Verschlüsselung Perfomance & Einhängen

[itsmeJAY]

Hallo Community,

ich befasse mich derzeit mit dem Thema Verschlüsselung von gemeinsamen Ordnern. Ich kenne mich mit Verschlüsselung nicht ganz so gut aus. Ich habe somit folgende Fragen und hoffe, jemand kann mir weiterhelfen.

1) Ich lese zum Thema "Verschlüsselung Synology" häufig etwas von "Ordner trennen" und "Ordner einhängen". Was genau ist damit gemeint? Wie steht dies mit der Verschlüsselung im Verhältnis?

2) Wann genau erfolgt die Verschlüsselung? Kann ich den Ordner ganz normal als Netzlaufwerk verbinden und darin arbeiten (alle Dateien sehen, ablegen, etc) oder gibt es da Differenzen? ggf. soll in einem verschlüsselten Ordner auch per Software gearbeitet werden um automatisiert Daten einzulesen, abzulegen, etc. Die Software greift dann in Form von \\Diskstation\Ordner auf den jeweiligen verschlüsselten Ordner zu.

3) Ich schätze Verschlüsselung kostet nicht gerade wenig CPU, somit die Frage: Ich habe derzeit nur eine DS220j - ist damit trotzdem Verschlüsselung möglich bzw. zu empfehlen (zwecks Perfomance)?

Was möchte ich mit der Verschlüsselung erreichen? Grundlegend und eigentlich geht es mir nur darum, dass bei Diebstahl der NAS/DiskStation die Daten für den Einbrecher nicht wiederherstellbar sind.

Ich würde mich auf Antworten freuen!

Beste Grüße,
JAY

 

[the other]

Moinsen,
dein Ziel (Schutz deiner Daten) ist gut und Verschlüsselung bietet die Lösung.

1) du sitzt am PC und möchtest auf Daten in deinem verschlüsselten Ordner zugreifen, du bindest in als Netzlaufwerk ein, es wird nach dem passenden Schlüssel gefragt (manche Methoden wollen ein Passwort, andere ein Zertifikat, wieder andere beides, ein Zertifikat kann u.U. zusätzlich mit einer geheimen Passphrase gesichert werden > ssh Publickey-Authentifizierung). Möchtest du das automatisiert, bietet sich eigentlich nur eine zertifikatsbasierte Entschlüsselung ohne Passphrase an. Nach getaner Arbeit am Ordner und kruz vor der Kaffeepause, hänst du den eingebundenen Ordner wieder aus, denn sonst hätte in der Zwischenzeit ja jeder Zugriff auf die Daten von dem Client aus...ist dein Kaffee ausgetrunken und du kommst zum PC zurück, hängst du den Ordner erneut ein (unter Nutzung des Entschlüsselungsmechanismus)

2) du kannst gemeinsame Ordner beim Erstellen verschlüsseln oder auch nachträglich...das zukünftige Entschlüsseln passiert dann beim Zugriff auf den Ordner

3) tja, das musst du vermutlich mal probieren, kommt ja auch drauf an, was sonst so parallel läuft. Nur wegen der AES Verschlüsselung sollte dein NAS eigentlich nicht ins Schwitzen kommen (anders bei ollen Chips ohne unterstütze Verschlüsselungstechnik und mit zB laufendem VPN, da wird ja permanent gerechnet, beim reinen Auf und Abschließen ist ja idR ne Pause...

die hier kennste sicherlich...(?)
https://www.synology.com/de-de/know..._decrypt_shared_folders_on_my_Synology_NAS#t5

 

[itsmeJAY]

Danke für die Antwort.

Ja, die Doku kenne ich bereits.

