Was ist und wie funktioniert Hardware-Verschlüsselung?

[GustavGans]

Hallo

Ich will mir bald mein erstes NAS zulegen, wobei ich großen Wert auf Verschlüsselung lege. Ich habe schon ein Auge auf das Synology DS411j geworfen. Dort steht in den technischen Daten "Hardware-Verschlüsselungsmodul". Ich wusste bisher nicht was das ist und habe in Foren bisher nur rausgefunden, dass damit wohl das NAS selbst irgendwie die Platten verschlüsseln kann. Nun meine Fragen dazu:

1. Wie funktioniert die Hardware-Verschlüsselung genau?
2. Wenn ich die Hardware-Verschlüsselung nutze, muss dann jeder PC, der auf das NAS zugreift ein Passwort angeben, bevor er das tut? Ist es dann so, dass man das Passwort bei jedem Start des PCs eingeben muss, bevor der Zugriff auf das NAS-Netzlaufwerk genehmigt wird?
3. Wenn das NAS selbst kaputt geht, die Platten aber noch heil sind, wie komme ich dann wieder an die verschlüsselten Daten ran?

Die Alternative Truecrypt kommt für mich leider nicht in Frage. Truecrypt kann keine Netzlaufwerke verschlüsseln und wenn ich nur einen verschlüsselten Container auf das NAS lege, dann können ja die Server des NAS (FTP, Web, Media etc.) nicht mehr auf die Daten zugreifen.

Ich hoffe Ihr könnt meine Fragen beantworten, danke schonmal.

 

[Merthos]

Man sollte das mit der HW-Verschlüsselung nicht überbewerten. Die CPU / Chipsatz halt halt ein paar Funktionen, die hilfreich für kryptographische Algorithmen sind, also die Sache etwas beschleunigen.

Verschlüsseln kann man Freigaben, das Passwort kann man entweder dauerhaft auf der DS hinterlegen oder jedesmal manuell über das Webfrontend eingeben. Auch das Aushängen erfolgt darüber.

Aber nachdem was Du schreibst, kriegt das ehr nach normaler Nutzerverwaltung. Mit passend gesetzten Rechten muss sich jeder erst mit Nutzername + Passwort anmelden, bevor er überhaupt Zugriff kriegt. Dafür ist keine Verschlüsselung nötig.

Es wird eCryptfs verwendet, ein Standard, der auf jedem aktuellen Linux verfügbar ist. Im Wiki hab ich einen Artikel für die Wiederherstellung hinterlegt.

 

[Matthieu]

Eines zu Beginn: Die DS verschlüsselt nicht ihre Festplatten. Das hat einen einfachen Grund: Das würde auch das Betriebssystem und andere Vorgänge ungemein ausbremsen. Daher wird bei Synology auf Ordnerbasis verschlüsselt. Auf Ordnerbasis heißt: Man erstellt auf einer DS mehrere, sogenannte "Gemeinsame Ordner". Diese sind quasi die oberste Instanz dort und können verschlüsselt werden. Ausgenommen von der Verschlüsselung sind jedoch die vom System angelegten Ordner, die durch andere Dienste benötigt werden. Beispielsweise Webserver und Medienserver können nichts mit der Verschlüsselung anfangen. Ihre Verzeichnisse sind daher ausgenommen.
Ist ein Verzeichnis dann verschlüsselt, setzt die CPU einen speziellen Teil ein, der auf Gleitkommaoperationen spezialisiert ist wenn ich das richtig verstanden habe. Das macht sich bei der Performance durchaus bemerkbar im Vergleich zu CPUs ohne. Letztes Jahr waren solche CPUs noch rar, weshalb der Vergleich dort die Unterschiede besser hervorgehoben hat. Mittlerweile verschwimmt das ein wenig zwischen den ungleich höheren Taktraten beispielsweise der Atom-DSen ohne derartige Einheit. Mit an und abschalten der Einheit hat all das aber nichts zu tun. Es ist "nur" ein Teil des Prozessors der mit sowas besser klar kommt als die herkömmlichen Chips die 0 und 1 verrechnen.
Nach jedem Neustart der DS sind diese Verzeichnisse ausgehangen. Du hast dann zwei Möglichkeiten: a) Die DS hängt die Ordner automatisch ein, was aber voraussetzt dass die DS irgendwo tief in ihrem inneren den Schlüssel speichert (möglicherweise im Flash der bei einem Diebstahl der Festplatten nicht mit dabei wäre, genau sagen kann ich es aber nicht) oder b) du gibst nach jedem Neustart den Schlüssel auf der Weboberfläche ein. Manuelles "aushängen" ist natürlich auch möglich.
Ist die DS defekt, kannst du die Daten etwa von einem Backup wieder zurück kopieren. Mit dem richtigen Schlüssel kann die DS die Daten dann wieder öffnen. Ohne Schlüssel ...
Am PC weiß ich nicht genau ob es möglich ist, theoretisch sollte es das aber. Es handelt sich um ein ecryptfs welches von vielen Linuxdistributionen verwendet werden kann und auch die genauen Operatoren sind bekannt, es sollte also möglich sein auch ohne neue DS nur mit den Festplatten.

