Verschlüsselung Truecrypt vs NAS

[Kniffo]

Hallo,

zurzeit habe ich für sensible Daten eine externe Festplatte komplett mit Truecrypt verschlüsselt.
D.h., Wenn ich auf die Daten zugreifen möchte, mounte ich die Festplatte und habe ein Laufwerk mit den Daten.
Das klappt problemlos.
Nun ist die Festplatte voll, ich brauche eine größere und auch ein neues Gehäuse, da das alte Gehäuse die größere Platte nicht unterstützt.
Nun überlege ich, gleich auf ein NAS (DS415+) umzusteigen, da es mehr Funktionalität (und auch Dateiverschlüsselung) bietet, aber auch teurer ist und mehr Strom braucht.

Was ich allerdings noch nicht genau herausfinden konnte:
Kann ich mit dem NAS die gleiche Funktionalität bezüglich Verschlüsselung erreichen wie mit Truecrypt?
D.h. ich gebe am PC ein Passwort ein (z.B. über Netzlaufwerk verbinden) und das Laufwerk ist da?
Und wer hat noch alles Zugriff auf die Daten auf dem NAS (ein anderer User, der Admin bzw. ein Hacker über das Internet)?
Ist es wirklich so, dass man den verschlüsselten Ordner im NAS abhängen muss, wenn wirklich Niemand auf die Daten zugreifen soll?
Das wäre ja bissel umständlich. Oder kann man das vom PC über ein Script, VBA o.ä. bewerkstelligen?

Würde mich freuen wenn ihr mir mal paar Tipps geben könntet.

Danke und Gruß

 

[Frogman]

Die Verschlüsselung auf der DS erfolgt ordnerbasiert und basiert auf einem sicheren AES256-Algorithmus. Vor Zugriff auf den Inhalt muss man im DSM den Ordner einhängen und dafür ein Passwort eingeben (man kann das auch beim Systemstart automatisieren, aber dann ist das eigentlich witzlos). Der Zugriff auf SMB-Freigaben erfolgt benutzerbezogen mit dessen Kennung - unabhängig davon, ob der Ordner hinter der Freigabe unverschlüsselt oder als verschlüsselter Ordner eingehangen ist.

 

[fragnet]

Die Verschlüsselung auf der DS erfolgt ordnerbasiert und basiert auf einem sicheren AES256-Algorithmus. Vor Zugriff auf den Inhalt muss man im DSM den Ordner einhängen und dafür ein Passwort eingeben (man kann das auch beim Systemstart automatisieren, aber dann ist das eigentlich witzlos). Der Zugriff auf SMB-Freigaben erfolgt benutzerbezogen mit dessen Kennung - unabhängig davon, ob der Ordner hinter der Freigabe unverschlüsselt oder als verschlüsselter Ordner eingehangen ist.

Wieso ist ein automatisches mounten der verschlüsselten Ordnerfreigaben witzlos??

 

[rednag]

Weil der Schlüssel hierzu auf der NAS liegt, bzw. liegen muß.
Das heißt, wenn z. B. das Gerät gestohlen wird, kommt der Dieb auch an die Daten.

 

[fragnet]

Hallo,
Das wäre ja bissel umständlich. Oder kann man das vom PC über ein Script, VBA o.ä. bewerkstelligen?

Danke und Gruß

Mit diesem Befehl:
/usr/syno/sbin/synoshare --enc_mount "$share"
/usr/syno/sbin/synoshare --enc_unmount "$share"

 

[Tommes]

...das Gerät gestohlen wird, kommt der Dieb auch an die Daten.

Gesetz dem Fall, das der Dieb auch die nötigen Fähigkeiten und Kenntisse besitzt den Schlüssel bzw. den HASH-Wert zu finden und lesbar zu machen. Aber stimmt schon... wer schließt schon die Haustür ab und legt den Schlüssel unter die Fußmatte.

Tommes

 

[fragnet]

Nicht der Schlüssel wird gespeichert sondern der Hash. D.h. das Passwort wird mit dem Hashcode verglichen, aus dem Hashcode lässt sich errechnen ob das Passwort korrekt ist. Das Passwort lässt sich aus dem Hashode nicht so einfach ableiten

 

[rednag]

Aber stimmt schon... wer schließt schon die Haustür ab und legt den Schlüssel unter die Fußmatte.

Es ist Haarspalterei. Der TE hat gefragt, warum es witzlos ist.
Die Erklärung ist bereits von @Thommes geliefert worden.

 

[Tommes]

Ok, ich gebe zu das ich keine Ahnung habe, wie man aus dem HASH-Wert das Passwort extrahieren kann oder wie man anhand des HASH-Wertes einen verschlüsselten Ordner mounten kann. Aber wenn der DSM einen verschlüsselten Ordner automatisch einhängen kann, dann kann man das auch manuell irgendwie bewerktelligen. Und ich hab ja auch nicht gesagt, das es einfach ist... aber auf jeden Fall möglich!

Tommes

 

[rednag]

Ich habe auch keine Ahnung. Deswegen der bildliche Vergleich mit dem Einbrecher.
Fakt ist, daß hierzu der Schlüsses, Hash, was auch immer auf der NAS hinterlegt werden muß- Das ist per se nicht unbedingt negativ, aber warum soll ich es jemanden unnötig leicht machen. Der PIN zur EC wird ja auch nicht im Geldbeutel hinterlegt. Zumindest sollte man das nicht

 

[fragnet]

Möglich ist im Prinzip alles. Es stellt sich dann als nächstes die Frage, ob Verschlüsselung dann überhaupt Sinn macht !? Das ist Haarspalterei

 

[Tommes]

Jepp... ich glaube spätestens jetzt sollten wir das Thema für beendet ansehen.

