DSM 7.2 Verschlüsselung von einem Volume / freizügiger Schlüsseltresor

[peterhoffmann]

Hallo,

hat jemand schon Erfahrungen mit dem Verschlüsseln von ganzen Volumes gemacht?

Beim Anwählen der Verschlüsselung vom Volume muss man zwingend den "Schlüsseltresor" auswählen.
Der Schlüsseltresor lässt sich nach dem Verschlüsseln vom Volume auch nicht mehr deaktivieren.

Beim Neustart ist das Volume sofort wieder eingehängt, sprich das System bedient sich beim freizügigen Schlüsseltresor. Das vergebene Passwort wird nirgends abgefragt.

Wo soll da ein Schutz sein, wenn das System den Schlüssel hat, man ihm den Schlüssel auch nicht wegnehmen kann und bei jedem Neustart das Volume sofort eingehängt wird?

 

[Kaktus1911]

Wurde hier schon ein wenig diskutiert:

https://www.synology-forum.de/threads/fragen-zu-verschluesselten-volumes.126301/

Momentan find ich das auch eine wenig befriedigende Lösung - weil so zu unsicher und mit KMIP Sever halt ein wenig komplizierter.
Da wäre ein TPM Chip wie bei Bitlocker eine bessere Lösung.

 

[peterhoffmann]

Wenn man ein verschlüsseltes Volume anlegt, werden die Dateien mit dem Key (mit Salt) hier angelegt:

/usr/syno/etc/encvol/.../

Die Dateien dort sind:

/usr/syno/etc/encvol/.../autounlock.wkey
/usr/syno/etc/encvol/.../serial_record       (enthält die SN vom NAS)
/usr/syno/etc/encvol/.../vault_passwd.info
/usr/syno/etc/encvol/.../key_vault/xyz.wkey
/usr/syno/etc/encvol/.../key_vault/xyz_vp.wkey

Dreist wie ich war, habe ich die Dateien mit *.wkey gelöscht und das NAS neugestartet.
Ergebnis war ein wildes Piepen vom NAS und nach dem Einloggen der Hinweis, dass der Zustand vom Volume kritisch ist.
Dann hat man im Speichermanager zwei Möglichkeiten:

• Eingabe vom Passwort, Volume wird gemountet, wobei dann der "Schlüsseltresor" zwingend repariert wird
  oder
• Oder *.rkey-Datei hochladen, Volume wird gemountet, wobei dann der Schlüsseltresor nicht repariert wird, aber beim nächsten Neustart es wieder mit dem nicht gemounteten Volume endet

Fazit (für mich):
Ich werde auf die Volumenverschlüsselung verzichten und es wie die ganzen Jahre auch mit der Ordnerverschlüsselung machen.

 

[Kaktus1911]

Du angeblich ist die Ordnerverschlüsselungen genauso löchrig wie die Volumeverschlüsselung - ich kenn mich da zu wenig aus aber da war was mit es wird immer der selbe Seed zum generieren des PW genutzt und damit ist das alles leicht errechenbar - siehe anderer Thread .

 

[peterhoffmann]

Bei der Ordnerverschlüsselung nutze ich nicht das (unsichere) System mit "Tresor" (Schlüsselmanager) im DSM, sondern die Entschlüsselung beim Neustart geschieht über ein Script, welches sich das Passwort bzw. einzelne Teile extern zusammensucht und zusammensetzt.

Da gibt es auch einen älteren Thread hier irgendwo im Forum, wo ich das beschrieben habe.

 

[ctrlaltdelete]

https://www.synology-forum.de/threa...keyfile-key-entschluesseln.48569/post-1060287

 

[peterhoffmann]

Link von @ctrlaltdelete
und z.B. hier => https://www.synology-forum.de/threa...-das-thema-schluessel-sinnvoll-loesen.112303/

 

[Kaktus1911]

Ah - spannend - danke euch für den Input.

Damit gelten aber noch die selben Beschränkungen für verschlüsselte Ordner für zb. Zeichenanzahl - oder ist das damit auch gefixt?

 

[Synchrotron]

Interessante Diskussion - der ich aus Gründen eher akademisch folge. Liegt an meiner Motivation:

Volumeverschlüsselung, damit die Daten nach dem Ausfall eines Laufwerks sicher sind und ohne weiteren Aufwand entsorgt werden kann.

Ordnerverschlüsselung, soweit Daten zum Beispiel aus meiner freiberuflichen Tätigkeit geschützt werden müssen.

Ein großer Teil des Datenbestands sind TimeMachine Backups - die verschlüssele ich an der Quelle.

Für weitergehende Maßnahmen sehe ich keinen Grund. Für einen Proof of Concept fehlt mir der Ehrgeiz.

Wer eine Volumenverschlüsselung bei einer bestehenden Installation neu aufsetzen will, sollte es als Chance sehen: Ab und an ein Backup-Restore hält frisch und beweglich