1) du sitzt am PC und möchtest auf Daten in deinem verschlüsselten Ordner zugreifen, du bindest in als Netzlaufwerk ein, es wird nach dem passenden Schlüssel gefragt (manche Methoden wollen ein Passwort, andere ein Zertifikat, wieder andere beides, ein Zertifikat kann u.U. zusätzlich mit einer geheimen Passphrase gesichert werden > ssh Publickey-Authentifizierung). Möchtest du das automatisiert, bietet sich eigentlich nur eine zertifikatsbasierte Entschlüsselung ohne Passphrase an. Nach getaner Arbeit am Ordner und kruz vor der Kaffeepause, hänst du den eingebundenen Ordner wieder aus, denn sonst hätte in der Zwischenzeit ja jeder Zugriff auf die Daten von dem Client aus...ist dein Kaffee ausgetrunken und du kommst zum PC zurück, hängst du den Ordner erneut ein (unter Nutzung des Entschlüsselungsmechanismus)

Bedeutet dies also: folgendes?: Ich verbinde meinen Computer mit einem freigegeben Ordner auf der DS (NAS) und werde erst einmal nach Benutzername + Passwort gefragt (für den NAS-Login) - so wie jetzt auch (unverschlüsselt). Anschließend muss ich noch den Schlüssel angeben, um die Daten zu entschlüsseln? Würde Benutzer + Passwort nicht reichen und die NAS entschlüsselt bzw. verschlüsselt alles im Hintergrund?

Gleiche Frage gilt für folgende Ausgangssituation: Ich habe in der File Station einen Ordner verschlüsselt (über die Oberfläche der NAS) und habe in dem verschlüsselten Ordner Dateien abgelegt. Öffne ich den Ordner nun über die Oberfläche der DS, bekomme ich die Dateien dann normal angezeigt oder muss ich den Schlüssel vorher auch immer eingeben?

Das wäre ja nicht sehr benutzerfreundlich.. Ich stelle mir das in der Realität vor: Ich greife auf das Netzlaufwerk zu oder über die Oberfläche der Diskstation und werde immer nach einem Entschlüsselungs-Key gefragt, welcher ggf. 64+ Zeichen lang ist mit Groß & Kleinbuchstaben, Zahlen und/oder Sonderzeichen. Dies könnte bspw. das Verschlüsselungspasswort sein:

y7EuYSQ$QvbEKNG^?R3shA88hH$_u+t9nHPbVhNpj@EGxyPsQzw+3_Y3Xtnb_6YB

Dies einzugeben, würde ewig dauern.


Grüße

 

[the other]

Moinsen,
wenn du einen gesamten übergeordneten Ordner verschlüsselst dann sollte das so sein, ja.
Unterscheide: mit User+PW wähslt du dich auf dem NAS ein, deine Berechtigungen werden geprüft und dir nur das generell zur Verfügung gestellt, was du darfst. Unter all den erlaubten Ordnern ist dann zB einer, der extra verschlüsselt ist. Klar musst du den dann extra entschlüsseln. Ist wie: mein Tresor ist im abgeschlossenen Keller mit Wächter...der muss mich erkenn, ich sage ihm Sesam öffne dich, der Keller wird geöffnet und ich darf rein. Heißt aber nicht, dass der Tresor dann automatisch aufgeht.
Sicherheit ist im IT Bereich leider selten "benutzerfreundlich"...das ist eine ewige Diskussion zwischen Anwenderfreundlichkeit und Sicherheit. Manches kann automatisiert werden, vieles ist aber eben dann nicht mit so hohem "FlutschFaktor" versehen sondern erfodert extra Aufwand (2fa, PublickeyVerfahren, verschlüsselte Ordner und Laufwerke...). Was und in welchem Ausmass es für deinen individuellen Fall sein soll, kannst letztendlich nur du selber entscheiden (hoffentlich auf einer guten Wissensgrundlage bauend).

 

[Wollfuchs]

ganz schoen kompliziert .. ich weiss nicht ob ich es mir zu einfach mache oder es dann einfach falshc verwende.

ich habe einfach 2 order (gemeinsam genutze ordner) verschluesselt.

fahre ich die DS runter und wieder hoch (so wie gestern beim einbau vom ram),
melde ich mich an der DS an, gehe in die systemeinstellunge zu den ordnern, die
zu dem zeitpunkt nirgends sichtbar sind von windows aus und haenge sie wieder
ein (rechte maustaste -> verschluesselung > anhaengen).

nun ist das schlossymbol offen und ich kann in windows wieder auf diese shares
zugreifen. das ist simpel und fuer mich absolut ausreichend.

klaut nun einer die DS (wozu auch immer), dann hat er ne DS mit 2 platten auf denen die
wichtigen shares unbrauchbar sind ... es geht mir dabei nur um "daten sind fuer fremde
nicht lesbar", mehr nicht.

