+-Serie Verschlüsselung der DS415+

[ozzac]

Hallo,

die 415+ bietet eine hardwareseitige Verschlüsselung an. Erfolgt die Verschlüsselung automatisch mit der Erstellung des Volumes oder muss hierzu etwas eingestellt werden?
Wie verhält sich das bei einiger Migration? Beispiel: wenn Platten aus der 412+ in die 415+ übernommen werden, erfolgt dann auch automatisch eine hardwareseitige Verschlüsselung?

Für ein paar Infos wäre ich dankbar!

 

[dil88]

Verschlüsselung erfolgt bei Synology nicht auf der Ebene des Volumes sondern auf der des gemeinsamen Ordners und muss hier explizit aktiviert werden. Ich gehe davon aus, dass eine solche Einstellung bei einer Migration erhalten bleibt.

 

[ozzac]

Wow - schnelle Antowort. okay, das bedeutet, dass sich die Verschlüsselung ausschließlich auf einen gemeinsamen Ordner bezieht? Ich hatte gehofft, dass damit ein ganzen Volume oder noch besser die gesamten Platten (analog Diskcryptor) verschlüsselt werden können. Gibt es hierfür irgend eine Möglichkeit?

Wenn das ganze nur auf gemeinsamer Ordner-Ebene funktioniert. Den Ordner Cloudstation kann man nicht als gemeinsamen Ordner definieren. Somit ist hier auch keine Verschlüsselung möglich?

 

[Frogman]

Wow - schnelle Antowort. okay, das bedeutet, dass sich die Verschlüsselung ausschließlich auf einen gemeinsamen Ordner bezieht?

Korrekt

... Ich hatte gehofft, dass damit ein ganzen Volume oder noch besser die gesamten Platten (analog Diskcryptor) verschlüsselt werden können. Gibt es hierfür irgend eine Möglichkeit?

Nein.

 

[ozzac]

okay, das ist schade. Es wäre gut, wenn Synology hier nachbessern würde. Noch eine Information meinerseits:Verschlüsselte Ordner werden bei der Migration übernommen und können mit dem Key auf der neuen Diskstation entschlüsselt. Zusätzlich wird noch ein weiterer Ordner mit gleichem Namen angelegt. Beispiel: Verschlüsselter Ordner Vor Migration = TEST. Nach der Migration existieren TEST (verschlüsselt) und TEST_1. Warum ein neuer Ordner TEST_1 angelegt wird erschließt sich mir nicht, aber egal, kann problemlos gelöscht werden.

 

[dil88]

Danke für die Bestätigung aus der Praxis!

 

[Frogman]

okay, das ist schade. Es wäre gut, wenn Synology hier nachbessern würde.

Da wäre der Hinweis auf das Synology-Support-Formular in meiner Signatur - nur bei spürbarer Nachfrage werden Dinge angegangen.

 

[dil88]

Korrekt. Was stört Dich an der Verschlüsselung auf der Ebene der gemeinsamen Ordner? Wenn ein Anbieter nur Verschlüsselung auf Volume- oder Platten-Ebene anbieten würde, dann könnte ich Vorbehalte verstehen, weil ich mich sehr festlegen müsste, was gerade bei schwächeren Modellen ziemlich böse Performance-Auswirkungen hat. Mir ist bewusst, dass Deine 415+ fast transparent verschlüsseln kann, weil sie so leistungsfähig ist, aber es ist ja kein Problem, für alle gemeinsamen Ordner defaultmäßig Verschlüsselung einzuschalten. Oder geht es Dir nur um die Einschränkung im Hinblick auf Pakete, die die Verschlüsselung nicht unterstützen?

 

[ozzac]

Hallo,

der Sachverhalt bei mir hinsichtlich der Verschlüsselung stellt sich wie folgt dar. Ich habe mehrere Rechner an mehreren Standorten mit physisch getrennten Netzwerken. Zum Austausch der Daten setzet ich die Cloudstation exzessiv ein. Ehrlich gesagt bin ich mit der Cloudstation und deren Funktionsweise sehr zufrieden, inzwsichen werden darüber 1,5TB an Daten ( ich meine damit kein Bilder oder Videos) verwaltet. Also, funktioniert bei mir einwandfrei.

Die eingesetzten Rechner sind alle full disk encrypted (FDE). Kommt also ein Rechner in meiner Abwesenheit abhanden, sind die Daten aus meiner Sicht nicht herstellbar.

Die einzige Schwachstelle ist also die DiskStation. Die Cloudstation selbst kann ich nicht verschlüsseln (z.B. als gemeinsamen Ordner), zumindest ist mir das nicht bekannt. Und Zwischenlösungen wie Boxcryptor etc. möchte ich nicht einsetzten. Somit fände ich es super, wenn mit Aufbau des Volumes oder danach optional eine FDE möglich wäre. Dann hätte ich den gleichen Effekt analog zu meinen PCs. Eigentlich sollte das doch gar nicht so schwer sein, daher wundert es mich, dass sich Synology damit so schwer tut.
Ich hoffe, ich konnte mein Anliegen damit etwas transparenter machen.