 

[dil88]

Also - um im Bild zu bleiben - ein vernünftiges Schloss sichert eine Tür schon ganz gut ab, aber nur noch herzlich wenig, wenn man klassisch den Schlüssel unter die Fußmatte legt. Jetzt die Sicherheit der Verschlüsselung komplett infrage zu stellen, geht - zumindest mir - zu weit.

 

[Kniffo]

Der Zugriff auf SMB-Freigaben erfolgt benutzerbezogen mit dessen Kennung - unabhängig davon, ob der Ordner hinter der Freigabe unverschlüsselt oder als verschlüsselter Ordner eingehangen ist.

Das bedeutet also, dass der Ordnerinhalt, sobald der Ordner angehangen ist, unverschlüsselt einsehbar ist?
Um es mit der Truecrypt-Funktionalität zu vergleichen müsste ich vom PC aus erst den Ordner anhängen (/usr/syno/sbin/synoshare --enc_mount "$share") und dann als Netzlaufwerk verbinden (unsichtbar machen in umgekehrter Reihenfolge)?
Das wäre ja ziemlich umständlich.

 

[Tommes]

Das bedeutet also, dass der Ordnerinhalt, sobald der Ordner angehangen ist, unverschlüsselt einsehbar ist?

Sobald du deinen TrueCrypt Container einhängst sind die Daten ja auch unverschlüsselt einsehbar, richtig?

Um es mit der Truecrypt-Funktionalität zu vergleichen...

Sobald der Ordner eingehangen ist erscheint er auch in der Netzwerkumgebung bzw. ist als eingebundes Netzlaufwerk erreichbar. Du musst den Ordner halt nur über den DSM aufschließen! Tust du das über die Konsole mit dem bereits genannten Befehl ist das auch eher umständlich, lässt du das als Script laufen musst du auch einige Dinge im Vorfeld anstoßen. Willst du es automatisch per Script haben, so muß wieder irgendwo das Passwort oder das Key-File gespeichert sein. Musst du das Passwort bzw. Key-File irgendwo speichern um den Ordner zu öffenen, kommen wir wieder zum Punk "automatisches Einhängen beim Start"...

Das wäre ja ziemlich umständlich.

Zugegeben, ich finde das Einhängen verschlüsselter Ordner auch nicht gut gelöst, hätte ich hier doch gerne eine Möglichkeit über z.B. dem Synology Assistent so einen Ordner einzuhängen. Aber Sicherheit ist halt auch immer mit Arbeit verbunden.

Tommes

 

[ralfi80]

Ich will das Thema Sicherheit vs. Komfort nochmal kurz aufgreifen.

In einem anderen Thread hatte jemand behauptet dass er einen verschlüsselten Ordner über eine Remote DS eingehängt habe. Der Schlüssel sei auf einem USB Stick an der Remote DS gespeichert. Also hätte man den Komfort dass es beim Start automatisch passiert, wenn die DS aus dem Netzwerk entfernt wird dann bleibt der Ordner verschlüsselt. Ich finde so eine Lösung ziemlich "smart". Ich kann jedoch leider den entsprechenden Thread nicht mehr wiederfinden, noch hatte derjenige Einzelheiten gepostet.

Hat das jemand so oder so ähnlich bei sich gelöst? Hat jemand eine Idee wie das genau eingerichtet wird?

 

[Tommes]

Kann sein, das das PsychoHH war, der hat sich sowas nämlich auch gebastelt. Schlüssel wird per VPN von einer entfernten Fritz!Box geholt um den lokalen Ordner einzuhängen. Kannst ihm ja mal eine PN schreiben falls du mehr wissen möchtest.

Tommes

 

[jahlives]

Glaube kaum dass für die automatische Einbindung der verschlüsselten Freigabe nur der Hash gespeichert wird. Irgendwo auf der DS muss sich das Passwort befinden. Vielleicht nicht im Klartext sondern verschlüsselt z.B. mit dem Hash des Passworts

 

[Merthos]

Die Frage ist eigentlich nur, wie oft willst Du die DS ausschalten? Wenn sie die ganze Zeit durchläuft, ist die einmalige Eingabe des PWs auch kein Komfortproblem.
Wenn Du sie hingegen regelmäßig ausmachst: Ich hatte hier mal eine Variante zur Steuerung via USB-Key beschrieben, evtl. hilft das ja weiter.


Ansonsten: Es wird bei fast keinem Verschlüsselungsverfahren direkt das PW verwendet, sondern immer daraus etwas anderes berechnet (häufig Hash genannt, auch wenn es nicht immer einer ist). Von daher ja, der Hash reicht vollkommen und afaik wird auch nur dieser gespeichert.

 

[Fusion]

@Kniffo - ist die Frage was du erreichen willst. Wenn du nur die bishere Funktionalität haben willst kannst du auch einfach TC Container auf die Netzwerkfreigaben legen und wie gewohnt öffnen.
Sobald du aber eben die Daten im Container für andere Dienste auf der DS nutzen willst (Streaming, DLNA, Audio Station etc) brauchst du die auch auf der DS in unverschlüsselter Form.