 

[itsmeJAY]

Das klingt schon interessanter. Danke für dein Feedback. Genau dein "Ziel" habe ich auch vor. Es geht mir lediglich darum, dass Fremde bei Diebstahl keinen Zugriff auf die Daten haben.

Eins verstehe ich aber noch nicht so gaaanz in deinem Fall @Wollfuchs:

1) Wofür genau muss man die Verschlüsselungen "Anhängen" über die DS-Oberfläche? Wieso kann man nicht direkt per Netzlaufwerk drauf zugreifen? Mir erschließt sich der Sinn des "Anhängens" noch nicht richtig..
2) Wofür und wann wird das "Verschlüsselungspasswort" verwendet, welches man beim Verschlüsseln angibt? In deinem Fall gar nicht?

Grüße

 

[Wollfuchs]

wenn ich die DS hochfahre, sehe ich die verschluesselten, gemeinsamen ordner NUR in der systemsteuerung. nicht in der filestation und nicht auf windows oder mac.
dann muss ich den verschluesselten ordner anhaengen (rechte maustaste-> verschluesselung -> anhaengen). Hier wird dann dann natuerlich der schluessel abgefragt. in meinem fall einfach das vergebene passwort. dann erscheinen die ordner normal in der filestation und koennen wieder in windows und co genutzt werden.

auch dienste, wie das (frueher genutzte drive backup) melden einen fehler, wenn der zielordner nicht angehaengt ist, weil er ja nicht sichtbar ist.

am einfachsten testest du es, in dem du einen neuen shared folder erstellst und den verschluesselst.
es wird angeboten einen schluesselspeicher zu verwenden, musst du aber nicht. geht auch alles ohne und beim testen ist es einfacher ohne.

dann den ordner trennen, versuchen ihn zu mounten .. wird nicht geunden, dann mounten, er wird gefunden, und so weiter.

leerer, neuer ordner geht schnell und nix ist verloren wenn du es (wie auch immer) versemmelst.
einen bestehenden ordner zu encrypten geht auch, dauert aber je nach DS ewig und drei tage .. frag nicht, was auf der DS218j bei 1TB Shared an Wartezeit besteht ... die Pest.

 

[the other]

Moinsen,
beschreibt ja praktisch die theoretische Erklärung von oben...Anmelden PLUS Eingabe/Bekanntmachung des Schlüssels...

 

[itsmeJAY]

Ich habe jetzt mal ein wenig getestet, scheint alles logisch und selbsterklärend zu sein (zumindest mit eurer Hilfe).

Der Schlüssel-Manager ist ja dafür da, um die Ordner entsprechend nach Hochfahren des Systems "automatisch anzuhängen". Was passiert eigentlich wenn ich im Schlüsselmanager für einen Schlüssel "Rechnerschlüssel" gewählt habe und irgendwann packe ich die jetzigen Festplatten in eine neue NAS? Kriege ich die Daten dann entschlüsselt?

Ich frage, weil in der Doku steht:

Rechnerschlüssel: Schlüssel, die mit einem Rechnerschlüssel verschlüsselt werden, können nur durch das zugehörige Synology NAS entschlüsselt werden.

Das ließt sich so für mich, als wenn der Ordner nur durch diese eine NAS entschlüsselt werden kann.

Grüße

 

[Jagnix]

Der Schlüssel-Manager ist ja dafür da, um die Ordner entsprechend nach Hochfahren des Systems "automatisch anzuhängen".

Sorry aber dann braucht man keine Verschlüsselung.

 

[itsmeJAY]

Sorry aber dann braucht man keine Verschlüsselung.

Den Kommentar versteh ich nicht, dann erkläre mir bitte folgendes:

1) Wenn mir jemand die NAS entwendet, wie soll er an die verschlüsselten Daten im Ordner "ABC" kommen nur weil der Ordner bei Start direkt "angehangen" wird? Mich würde echt interessieren, wie derjenige dies anstellen soll.
2) Wieso wird die Option angeboten, wenn man dann auch auf Verschlüsselung verzichten kann?

 

[the other]

Moinsen,
na, jetzt denk doch mal kurz selber darüber nach...

