingegangen und habe die Datei aus dem o.a. Ordner einfach mit der Dateinamenserweiterung .key ergänzt. Also aus der Datei Safe wurde Safe.key!

Oder was muß man tun, um mit diesen Dateien den Ordner einbinden zu können? Vielleicht ging das auch "nur" bis DSM 4.2. Unter DSM 4.3 und 5 geht das jedenfalls nicht, hab ich grade getestet.

Tommes

 

[Merthos]

Direkt kannst Du die Datei über's DSM nicht verwenden, die Daten sind mittels ecryptfs-wrap-passphrase und einem (wahrscheinlich statischen) Key verpackt.

 

[Galileo]

Aus all den Gründen verwende ich Truecrypt, da kann ich vom Client aus mounten und muss auch keine Sicherheitslücken oder Backdoors von Synology fürchten.

 

[patrick227]

Aus all den Gründen verwende ich Truecrypt, da kann ich vom Client aus mounten und muss auch keine Sicherheitslücken oder Backdoors von Synology fürchten.

das habe ich bereits versucht, da mein Volumen 2TB groß war hatte ich Performance-Probeleme und nicht zuletzt, wenn beim Volumen etwas defekt ist ist alles weg.

 

[Galileo]

Mein Container ist momentan nur 0,9 TB, werde ihn aber bis auf 3,5 TB vergrößern.

Die Frage ist was du unter Performance verstehst: Die geht an der DS mit verschlüsselten Ordnern ja deutlich runter.

Natürlich muss der Client Rechenleistung haben denn er macht ja die Verschlüsselung, es gibt Prozessoren (zB i7) die das per Hardware können.

 

[patrick227]

Ich konnte teilweise am PC keine Webseiten öffnen. Die Prozessorauslastung war ansonsten gering. Ich hatte auch ein weiteres seltsames Problem, manchmal konnte ich auf Ordner des gemounteten Volumens nicht zugreifen. Das war mir dann alles zu heikel.

 

[Galileo]

Ok, interessant. Bis jetzt komme ich zurecht, sind aber noch keine Langzeiterfajrungen.

Dass man aktuelle Backups haben sollte ist mir klar, da bin ich gewarnt.

 

[Tommes]

Wenn man das Ganze wirklich mittels ecryptfs-wrap-passphrase ans Rennen bekommt (hab das nicht getestet, werde es aber am WE wohl mal versuchen) dann sollte sich Synology wirklich mal ein paar Gedanken machen. Zum jetzigen Zeitpunkt kann und will ich mir nicht vorstellen, das es so einfach ist, die Verschlüsselung auszuhebeln. Das wäre ja ein Bug, der seines Gleichens sucht.

Aber wie gesagt, ich werde das am WE noch weiterverfolgen. Vielleicht kann das aber jemand mit mehr Linux-Kenntnissen als ich auch mal testen.

Oder hast du, Merthos, das schon mal geschafft? Wenn ja stellt sich noch die Frage ob das Ganze mit DSM 4.3 / 5.0 auch noch so einfach ist, oder es nur bis 4.2 so ist (was ja schon schlimm genug wäre)

Tommes

 

[Merthos]

Ich weiß nicht, was ihr erwartet... Wenn man einen Auto-Mount haben will, dann muss das Passwort (der Schlüssel) irgendwo auf der Platte liegen. Und selbst wenn das auch wieder verschlüsselt ist, müssen die dafür notwendigen Schlüssel auch irgendwo auf der Platte sein.
Von daher gilt grundsätzlich: Bei physischem Zugriff oder bei root-Access ist die Verschlüsselung für den Popo.

Das einzige ist das Nicht-Löschen der Dateien (in 4.2) nach dem Aushängen wenn man kein Auto an hat. Wenn das auch in der 5.0 noch so ist, dann wäre das mMn einen Bug wert.

Wenn Du es rauskriegen willst: Ersetze die ganzen ecrypt/mount/...-Binaries durch Wrapper-Skripte und logge damit deren Ein- und Ausgaben. Wenn Du dann ein paar Ordner anlegst / ein- / aushängst, sollte man schnell sehen, was genau passiert.

 

[Tommes]

Also nur, das wir hier nicht aneinander vorbei reden.

• Wir reden hier jetzt "nur" von Auto-Mount Ordner wobei das Key-File, wie bei dir unter 4.2 auf der DS abgelegt wird bzw. unter 4.3 / 5.0 das Passwort unter /usr/syno/etc/.encrypt/[als Ordnername ohne Dateiendung], oder wo auch immer, auf der DS gespeichert ist.
  
• Wir reden aber nicht von "manuell" eingebunden Ordnern. Wobei selbst hier, eine Datei unter /usr/syno/etc/.encrypt/[als Ordnername ohne Dateiendung] angelegt wird (4.3 / 5.0)

Bei ersteren bin ich ganz bei dir. Schließlich muß das System ja das Passwort kennen um den Ordner "automatisch" einbinden zu können. Logischerweise geht das nur, wenn das Passwort irgendwo im System gespeichert ist, in welcher Form auch immer. Wie man letztenendes da dran kommt, ist jetzt erstmal nebensächlich.

Beim zweiten Punkt kann ich mir jedoch nicht vorstellen, das in der o.a. Datei, oder wo auch immer auf der DS mein Passwort abgelegt wird. Ergo ist diese Art der Verschlüsselung als sicher zu betrachten. Siehst du das genauso?


Danke auch, das du mir den Weg beschrieben hast, wie ich das Ganze prüfen/testen könnte. Aber ich bin ehrlich... ich glaub nicht, das ich da auf aussagekräftige Ergebnisse kommen würde, geschweige denn es überhaupt schaffe, deinen Weg umzusetzen. Als "Anwender mit gefährlichen Halbwissen" ist das glaub ich nicht ganz meine Waffengattung. Da räume ich lieber das Feld für Leute, die da mehr Ahnung von haben.

Mir ist nur wichtig zu versehen, ob es überhaupt Sinn macht und vor allem sicher ist, die DSM-Verschlüsselung zu nutzen oder nicht. Und wenn die "automatische" Einbindung nicht sicher ist, ob es denn wenigstens die "manuelle" ist.

Weil, wenn weder das Eine noch das Andere sicher ist, dann läuft hier doch irgendwas falsch!

Tommes