Verschlüsselung

[nectixx]

Hallo Community,

ich habe bei meinem DS 224+ mit DSM 7.2.2-72806 über den Speichermanager die Verschlüsselung für beide
Disks eingerichtet. Nun ist mir aufgefallen, dass sich das System beim Neustart "einfach" am Schlüsseltresor bedient
und selbst entschlüsselt.

Nun habe ich mich gefragt wo der Sinn dahinter ist, wenn das ganze Gerät einfach mitgenommen wird?

Gibt es eine Möglichkeit, dass der Schlüssel nach einem Neustart manuell eingegeben werden muss?

Bereits vorab danke für Eure Unterstützung!

Beste Grüße

 

[metalworker]

Ich habs zwar lange nicht gemacht ,. Aber eigentlich fragt der dich doch ob er den Schlüssel speichern soll.

Der Sinn ist das du nicht einfach so die PLatte ausbauen kannst und dort auf die daten zugreifen kannst.,

 

[maxblank]

Nein, bei der Volumenverschlüsselung fragt er nicht nach.
Da ist es eine Grundvoraussetzung, dass der Schlüsseltresor aktiviert ist oder ein anderes Synology NAS als KMIP-Server dient. https://kb.synology.com/de-de/DSM/tutorial/Which_models_support_encrypted_volumes

Die Auswahl zur manuellen Entschlüsselung gibt es dann, wenn freigegebene Ordner verschlüsselt werden.

 

[Jandalman]

Ich hänge mich mal hier mit dran, da es bei mir quasi um die gleiche Frage geht...

Wenn ich es aus anderen Beiträgen richtig verstanden habe, dann ist das mit der Volume-Verschlüsselung so wie sie aktuell funktioniert (mit Key auf dem Gerät) nicht wirklich eine sichere Sache.

Ist es aber vielleicht dennoch eine gute Idee, die Volume-Verschlüsselung bei einem neuen NAS schon mal zu aktivieren?
Mit dem Hintergedanken, dass das mit dem Key in einer zukünftigen Version vielleicht besser gelöst wird, und man dann bereits ein verschlüsseltes Volume hat? (Anstatt es erst platt machen und neu anlegen zu müssen...)

Das zusätzliche Verschlüsseln von freigegebenen Ordnern sollte doch auch bei Volume-Verschlüsselung immer noch möglich sein? Oder bekomme ich durch dieses doppelte Verschlüsseln dann womöglich doch Performance-Verluste?

(Hintergrund: Ich habe mir vor kurzem eine DS224+ zugelegt und habe beim Anlegen des Volumes "erst mal" auf die Verschlüsselung verzichtet, weil ich da noch dachte, dass ich das auch nachträglich machen kann. Mittlerweile weiß ich, dass das nicht so ohne Weiteres geht, wollte es aber dennoch gerne jetzt noch machen, solange die NAS noch einigermaßen leer und unbenutzt ist.)

 

[metalworker]

Die Frage ist viel mehr. Wovor will man sich genau schützen .Nur so kann man die richtige Sicherheit und Verschlüsselung auswählen

 

[Jandalman]

Naja, ich habe jetzt keine konkreten Ängste oder Befürchtungen... ;-)
Mir geht's im Moment nicht so sehr um die richtige Sicherheit und Verschlüsselung (wenn's die überhaupt gibt...), sondern "einfach" nur darum, dass meine Daten nicht unverschlüsselt auf den Platten rumliegen (z.B. im Fall von Einbruch/Diebstahl).

Und da sich, wenn ich das nicht völlig falsch verstanden habe, die Volumeverschlüsselung quasi nicht auf die Performance auswirkt, warum sie dann nicht schonmal aktivieren? Wohl wissend, dass man sich (noch) nicht als alleinige Verschlüsselung darauf verlassen kann.

 

[metalworker]

Dafür reicht aber die normale Volume Verschlüsselung aus .
Nen Einbrecher wird da keinen IT Profi bestellen um darauf Zugang zu bekommen .

Das ist meine Meinung

 

[dil88]

Ich sehe das wie @metalworker. Im übrigen ist die CPU der DS224+ so leistungsstark, dass Du auf dem Gbit-Port nicht mit Performance-Verlusten bei der Nutzung von Verschlüsselung rechnen musst.