 

[itsmeJAY]

Sorry das ich nicht die Erfahrung habe, die ihr bereits sammeln konntet, aber wenn ich so drüber nachdenke:

Wenn die NAS jemand entwendet und diese hoch fährt, hat er immer noch keinen Zugriff auf die Oberfläche (da er weder Benutzernamen noch Passwörter kennt). Genauso wenig kann er über Windows auf die Ordner zugreifen, weil er keine Benutzernamen kennt.

Oder wird der Ordner beim "Einhängen" entschlüsselt und steht über die Festplatte komplett entschlüsselt bereit? Wie gesagt, das "Einhängen" erschließt sich mir derzeit noch nicht logisch.

 

[Jagnix]

Oder wird der Ordner beim "Einhängen" entschlüsselt und steht über die Festplatte komplett entschlüsselt bereit?

Der Kandidat hat 100 Punkte

 

[the other]

Moinsen,
naja, du gehst ja davon aus, dass es als Schutz nicht reicht, deine Daten nur mit Benutzer/Passwort Anmeldung zu schützen. Als zusätzliche Sicherheitsebene daher die extra Verschlüsselung. Wenn du nun aber danach fragst, ob die "Entschlüsselung" beim Starten automatisch erfolgt, dann hebelst du diese 2. gewünschte Ebene sofort wieder aus...davon ab: werden die Platten ausgebaut und an einen PC gesteckt, dann ist es mit dem verschlüsselten Ordner abgesichert. Nicht ganz sauber ist es sowieso, den Schlüssel auf dem gleichen Gerät abzulegen statt diesen auf einem USB STick zu verwahren (aber da beisst sich eben erneut Sicherheit vs Usability)

 

[the other]

Moinsen,
@jay: niemals nie für fehlende Erfahrung entschuldigen. Kannste ja meist a) nix für und b) gilt das erstmal für alle hier: angefangen haben alle mal. Selber kurz nachdenken und die erfahrenen Informationen verinnerlichen schadet aber auch nie und hilft und beschleunigt den Lernprozess, du erfährst eben selber was...

 

[itsmeJAY]

Hi, danke für die Antwort.

davon ab: werden die Platten ausgebaut und an einen PC gesteckt, dann ist es mit dem verschlüsselten Ordner abgesichert. Nicht ganz sauber ist es sowieso, den Schlüssel auf dem gleichen Gerät abzulegen statt diesen auf einem USB STick zu verwahren (aber da beisst sich eben erneut Sicherheit vs Usability)

Das ich den Schlüssel nicht auf dem gleichen Gerät ablege, ist logisch. Der vorherige Absatz würde doch aber dann bedeuten, dass es durchaus Sinn machen kann, beim Start die verschlüsselten Ordner "einzuhängen". Denn (bitte korrigiere mich, wenn ich falsch liege): Wenn jemand die NAS klaut und die Platten direkt an den PC steckt, ist der Ordner verschlüsselt. Das wäre nicht der Fall, wäre der Ordner nicht verschlüsselt. Startet er die NAS, hat er immerhin keinen Zugang zu Benutzername + Passwort. Somit kann er mit den Daten nichts anfangen - korrekt?

Er würde nur was mit den Daten anfangen können wenn entweder

a) der Ordner nicht verschlüsselt wäre (durch anstecken an den Computer)
b) er Zugang zu Benutzername + Passwort der NAS hätte

 

[Jagnix]

angefangen haben alle mal

So ist es.

Wenn die NAS jemand entwendet und diese hoch fährt, hat er immer noch keinen Zugriff auf die Oberfläche (da er weder Benutzernamen noch Passwörter kennt).

Man kann über einen 4sec. Reset das Passwort zurücksetzten. Ergo kommt man über diesen Umweg an die Daten. Und eine Option die Resettaste zu sperren hab ich nicht entdeckt in DSM.

 

[the other]

Moinsen,
theoretisch ja...praktisch überlasse ich die Antwort da mal anderen. Gefährliches Halbwissen meinerseits diesbezüglich.

ps @ wadenbeißer: super Argument. Gar nicht drangedacht...

 

[itsmeJAY]

An die Resettaste habe ich gar nicht gedacht..

Naja, aber ständig die Ordner einzuhängen ist zu viel Aufwand da einige Nutzer NUR über Windows arbeiten werden und dies somit nicht können... Shit.. Wird wohl nichts mit Verschlüsselung..