Verschlüsselter gemeinsamer Ordner über Windows anhängen

[patrick227]

Ich versuche jetzt einen anderen Weg, jede einzelne Datei in ein eigenes 7z(zip) Archiv zu komprimieren und verschlüsseln, die Verzeichnisstruktur wird beibehalten. Hier gibt es ein Skript:
http://www.sepago.de/d/marcel/2010/12/23/backup-to-microsoft-skydrive-ae-but-encrypted

Das Problem dabei ist, dass der Dateiname sichtbar ist, man kann den auch verschlüsseln wie es dieses Programm macht:
http://stefanstools.sourceforge.net/CryptSync.html

Der Vorteil von Beiden Scripts:
-nur Änderungen werden nachgetragen
-geeignet für viele Dateien
-der Schlüssel liegt nicht auf dem NAS
-Kompression spart Speicherplatz, kann man aber auch ausschalten wenn jemand den Prozessor nicht belasten will

Nachteil:
-man muss etwas Programmieren können um Anpassungen vorzunehmen, wenigstens beim Script
-ggf ist die Verzeichnisstruktur ersichtlich, was mich aber nicht stört

Kennt jemand Programme die ähnlich arbeiten?

 

[Merthos]

duplicati

 

[Tommes]

Morgen Merthos.

Mich würde schon deine Meinung interessieren, ob du die DSM-Verschlüsselung generell für "unsicher" bzw. zu leicht "aushebelbar" hältst, oder ob du zwischen dem automatischen und manuellen Einbinden einen Unterschied machst. Letzteres würde ich nämlich aus dem Bauch heraus erstmal als sicher erachten und würde es so auch gerne verwenden.

Tommes

 

[Galileo]

Sicherheit ist relativ zum Angriffsszenario zu sehen.

Truecrypt und Drivecrypt sind nicht umsonst Open Source, so dass es immer genug Leute gibt, die sich die Mühe geben die Sicherheit zu überprüfen, und so werden Sicherheitslücken dort auch immer gefunden und beseitigt. Das ist bei DSM eben nicht so, da mußt du vertrauen dass der Entwickler bei der Sicherheit keinen Fehler macht.

Auch absichtliche Backdoors für wen auch immer kann man nur bei Open Source Produkten ausschließen. Nachdem man heute weiß dass selbst namhafte Produkte wie Cisco, Dell, Hewlett-Packard, Juniper, ANT, Huawei Backdoors enthalten, bei vielen anderen ist es nur nicht bewiesen, weiß ich nicht warum man Synology trauen sollte.

Und selbst wenn der heutige DSM insoweit ok sein sollte, gibt es bei jedem Update die Möglichkeit dass sich das ändert. Heute würde Lenin vermutlich nicht mehr sagen: "Vertrauen ist gut", heute gilt "nur noch Kontrolle ist gut", und die ist eben nur bei Open Source gegeben.

Aber gehen wir einmal davon aus dass es dir egal ist ob NSA und MI6 im Verborgenen bei dir mitlesen können, denn die teilen ihre Erkenntnisse ja nicht unbedingt den Leuten mit vor denen du die Daten verbergen mußt.

Da ist zum einen das Problem dass der Schlüssel beim Anhängen ja vom Client zur DS übertragen werden muss. Wenn du sicher gehen willst dass ihn da keiner mitliest, dann darfst du dabei nur sichere Verbindungen benutzen. Das selbe gilt dann für die Übertragung der Daten selber zum Client. Bei TC brauche ich nicht auf sichere Verbindungen zu achten, denn der Schlüssel wird garnicht übertragen und die Daten nur verschlüsselt.

Und schließlich gibt es noch die Frage inwieweit deine DS im eingeschalteten Zustand mit angehängtem Ordner entweder übers Netz angezapft werden oder komplett in fremde Hände fallen kann. Wenn ein Angreifer verhindert dass du abschaltest ist der Ordner angehängt und offen, dafür kommt wohl ein Einbrecher weniger in Frage, aber falls du damit rechnen mußt dass dich eine Behörde überfällt könnten die evtl. clever genug sein ein Ausschalten deines Servers zu verhindern.

