Wann greift die Verschlüsselung?

[stoffelchen]

Hallo zusammen,

wenn die DS 209+II "alleine" läuft, ich also nicht angemeldet bin, sind ja meine Ordner verschlüsselt.

Wie sieht es jedoch aus, wenn ich mich nun anmelde, und mein verschlüsselter Ordner, den ich beim starten automatisch "anhänge" nun ein "offenes" Schloss-Symbol anzeigt?

Sind die Daten dann in diesem Moment auf der Festplatte unverschlüsselt vorhanden, oder werden diese nur für mich (also dem angemeldeten User) im Augenblick des Datenabrufs entschlüsselt?

Oder ist es sicherer, den verschlüsselten Ordner nicht automatisch anzuhängen, sondern erst bei Bedarf anzuhängen?


Gruss
stoffelchen

 

[qbic]

Eine Verschlüsselung ist immer dazu gedacht, Daten auf die Dauer zu chiffrieren, bis sie nicht mehr gebraucht werden.

Das bedeutet, dass deine Daten auch verschlüsselt gespeichert sind, wenn der Ordner nicht eingebunden (gemappt) ist.

Das nicht automatische "Anhängen" dient nur dazu, dass der gemeinsame Ordner nicht bei jedem Start deiner DiskStation in das System eingebunden wird.
Das bedeutet im Klartext: Schaltest du die DS aus und startest sie irgendwann wieder, wirst du diesen Ordner nicht mehr ansprechen können.

Erst wenn du ihn im WebUI wieder "anhängst" kannst du direkt darauf zugreifen.

Das trennen des Ordners ist demnach ein reiner Sicherheitsmechanismus, der bei bedarf auch ausgeschaltet werden kann, in dem man das Häkchen beim automatischen Anhängen setzt.

 

[Der Graue]

...
Sind die Daten dann in diesem Moment auf der Festplatte unverschlüsselt vorhanden, oder werden diese nur für mich (also dem angemeldeten User) im Augenblick des Datenabrufs entschlüsselt?
...

Auf der Platte liegen die Daten weiter verschlüsselt und werden für jeden User der Zugriffsrechte für den Ordner hat beim Zugriff entschlüsselt.
Wenn der gesamte Ordner beim einbinden entschlüsselt werden müsste, dann hättest Du erst mal für 'ne Weile Pause

 

[jahlives]

Auf der Platte liegen die Daten weiter verschlüsselt und werden für jeden User der Zugriffsrechte für den Ordner hat beim Zugriff entschlüsselt.

Woher hast du diese Info? So wie ich das bis jetzt verstanden habe wird beim Einbinden entschlüsselt und solange eine verschlüsselte Share eingebunden ist sind die Daten damit unverschlüsselt auf der Platte. Du würdest wahrscheinlich sogar noch mehr Last erzeugen, wenn du die einzelnen Dateien für jeden User immer wieder entschüsseln müsstest

 

[qbic]

Inweifern ist diese Verschlüsselung dann aber sinnvoll wenn die Daten unverschlüsselt rumliegen, solange der Ordner gemappt ist?

Das würde ja außerdem bedeuten, das beim mappen alle Daten rekonstruiert werden müssen. Das kann schon eine Weile dauern wenn man sagen wir mal 100GB da drin rumliegen hat.

Scheint mir irgendwie unlogisch. Dann nehm ich lieber eine geringere Transferrate in kauf als das die DS eine Stunde braucht um den Ordner zun entschlüsseln.

 

[qbic]

Ich bin gerade am testen und kann schon jetzt behaupten, dass die Daten grundlegend immer verschlüsselt sind.
Das macht sich schon beim Datentransfer bemerkbar.

Normalerweise kann ich mit 35 MByte/s auf die DS schreiben, beim verschlüsselten Laufwerk aber nur mit knapp 10MByte/s.

Kann ja nichts anderes bedeuten, als das die Daten chiffriert werden um sie in dieser Form auch abzuspeichern.

 

[jahlives]

Irgendwo im intl Forum hat Franklin mal gepostet, dass ca 30% erreicht werden. Von dem her liegen deine 10MByte/s im guten Schnitt

 

[qbic]

Mir gehts ja auch weniger um die Geschwindigkeit, ich wollt nur zeigen, dass ich deine Aussage eher unlogisch finde.

Wenn du es aber erklären kannst, dass es doch so ist, ich lass mich gern überzeugen

 

[jahlives]

Ich wollte damit sagen, dass es schneller sein könnte eine 100 MByte Datei zu entschlüsseln, als 10 mal eine 10 MByte Datei
Ich muss gestehen ich nutze die Verschlüsselung nicht auf der DS und werde das wohl aus Performance Gründen auch nie machen.

Gruss

tobi

 

[Der Graue]

Woher hast du diese Info? So wie ich das bis jetzt verstanden habe wird beim Einbinden entschlüsselt und solange eine verschlüsselte Share eingebunden ist sind die Daten damit unverschlüsselt auf der Platte.

Geh doch einfach mal mit putty auf das entsprechende Verzeichnis, müsste wohl "/volume1/@VERZEICHNISNAME@/" sein und schau Dir den Ihnalt an. Dann mounte das Verzeichnis und schau wieder mit putty rein, da hat sich nichts geändert - alles cryptische Dateien.

Oder andersrum, nimm in den Einstellungen des Shares einfach mal den Haken für Verschlüsselung raus. Das dauert 'ne halbe Ewigkeit, bis wieder alles entschlüsselt ist bei einer großen Datenmenge.

 

[Suksu]

Hmmm,... ich hab alle Beitrage in diesem Thema gelesen und bin nun ratloser als vorher...

