Marvell Zugriff auf Freigabeordner mit Datenverschlüsselung auch bei Trennung vom Schlüssel !

[Defans]

Ich bin von einer DS-107+ auf eine DS-211+ umgestiegen und nutze für sensible Daten auch verschlüsselte Ordner, die in meinem Windows-Netzwerk als Freigaben sichtbar werden, sobald der Schlüssel angehängt ist.

Ist der Schlüssel getrennt, so werden die Freigaben nicht angezeigt. Dies regelt die DS völlig autark, sehr praktisch wie ich meine.

Nur leider kann ich dennoch auf die Freigaben zugreifen, wenn ich in der Adresszeile den exakten Ordnernamen angebe. Ich sehe dann zwar nicht die verschlüsselten Dateien, so weit so gut, aber jetzt kommt's:

Ich kann dort weiterhin Dateien hineinkopieren, Dateinamen ändern, Dateien löschen! Das Schreiben dieser Daten ging um ein vielfaches schneller als normal. Ich schließe daraus, dass die Verschlüsselung daher nicht stattfand.

Nun prüfte ich, ob diese unverschlüsselten Dateien auch angezeigt werden, sobald ich den Schlüssel wieder anhänge. Ergebnis: nein, diese Dateien sind danach nicht mehr sichtbar. Ein Zugriff per direkter Eingabe in der Adresszeile ist auch nicht möglich.


Ich halte also fest: Die Freigaben sind also doppelt nutzbar. Als verschlüsselter bzw. unverschlüsselter Ordner. Die jeweiligen Dateien sind zeitgleich nicht erreichbar.

Fatales Problem: Mein Backup-Programm wird davon nichts mitbekommen. Es scheibt weiterhin seine Sicherungen in die Freigabe. Eine Überprüfung, ob die Daten verschlüsselt abgelegt wurden, kann nicht stattfinden.


Sollte ich mich in diesem Fall an den Synology-Support wenden? Evtl. ist dieses Problem ja bereits bekannt und wird in dem kommenden Firmware-Update gelöst.

--------------------
NAS: DS-211+ mit 2x WD20EADS (Firmware: synology_88f6282_211+_1372)

 

[itari]

Soll denn 'verschlüsselt' gleich 'unbenutzbar ohne Schlüssel' für dich sein? Normalerweise kann man ja immer auf verschlüsselte Laufwerke, Verzeichnisse und Dateien zugreifen - nur den Inhalt kann man nicht erkennen.

Itari

 

[jahlives]

Du kannst auch in einen TruCrypt Container reinschreiben, wenn er nicht eingehängt ist. Die Daten werden einfach unbrauchbar, aber es geht
Von dem her works as designed. Eine Verschlüsselung soll ja vor unberechtigten Lesern schützen. Auch wenn du die Festplatte von A-Z verschlüssel würdest kannst du damit Schreibzugriffe nicht verhindern

 

[Defans]

Danke für euren beiden Infos! Das hat schon mal mehr Licht ins Dunkel gebracht und ist zumindest plausibel.

Nur vermisse ich die Möglichkeit eben diese Nutzung der Freigabe bei temporärer Nicht-Verschlüsselung zu verhindern.

Bei jedem Neustart der DS muss ich ja den Schlüssel neu hinzufügen (die einzig sinnvolle Variante), damit ent-/verschlüsselt werden kann. Vergesse ich dies oder bemerke ich dies nach einem Stromausfall nicht, so schreibt meine Backup-Programm munter weiter in die Freigabe

Ich würde es daher begrüßen, wenn es eine Möglichkeit gäbe, dieses Schreiben zu verhindern. Mein Backup-Programm würde dann eine Warnmeldung ausgeben und ich könnte reagieren. So würden jedenfalls keine sensiblen Daten unverschlüsselt gespeichert.

Dass in einem TrueCrypt-Behälter Dateien auch unverschlüsselt Daten gelangen, habe ich auf meinem USB-Stick noch nicht ausprobiert. Immerhin werden die Daten unbrauch, wie du sagst. Werde ich bei Zeiten mal überprüfen.

