DSM 6.x und darunter Ordner verschlüsseln, diverse Fragen

[mördock]

Nabend,

Meine Backup DS steht bei der Verwandschaft und wird dort nebenbei als Datengrab genutzt. Jetzt kam die Bitte auf das die Daten im Datengrab zu verschlüsseln. Ich habe mich mit dem Thema noch nicht wirklich beschäftigt, abgesehen von den Infos auf der Synologyseite und einigen Beiträgen hier im Forum.
Vielleicht könnt Ihr mir meine Fragen kurz und knapp beantworten, die Einzelheiten Frage ich bei Bedarf nach und/oder erarbeite sie mir.

1.) verschlüsselte Ordner können beim Start der Syno automatisch angehängt werden und stehen dann als Netzlaufwerk am PC zur Verfügung?Aktuell startet der PC und bindet automatisch diverse Ordner als Netzlaufwerk ein, das bleibt so?
2.) ohne einen Benutzernamen und das Kennwort eines DS Benutzers sind auch automatisch angehängte Ordner für Fremde nutzlos wenn ihnen "nur" die DS in die Hände fällt?
3.) Bekommt ein Dieb PC und DS in die Hände hat er vollen Zugriff?
4.) wenn ich Ordner nicht automatisch anhänge komme ich ich mit DSPhoto, DS File, DS Audio und dem Mediaserver nicht an die Daten ran?
5.) Ordner manuell anhängen geht nur über den DSM?
6.) kann ich verschlüsselte Ordner wir dauerhaft entschlüsseln?

Ich glaube das waren erstmal alle Fragen um abwägen zu können ob eine Verschlüsselung praktikabel ist oder nicht.
Danke im Voraus

#Mördock#

 

[Tommes]

Hi!

Vorab!
Am sichersten ist es wohl, wenn man verschlüsselte Ordner manuell und nur für den Zeitpunkt des Zugriffes einbindet. Die Realität sieht aber meist anders aus, weshalb Synology das automatische Einbinden eines verschlüsselten Ordners beim Start der DS ins Leben gerufen hat. Man muss sich dabei aber dessen bewusst sein, das das Passwort in irgendeiner Form auf der DS abgelegt sein muss. Theoretisch ist es also möglich, das Passwort auszulesen, wenngleich mir noch keiner einem plausiblen Weg dazu zeigen konnte. Für den Moment halte ich das automatische Einbinden beim Start durchaus für vertretbar, da man nur als angemeldeter DSM-Benutzer mit den nötigen Rechten, Zugriff auf einen verschlüsselten Ordner erhält. Und selbst wenn ein Dieb sich die DS unter den Nagel reißt und durch einen beherzten Druck auf den Resetknopf das admin-Passwort zurücksetzt... das Passwort des verschlüsselten Ordner wird in diesem Zuge ebenfalls von der DS verbannt. Von daher...

Jetzt aber zu deinen Fragen.
Zu 1.) So ist es. Ich binde meine verschlüsselten Ordner zwar manuell ein, aber der Zugriff über einen eingebundenes Netzlaufwerken funktioniert weiterhin.
Zu 2.) Siehe meinen Einleitungstext
Zu 3.) Wenn der PC selber nicht auch über eine Benutzeranmeldung verfügt, könnte das doof enden.
Zu 4.) Getrennte Ordner können natürlich nicht indiziert werden.
Zu 5.) Jepp
Zu 6.) Das geht nur zu Fuß indem du die verschlüsselten Daten in einen unverschlüsselten kopierst/verschiebst.

Tommes

 

[mördock]

Okay, danke für die Antwort.
Dann werde ich jetzt mal genau abklären was an Sicherheit gewünscht wird und was an Komfort erhalten bleiben soll.
Häää? Wie doof ist das denn? Resetknopf gedrückt und die Verschlüsselung ist futsch?
Mördock

 

[Tommes]

Die Verschlüsselung ist nicht futsch, der verschlüsselte Ordner wird nach einem Reset nur nicht mehr automatisch eingehängt. Du kannst diesen jedoch über den DSM nach Angabe des richtigen Passwortes wieder einhängen.

BTW: ich hänge meine verschlüsselten Ordner nach dem Start der DS manuell ein. Grund dafür ist, das sobald die DS vom Strom geht z.B. durch Diebstahl, fällt der Ordner zu und meine Daten sind sicher. Beim automatischen einhängen ist halt immer der bittere Beigeschmack, das das Passwort irgendwo auf der DS bzw. Festplatte schlummert.

Tommes

 

[mördock]

Ah, okay. Danke.
Manuelles anhängen fällt aus, der Anwender ist ü 60. Ihm möchte ich nicht zumuten Ordner manuell über DSM die anzuhängen.
Da dir bisher noch kein Weg bekannt ist an das auf der Platte gespeicherte Kennwort zu kommen , setze ich bei einem Dieb massives Wissen und viel Energie voraus um an die Daten zu kommen. Ist wohl eher unwahrscheinlich das der böse Bube von nebenan die Zeit und Lust hat sich so intensiv mit der DS zu beschäftigen.

Mördock

 

[Tommes]

Ich wollte auch nur den Moralaposteln und Verschwörungstheoretikern zuvor kommen und dich darüber in Kenntnis setzen. Es kommt wohl eher auf die eigene Paranoia an, wie weit man es mit der Sicherheit und möglichen Eventualitäten hält. Und der Dieb, der sich die Mühr macht, meine Daten zu entschlüsseln ist selber schuld... schließlich bewahre ich bei mir keine Zugangscodes für einen Atomsprengkopf auf.