MfG Matthieu

 

[GustavGans]

Vielen Dank schonmal für eure Antworten. Also damit ich das richtig verstehe:

- Das Hardware-Verschlüsselungsmodul sorgt lediglich dafür dass die Entschlüsselung schneller geht.
- Ich kann Verzeichnisse auf dem NAS verschlüsseln und das Passwort entweder auf dem NAS hinterlegen (Was die Sicherheit ja eigentlich wieder aushebelt) oder bei jedem hochfahren der NAS im Webfrontend eingeben. Danach kann aber jeder, der über das Netzwerk auf das NAS zugreift, alle verschlüsselten Daten lesen, solange er das NAS nicht wieder ausschaltet.
- Ich kann aber auf dem NAS Nutzer anlegen so dass man nur mit Nutzer und PW auf das NAS zugreifen kann und auch nur so eine Chance hat, die verschlüsselten Daten zu lesen.
- Webserver und Medienserver können nur auf unverschlüsselte Daten zugreifen.
- Wenn ich das Passwort noch weiss, kann ich bei Defekt des NAS die verschlüsselten Daten mit einem anderen NAS oder einem Linux-Rechner wiederherstellen

Ist das alles soweit richtig?

Dann habe ich noch weitere Fragen:
Kann der FTP Server des NAS auf verschlüsselte Verzeichnisse zugreifen?
Muss ich die Größe der verschlüsselten Verzeichnisse bei der Verschlüsselung festlegen oder skalieren sie mit, je nachdem wieviel man hineinlegt?

Danke Leute

 

[Matthieu]

- Nein das Modul kommt bei beiden Richtungen zum Einsatz. Es wird eigentlich gar nicht abgeschaltet oder hinzugeschaltet sondern arbeitet immer mit. Aber aufgrund seiner Bauweise beschleunigt es eben genau diese Operationen.
- Wie du im Punkt darunter gesagt hast, kann eben nicht jeder auf die Daten zugreifen, denn man muss sich authentifizieren. Und das egal wie man zugreift, ob Weboberfläche, SMB oder FTP oder ...
- Der Rest ist korrekt.

Wie schon erwähnt handelt es sich um ecryptFS. FS steht für Dateisystem und aufgrund diesem Ursprung gibt es keine Größenprobleme wie bei Containern.
FTP, SMB und AFP können auf sämtliche Daten zugreifen, ebenso wie die Webdienste DiskStation Manager mit dem Dateibrowser und die FileStation.

MfG Matthieu

 

[GustavGans]

Super, dann ist mir alles klar. Die DS411j scheint dann genau das zu sein, was ich brauche. Werde sie die nächsten Tage bestellen