Dann muss ich mir wohl eine andere Lösung überlegen ... eine USV im Falle eines Stromausfalles und eine Person, die mich an die Schlüsseleingabe nach einen gewollten Neustart der DS erinnert, fallen jedenfalls aus

 

[jahlives]

Nur vermisse ich die Möglichkeit eben diese Nutzung der Freigabe bei temporärer Nicht-Verschlüsselung zu verhindern.
Wenn du das Backup mit einem eigenen Shellscript machen würdest, dann könnte man etwas machen. Das Script könnte ja prüfen ob eine bestimmte Datei vorhanden ist in der Freigabe, sie also entschlüsselt ist
...
Dass in einem TrueCrypt-Behälter Dateien auch unverschlüsselt Daten gelangen, habe ich auf meinem USB-Stick noch nicht ausprobiert. Immerhin werden die Daten unbrauch, wie du sagst. Werde ich bei Zeiten mal überprüfen.

Das würde ich aber nur mit einem unwichtigen Container probieren. Denn auch der Inhalt des Containers geht dabei flöten

 

[itari]

Nur vermisse ich die Möglichkeit eben diese Nutzung der Freigabe bei temporärer Nicht-Verschlüsselung zu verhindern.

Vielleicht kannst du dich mit dieser Frage auch per E-Mail an den Synology-Support wenden, falls es nicht vorgesehen ist, könnten die es ja als Entwicklungsvorschlag aufnehmen, denn ich halte es schon für sinnvoll, was du da machen möchtest.

Itari

 

[Defans]

Bevor ich dies tue, möchte ich noch folgende Tatsache diskutieren:

Offenbar unterscheidet das Dateisystem des verschlüsselten Ordners zwischen Groß- und Kleinschreibung. D.h. ich habe anders als bei den normalen Freigaben* nun folgende Ordnersituation:

\Studium
\STUDIUM

Mein Win7 x64 bzw. Acronis TIH11 sollte in den vorher erstellten Ordner "Studium" ein Backup schreiben. Stattdessen fand ich nach Beendigung einen weiteren Ordner namens "STUDIUM" vor.

Dies führt offenbar zur einigen Problemen:

• Zugriffe verlängern sich spürbar (erkennbar auch am Ladebalken in der WinExplorer-Adresszeile)
• die Freigabe wird in der File-Station und im Syno-Datei-Browser nicht mehr angezeigt
• Acronis möchte eine Anmeldebestätigung, sobald es auf Ordner in der Freigabe zugreift (teilweise sogar direkt 2x hintereinander, evtl. auch ein Symptom der längeren Zugriffszeit)
• ich sehe im Windows-Explorer in beiden Ordnern zwar den Dateinamen des Backups, kopieren oder dergleichen funktioniert allerdings nur bei "STUDIUM" nicht aber bei "Studium"
• erstelle ich Dateien oder Unterordner innerhalb von "Studium", so wird teilweise nur dieser neue Inhalt angezeigt, das Backup scheint verschwunden. Ein paar Klicks später ist es wieder da und dafür die neuen Inhalte verschwunden!?!?!

Mir scheint, dass das Thema "verschlüsselte Ordner" noch sehr fehlerträchtig ist und dass es einiges an Feinschliff bedarf.
Vorerst werde ich dort keine wichtigen Daten ablegen und werde mir vorerst eine andere sichere Backup-Lösung (z.B. TrueCrypt-Container) suchen müssen.

Bevor ich mich mit diesen Problemen an den Support wende, möchte ich noch einige Meinungen oder Erfahrungsberichte von euch wissen.

Vorab vielen Dank für eure Mithilfe!

)* Verzeiht mir bitte, wenn ich nicht ordentlich zw. den Bezeichnungen "Ordner, "Verzeichnis" und "Freigabe" unterscheide.

 

[itari]

Offenbar unterscheidet das Dateisystem des verschlüsselten Ordners zwischen Groß- und Kleinschreibung.

Linux macht schon immer einen Unterschied zwischen Groß- und Kleinschreibung. Daher ist es man besten, wenn man im DSM nur 'kleingeschriebene' Namen für Dateien und Ordner verwendet und auch unter Windows dieses beibehält.

Die auf der DS verwendeten 'verschlüsselten' Ordner sind keine Entwicklung von Synology, sondern etwas, was auf fast jedem Linux-System verwendet werden kann. (z.B. ecryptfs unter Ubunto). Ob nun Acronis oder andere unter Windows laufende Anwendungen damit wirklich ein Problem haben, kann ich mangels Erfahrung nicht sagen (ich verwende kaum irgend etwas Verschlüsseltes auf den DSen, weil mir das alles zu langsam werden würde und ich auch nix Geheimes habe).

Acronis kommt auf keinen Rechner bei mir, weil sie vor 11 Jahren eine meiner wichtigen Backups vergeigt haben ... deswegen nie nie nie wieder Acronis.

Itari