 

[hakiri]

Korrekt. Was stört Dich an der Verschlüsselung auf der Ebene der gemeinsamen Ordner? Wenn ein Anbieter nur Verschlüsselung auf Volume- oder Platten-Ebene anbieten würde, dann könnte ich Vorbehalte verstehen, weil ich mich sehr festlegen müsste, was gerade bei schwächeren Modellen ziemlich böse Performance-Auswirkungen hat. Mir ist bewusst, dass Deine 415+ fast transparent verschlüsseln kann, weil sie so leistungsfähig ist, aber es ist ja kein Problem, für alle gemeinsamen Ordner defaultmäßig Verschlüsselung einzuschalten. Oder geht es Dir nur um die Einschränkung im Hinblick auf Pakete, die die Verschlüsselung nicht unterstützen?

Da klinke ich mich doch gerne mal ein..
vielen Dienste sind nicht nutzbar wenn das share verschlüsselt ist.
Angefangen bei sämtlichen Syno apps bis hin zur einfachen NFS Freigabe.
Bei einer Verschlüsselung auf Patitionsebene wäre das sicher anders.

 

[ozzac]

Genau das denke ich auch. Deshalb bevorzuge ich FDE und wünsche mir das für die DS

 

[schaki84]

Hallo,

ich habe auch eine DS415+ und eine Frage zu der Verschlüsselung, daher dachte ich es passt hier ganz gut.

Ich habe meine gemeinsamen Ordner auf der DS verschlüsselt. Funktioniert auch alles wunderbar.
Leider bekomme ich nicht mehr als 40 MByte/s transfer hin, jemand eine Idee?

Laut Datenblatt sollte der Wert deutlich höher sein, gerade zwecks der Hardwareunterstützung.

 

[dil88]

Hast Du eher kleinere Dateien kopiert? Synology liefert hier Performance-Werte. Da gibt es u.a. den Punkt "Gigabit-Ethernet-Umgebung - AES 256-Bit-Datei-Upload/Download in Windows (1MB x 5000 files)", bei dem die 415+ mit 37,2 MB/s schreibt. Passt gar nicht schlecht zu Deiner Angabe.

 

[schaki84]

Habe eine 1,8 GB Datei kopiert.

K, dann sind das wohl die Werte, was mich jedoch verwundert, wenn ich vom NAs auf WinPC kopiere, geht das nur halb so schnell, als wenn ich vom WinPC aufs NAS kopiere

 

[dil88]

Das hört sich so an, als hätte der PC Probleme, Schritt zu halten.

 

[schaki84]

Das glaube ich weniger:

CPU: Intel XEON E3-1231 v3
Ram: 16Gb
Festplatte: Crucial MX100 512GB SSD

Internes Kopieren von normaler HDD auf SSD 132 MByte/s *eben getestet*


EDIT: Die Schwankungen sind auch auf der Seite von Synology so angegeben:

https://www.synology.com/de-de/products/performance#4_bay

Windows Download 74,92
Windows Upload 37,21


Nur verstehe ich den großen Unterschied nicht

 

[dil88]

Das sind keine Schwankungen. Was als Download beschrieben ist, ist die Leseleistung, Upload steht für den Schreibdurchsatz. Insofern solltest Du aber selbst bei kleineren Dateien wie den beschriebenen 1MB großen vom NAS (also lesend) auf den PC eher 75 MB/s bekommen. An mangelnder PC-Hardware kann es aber in der Tat nicht liegen.

 

[Benares]

@ozzac:
Warum denkst du überhaupt über Verschlüsselung nach? Weil deine DS das "in Hardware" unterstützen soll, weil es Hipp ist, oder fürchtest du Einbrecher?
Ich selbst halte wenig davon - mehr Probleme als Nutzen.

Was versprichst du dir davon?

 

[schaki84]

Ich will jetzt hier keine Prinzipienfrage entfachen, aber ich habe meine Gründe für die Verschlüsselung.

Z.B. bin ich der Meinung das keinem private Bilder etwas angehen und in der heutigen Zeit kommt man einfach zu einfach an unverschlüsselte Daten ran.

 

[frozendog]

Nur nebenbei erwähnt: Verschlüsselung mit VeraCrypt

AFAIK kann man VeraCrypt doch auf der DS installieren. Habe es erfolgreich auf dem Raspberry Pi 2 so gemacht, also die Installation mit kompilieren etc etc...
Du könntest dann via Kommandozeile oder Script z.B. eine Container-Datei auf der Festplatte einbinden. Sicherer gehts wohl kaum. Ist aber etwas umständich.