Wie gesagt: Sicherheit ist weitgehend relativ, es kommt darauf an vor wem du dich schützen willst.

 

[Merthos]

Ich hab nur mal kurz mit strace geschaut, anscheinend wird beim manuellen Einbinden in der Datei ein Hash abgelegt, der dann später für den Passwortvergleich genutzt wird. Von daher sehe ich auf den ersten Blick keine offensichtliche Lücke, allerdings bin ich auch kein Krypto-Experte und wie der Hash (wenn es einer ist) erzeugt wird, ist in der komprimierten cgi "versteckt".

Ich bleibe aber bei meiner Aussage: Wenn jemand physikalischen oder remote root-Zugriff hat (insb. unerkannt), hat man verloren. Ich brauch nur ein Trace einfügen und schon hab ich alle Passwörter.

Ansonsten gilt generell, wenn jemand ein Verschlüsselungsverfahren nicht offenlegt (und mir ist nix diesbezügliches von Synology bekannt und ich sehe persönlich absolut keinen Grund, diese Datei anzulegen), dann sollte man das mit Vorsicht behandeln.

 

[Tommes]

Danke für eure Ausführungen, Merthos und Galileo!

Ich weiß nicht ob derjenige, der meine DS evtl. mal klauen sollte weiß, wie er mit der DS-Verschlüsselung umzugehen hat bzw. ob er sich wirklich die Mühe macht, diese auszuhebeln (wenn es denn so einfach ist). Auch wird er da wohl nicht all zu viel interessantes finden, was man nicht auch auf anderen Wegen rausfinden könnte (private Daten halt), aber ok...

Nichts desto trotz nehme ich eure Ausführungen schon ernst und werde nochmal eine Nacht drüber schlafen. Dann werd ich schau'n ob ich meine Strategie ändere, oder mit dem für mich geringfügigen Risiko, das meine Daten evtl. doch mal entschlüsselt werden, leben kann.

Auf jeden Fall regen eure Worte zum Nach- bzw. Umdenken an. Bisher bin ich eigentlich immer ganz gut ohne Verschlüsselung zurecht gekommen, von daher muß ich mir zu diesem Thema wohl noch einiges aneignen.

Tommes

 

[Creadle]

Um auf die allererste Frage zurückzukommen, man kann auch per Telnet /SSH einen verschlüsselten Ordner mounten (Unter anderen muss ich das tun, da mein Passwort 514 Zeichen ist, die neue Weboberfläche nur neuerdings 64 zulässt -.-

/usr/syno/sbin/synoshare --enc_mount Privat hierdasPasswort

Was mich intersiert, bin ich blind, oder finde ich die Option zum Entschlüsseln nicht mehr?

 

[Freakhouse]

Wenn ich mich mit Putty zur Diskstation verbinde und obigen Code verwende, muss ich doch "Privat" durch den einzuhängenden Ordner ersetzen und "hierdasPasswort" durch das Verschlüsselungs-Passwort? Bei mir meldet er ein falsches Passwort. Ich verwende ein Passwort mit einem Leerzeichen. Liegt das vielleicht daran. Falls ja, was kann ich tun? Ich habe auch schon versucht, das Passwort so "hier das Passwort" oder so 'hier das Passwort'. Aber beides klappt nicht.

 

[Creadle]

mhh, habe habe mein Passwort in groß klein und Zahlen, habe mit Sonderzeichen extrem schlechte Erfahrung mit Synology gemacht.

Du hast natürlich recht das "Privat" mit den Namen deines Ordners übereinstimmen muss

das mit Leerzeichen ist etwas kritisch, normalerweise hätte ich auch " " getippt, aber wenn das auch nicht geht, weiß ich nicht weiter