Frage:
Was kann ich machen, um zu verhindern dass meine Daten ausgelesen werden können im Falle eines Diebstahls meiner DS ?

- Welche Einstellungen kann ich wo machen für eine sichere Verschlüsselung der DS????

Ein Root-Passwort reicht demnach nicht aus da man dies resetten kann an der DS nach einem Diebstahl....

 

[qbic]

Was kann ich machen, um zu verhindern dass meine Daten ausgelesen werden können im Falle eines Diebstahls meiner DS ?

Damit deine Daten verschlüsselt sind, erstellst du auf der DS einfach einen neuen gemeinsamen Ordner, aktivierst dabei die Option "Diesen gemeinsamen Ordner verschlüsseln" und gibst dazu ein Passwort an damit die Daten irgendwann wieder entschlüsselt werden können.
Diesen Schlüssel kannst du dir entweder im Kopf merken, irgendwo aufschreiben oder die speicherfunktion der DS benutzen. Sie erstellt dir eine Datei in dem der Schlüssel enthalten ist.
Dadurch werden auf jeden Fall schonmal alle Daten kryptisch gespeichert.

Welche Einstellungen kann ich wo machen für eine sichere Verschlüsselung der DS????

Die DS arbeit folgendermaßen:
Erstellst du einen verschlüsselten gemeinsamen Ordner, wird dieser Ordner sogleich gemountet. Sprich du kannst auf Ihn über das Netzwerk zugreifen.
Nach einem Neustart der DS (so ist zumindest die Standardeinstellung) ist dieser Ordner nicht mehr gemountet. Will man es mounten muss man in die WebUI gehen und manuell mounten indem man das Passwort einträgt bzw den gespeichert Schlüssel importiert.
Dadurch wird sichergestellt, dass z.B. bei einem Diebstahl die Chiffrierung nicht gleich sinnfrei ist weil ohne dementsprechendes Einbinden des Ordners darauf zugegriffen werden kann.

Man kann diese Einstellung aber auch ändern indem man beim erstellen bzw. bearbeiten des Ordner die Option "Beim Start automatisch anhängen" aktiviert.
Somit steht dir bei jedem Start der DS der verschlüsselte Ordner zur Verfügung ohne eine Passwort anzugeben. Sollte deine DS gestohlen werden, und du hast diese Option aktiviert, bist du natürlich auf der unglücklichen Seite der Welt.

Ein Root-Passwort reicht demnach nicht aus da man dies resetten kann an der DS nach einem Diebstahl

Das Root-Passwort hat mit dem Passwort für die Verschlüsselung nichts zu tun. Es ist für jeden zu verschlüsselnden Ordner frei wählbar!

So ich hoffe das hat die weiter geholfen

 

[Suksu]

@ alle Mods

Bitte diese überaus hilfreichen Beitrag von Herrn "Qbic" mit in die Wiki aufnehmen!

SUPER verständlich und nachvollziehbar!!!

DANKE für die schnelle und ausführliche Antwort Qbic *TOP*

 

[qbic]

Wenn es erwünscht ist, werde ich mich morgen um den Wiki-Eintrag kümmern.

Ganz nebenbei: Das wiki kann nicht nur von Mods editiert werden. Einfach registrieren und schon kannst du selber schreiben was das Zeug hält

Ach ja und danke für das Lob

 

[pillepalle]

genau so isses. das einbinden dauert bei mir schon ca 1 min obwohl es nur ca 50 GB waren. mal schauen wie das bei 1,5 TB ist.. ich hoffe nicht linear länger

 

[Suksu]

Hier die Antwort zu meinem Fall DS409+ :

-Das verschlüsseln von 18 GB Daten dauert 19 Stunden bei einer Geschwindigkeit von 258 KB/Sekunde

-Das normale kopieren von der gleichen Menge an Daten in einem normalen Ordner, dauert 16 Minuten bei einer Geschwindkeit von 19,2 MB/Sekunde (Win7)


Ich weiss nicht ob es sich wirklich lohnt,... ich wollte eigentlich 1 TB an Daten sichern..... Gibt es da noch alternativen ? Vielleicht meine DS in einem Tresor einsperren ? *g*

 

[qbic]

19 Stunden für 18GB ist bei deiner DS eigentlich nicht normal.
Klingt ziemlich eigenartig und sollte überprüft werden.

Schreib Synology am besten eine Mail und frag ob das normal ist bzw. was man deswegen tun kann.

Weche Firmware hast du installiert?

 

[Suksu]

19 Stunden für 18GB ist bei deiner DS eigentlich nicht normal.
Klingt ziemlich eigenartig und sollte überprüft werden.

Schreib Synology am besten eine Mail und frag ob das normal ist bzw. was man deswegen tun kann.

Weche Firmware hast du installiert?

Hmmm,... ich hab die aktuellste also 2.3
Ich arbeite mit Windows7

Kannst du auch mal bei dir ein Test machen? dann hab ich ein Referenzwert was ich mit angeben kann!

Ich dank dir Qbic

 

[qbic]

Bei mir beläuft sich die Geschwindigkeit beim Schreiben auf ca. 9MByte/s und beim Lesen auf ca. 10MByte/s.

Kannst Synology in deiner Mail gleich mal sagen, dass sie solche Werte auch ruhig mal mit auf die Homepage bei den Leistungsvergleichen stellen können.
Also nur so als Vorschlag

 

[pillepalle]

ich lass das nun mit der verschlüsselung wie geplant-.
mit truecrypt aufm PC und ein container file auf der DS müsste wesentlich schneller sein