Verschlüsselung / automatisch anhängen

[houdap]

Moin meine Lieben

mal ne blöde Frage:
Wenn ich einen gemeinsamen verschlüsselten Ordner erstelle, gebe ich einen Schlüssel ein und soll (auf Empfehlung der Synology Webseite) den Punkt automatisch anhängen anklicken, damit nach einem Systemstart der Ordner entschlüsselt wird.

Wo ist da denn nun die Sicherheit? oder Habe ich einen Denkfehler?
Vielen Dank.

Gruß

houdap

 

[Tommes]

Wo ist da denn nun die Sicherheit?

Und genau hier beißt sich die Katze in den Schwanz. Natürlich wird das Passwort nicht im "Klartext" auf der DS abgelegt, sondern als HASH-Wert, was ja erstmal ok zu sein scheind. Jedoch weiß ich durch hörensagen das man diesen HASH-Wert auch ausfindig und gefügig machen kann und dieser dann alles petzt. Ich selber weiß zwar nicht wie das gehen soll, aber das heißt ja nichts.

Von daher würde ich das Passwort nicht auf der DS ablegen wollen sondern den etwas umständlicheren Weg des "manuellen einhängens" wählen. Was du aber auf jeden Fall tun solltest, ist das Key-File extern irgendwo gut versteckt aufzubewahren.

Tommes

 

[houdap]

hi Tommes,

vielen Dank für deine Antwort. Das mit dem manuellen Anhängen is verständlich.

Wenn ich jedoch das automatische Anhängen aktiviere, meine DS geklaut wird, kommt der Dieb an meine Daten oder nicht? bei aktivierter Verschlüsselung inkl. automatischem Anhängen.

gruß

 

[Tommes]

Jein!

Zum Einen muß der "Dieb" erstmal dein Administratorpasswort kennen um sich überhaupt an der DS anzumelden um somit an den verschlüsselten Ordner dran zu kommen. Da er das aber in der Regel nicht hat sind deine verschlüsselten Daten "erstmal" sicher. Die nächste Frage wäre, wie gut dein "Dieb" auch im Hacken ist, das dürften wohl die wenigsten sein. Gehen wir also davon aus, das er nicht so ein schlaues Kerlchen ist, wird er wohl den Resetknopf an der DS betätigen, schließlich will er ja weiter kommen. Sobald er das aber tut, wird der Passwort-HASH-Wert deines verschlüsselten Ordners von der DS gelöscht und du kannst in nur "manuell" nach Eingabe des Passwortes oder mittels dem Key-File wieder öffnen.

Sollte dein "Dieb" aber doch fit im Hacken sein, so wird er versuchen root-Rechte auf deiner DS zu erhalten und ggfl. nach dem HASH-Wert deines Passwortes suchen und versuchen es zu knacken. Oder er baut einfach die Festplatten aus und bearbeitet sie in anderen Linuxsystemen.

Soweit die Theorie. Wie das alles genau mit dem HASH-Wert funktioniert, kann ich dir nicht sagen. Auch nicht, wie groß die Warscheinlichkeit ist das jemand so an das Passwort kommt. Aber es ist "theoretisch" möglich und daher würde ich, grade bei sensiblen Daten das Passwort eben nicht auf der DS spreichern bzw. nicht automatisch einhängen.

Tommes

 

[goetz]

Hallo,
die Aussagen

Sobald er das aber tut, wird der Passwort-HASH-Wert deines verschlüsselten Ordners von der DS gelöscht

und

root-Rechte auf deiner DS zu erhalten und ggfl. nach dem HASH-Wert deines Passwortes suchen

passen aber nicht zusammen. Ist irgendwo belegt, daß der Hash gelöscht wird? Das Tutorial zum einfachen Reset ist auch nicht wirklich aussagekräftig.

Gruß Götz

 

[Tommes]

Ist irgendwo belegt, daß der Hash gelöscht wird? Das Tutorial zum einfachen Reset ist auch nicht wirklich aussagekräftig.

Ja. Hier... *klick*

7. Verschlüsselte Ordner entfernen und Beim Start automatisch bereitstellen deaktivieren.

... und aus eigner Erfahrung kann ich dieses Verhalten bestätigen.

Und das mit dem HASH_Wert etc. hatte ich mal in einer Disskussion hier mir Merthos und Puppetmaster... glaub ich. Ich such den Thread grade aber erfolglos...

 

[goetz]

Hallo,
heisst aber nur verschlüsselten Ordner auswerfen und nicht automatisch einhängen. Ist dann wirklich kein Rest des Hashes mehr auf der DS vorhanden?

Gruß Götz

 

[Tommes]

Tja, wenn ich das wüsste. Ich weiß ja noch nicht mal, wo dieser Hash überhaupt gespeichert wird. Aber ich mußte mich eins darüber belehren lassen... wenn ich nur diesen blöden Thread finden würde... das dieses durchaus Möglich ist... den hash-Wert zu finden und zu bearbeiten. Ob dieser nach einem Reset auch (vollständig) gelöscht wird, vermag ich aber nicht zu beantworten... würde es aber vermuten, da sonst das aushängen ja auch keinen wirklichen Sinn hätte. Dann könnte der Ordner ja auch eingehangen bleiben.

Ich suche aber weiter nach dem Thread.

Oder du klärst mich darüber auf, was wirklich dahintersteckt mit dem auslesen des hashes... und ob es mögllich ist oder nicht. Du scheinst mir da wesentlich versierter zu sein als ich.

Tommes

 

[PsychoHH]

Bei mir wird die key file über vpn von einem anderen Gerät genutzt und dann wird der Ordner entschlüsselt.



So habe ich die key Datei nicht mal in der Nähe der DS falls diese entwendet wird. Und das andere Gerät kann ich einfach ausschalten, sodass kein Zugriff auf die key Datei mehr möglich ist.

Das mit der hash Datei interessiert mich aber auch..

 

[Tommes]

Hab den Thread gefunden... *klick*

 

[PsychoHH]

Also die normale keyfile die erstellt wird kann man ganz einfach entschlüsseln. Dabei muss es noch nicht mal eine keyfile sein. Ich werde das mal mit einem Ordner testen und schauen ob es mit den hinterlegten Dateien geht.

 

[Tommes]

Falls du ein wenig Lesestoff benötigst...

Da die Verschlüsselung auf ecryptfs aufbaut und Ubuntu ene sehr gute Dokumentation darüber führt wären nachfolgende Links bestimmt interessant...

https://wiki.ubuntuusers.de/ecryptfs/

https://wiki.ubuntuusers.de/ecryptfs/Datenrettung/#Daten-einbinden

Tommes

 

[goetz]

Hallo,
also wenn das automatische einhängen deaktiviert wird ist auch das Verzeichnis /usr/syno/etc/.encrypt danach leer (getestet nur über DSM nicht per Reset).

Gruß Götz

 

[Tommes]

Dann würde ich mal vermuten, das bei einem Reset am Gehäue das gleiche passiert. Aber vermuten ist ja bekanntlich nicht Wissen...

 

[PsychoHH]

Falls du ein wenig Lesestoff benötigst...


Tommes

Lasse ja schon ein wenig länger die .key per Script "auslesen" und dann mounten.
Das klappt auch 1a.
Somit kann man auch problemlos das PW von der .keyfile in Klartext ausgeben, sollte man es mal vergessen haben.

Die Datei unter /usr/syno/etc/.encrypt ist aber nicht mit dem "geheimen" Synology passphrase entschlüsselbar.
Eventuell wird hier ein anderer passphrase genommen oder aber es ist echt ein hash Wert.

 

[Tommes]

Lasse ja schon ein wenig länger die .key per Script "auslesen" und dann mounten.

Oh, sorry PsychoHH... hab ich in dem moment wohl verdrängt, als ich dir die Links unterschieben wollte.

 

[WeRoBi]

Hallo Fachleute,

ich klinke mich mal hier ein, weil ich mich auch gerade mit dem Thema Verschlüsselung beschäftige und hinsichtlich des Diebstahls der ganzen DS oder nur der Platten sensibilisiert bin.

Wenn ich auf meiner 2-Bay-DS (derzeit 213+ und, wenn besser, künftig 216+) nur einen verschlüsselten Ordner auf einer der beiden Platten habe, muss der Dieb diesen doch erst einmal finden. Ich denke, wenn er Filme Bilder und Briefchen sieht, gibt er sich vielleicht schon zufrieden und sucht nicht weiter. Dann muss er das Admin-Passwort knacken oder anderweitig, wenn er nur die Platten gezockt hat, "auf die Platten drauf kommen" - oder denke ich naiv?

Über fleißige, kreative und handfeste Argumente danke ich schon einmal im Voraus!

Gruß WeRoBi


... und wenn ihr eine Aussage zur Verschlüsselungsqualität der DS216+ vs. 213+ (weil Böhmische Dörfer für mich) machen könnt, wäre ich ganz verzückt

 

[PsychoHH]

Naja das Admin Passwort kann man ganz einfach zurücksetzen.

Ob dann aber auch noch das automatische mounten eines verschlüsselten Ordner funktioniert weiß ich nicht.

 

[WeRoBi]

Ich habe eben zwei verschlüsselte Test-Ordner angelegt - einer der beiden sollte sich beim Start mounten.
Ich bin schockiert !!!

Während der ungemountete Ordner (für mich!) unsichtbar ist, war der beim Start automatisch gemountete sofort sichtbar. Soweit so gut und erwartet. Aber ich konnte ohne Eingabe des Passwortes auf den Inhalt zugreifen - das DS-Passwort reichte völlig.

Für mich ist daher fraglich, weshalb ich bei Erstellung der Ordner ein Passwort vergeben musste.

Oder liegt es daran, dass ich Admin bin?

 

[Tommes]

Ich bin schockiert !!!

...war der beim Start automatisch gemountete sofort sichtbar. Soweit so gut und erwartet. Aber ich konnte ohne Eingabe des Passwortes auf den Inhalt zugreifen - das DS-Passwort reichte völlig.

Was hast du denn erwartet? Wenn ein verschlüsselter Ordner beim Start der DS automatisch eingehangen werden soll, so muß der Passwort-Schlüssel auf der DS abgelegt werden. Wie sollte der verschlüsselte Ordner auch sonst eingehangen werden können. Dieser Passwort-Schlüssel bleibt solange auf der DS gespeichert, bis man den Ordner "manuell" wieder aushängt oder man einen einfachen Reset am Gehäuse durchführt. Daher ist es schon richtig, das du diesen nicht erst durch ein Passwort öffnen musst, sondern nach Eingsbe deiner Zugangsdaten zum DSM bereits Zugriff hast.

Und bezüglich der Verschlüsselungsqualität... die Qualität ist wohl gleich da beides auf dem Verschlüsselungssystem ecryptfs aufbaut, nur die Geschwindigkeit ist eine andere, da die DS216+ ein anderes Hardware-Verschlüsselungsmodul verwendet als z.B. meine DS115 und die DS216+ somit deutlich schneller ist (oder sein müsste (ich hab es selber noch nicht ausprobieren können))

Und auf der ersten Seite dieses Threads hab ich bereits einiges geschrieben... da steht eigentlich alles drin, was deine Fragen beantworten sollten.

Tommes