Tommes

 

[rednag]

schließlich bewahre ich bei mir keine Zugangscodes für einen Atomsprengkopf auf.

Ob Trump auch eine Synology hat...?

 

[Tommes]

Ich denke, das Jre fvpu wrgmg gngfäpuyvpu qvr Züur trznpug ung qvrfra Grkg mh ragfpuyüffrya, qrz zöpugr vpu ahe fntra... rf ung fvpu avpug trybuag :b)

Zur Sicherheit habe ich meine Meinung dazu mal verschlüsselt. Sicher ist sicher *g*

 

[NSFH]

Hier sind einige falsche Infos unterwegs!
Seit DSM 6.1 speichert die DS keine Passwörter mehr in der Station. Dieses Verfahren funktioniert noch bei Installationen mit DSM6.0.
Seit 6.1 wird ein Schlüsselmanager verwendet, der sich ausserhalb der DS befinden muss, also auf einem USB-Stick oder dann verfügbarem, anderen Nw-Laufwerk!
Ich empfehle die Synology FAQ dazu zu lesen!

 

[Tommes]

Asche auf mein Haupt. Ich Seppel! Recht hast du. Da ich meine verschlüsselten Ordner jedoch immer manuel einhänge, bin ich mit der neuen Funktionsweise des automatischen Einhängens noch nicht in Kontakt gekommen. Ich werd mir das aber bald mal anschauen um wieder up to Date zu sein. Dank dir jedenfalls für die Richtigstellung.

Tommes

 

[PsychoHH]

Egal ob man manuell mit .key einhängt oder per passphrase (Schlüsselmanager) innerhalb von Sekunden kann man das pw im klartext anzeigen lassen

 

[mördock]

Tach zusammen,
Werde das jetzt wohl so lösen:
Ordner verschlüsseln, USB Stick an der DS lassen um die Ordner automatisch anzuhängen, pc so einstellen das beim Start eine Benutzeranmeldung erforderlich ist, aktuell startet der pc mit einer automatischen Anmeldung.
Damit sollte das Ziel erreicht sein. Dieb klaut DS und PC, nützt ihm nicht viel. Sollte er sich wirklich die Mühe machen alles bei sich zu Hause aufzubauen kommt er dennoch nicht ganz ohne Mühen an die Daten, da der PC ein Kennwort verlangt.startet er die DS ohne PC kommt er auch nicht an die Daten, da er den Benutzer der DS nicht kennt. Reset drücken hilft auch nicht wirklich weiter.
Ja, der Profi umgeht sicher die Anmeldung am PC.ja, es gibt immer Wege um an die Daten zu kommen. Ich denke aber das der normale Kriminelle eher die Einzelteile vertickt und nicht mühselig versucht die Daten eines Durchschnittsbürgers zu entschlüsseln.
So, jetzt kommt ihr wieder.

Ne Mördock, da ist noch ein Denkfehler drin.wenn.........


Mördock

 

[Tommes]

Ne Mördock, da ist noch ein Denkfehler drin.........

... denn zugegeben, selbst wenn ich mich noch nicht wirklich mit dem Thema befasst habe, so macht das hier doch wohl wenig Sinn...

Ordner verschlüsseln, USB Stick an der DS lassen um die Ordner automatisch anzuhängen...

... da du den Schlüssel ja auf dem USB-Stick packst um die Ordner entsprechend beim Start zu entschlüsseln. Wenn der Stick also ständig an der DS bleibt, macht das in meinen Augen doch keinen Sinn... oder habe ich da jetzt einen Denkfehler?

Für mich ist der einzig logische Weg, die Ordner manuell einzuhängen und zu trennen. Da meine DS im 24/7 Betrieb arbeitet ist der Aufwand ziemlich gering, da die DS eigentlich nur wegen eines DSM-Updates neu gestartet wird. Für mich ist das der ideale Diebstahlschutz. Sicherlich sind die Ordner stets eingehängt und man könnte somit mt genügend krimineller Energie auch Zugriff darauf erlangen, aber das ist dann halt Pech. Da meine DS aber nicht ins Internet zeigt, sondern nur im LAN aktiv ist, halte ich dieses Risiko für durchaus vertretbar.

Ach ja... ich lege übrigens auch unverschlüsselte Backups meiner verschlüsselten Ordner an... Sicher ist Sicher.

Tommes

 

[mördock]

Aber selbst mit USB Stick und DS braucht der Dieb doch auch noch einen Benutzer incl. Kennwort um an die Daten zu kommen, oder?

 

[Tommes]

... er könnte auch einfach die Festplatte ausbauen und mit dem auf dem USB-Stick befindlichen Schlüssel versuchen, den Ordner über ein Linuxsystem zu öffnen. Synologys Verschlüsselungssystem beruht auf eCryptfs, welches man durchaus auch ohne eine DS nutzen kann.

 

[mördock]

Hätte, könnte, würde, wenn......
Wir gehen mal davon aus, dass ein geldgeiler Dieb vorbeikommt, kein Linuxfachmann. Klauen, evtl.zerlegen, verkaufen. Vielleicht vorher einmal anschließen und feststellen das man ohne Kennwort und Arbeit nicht weit kommt.
Ich denke nochmal drüber nach welchen weg und welchen Aufwand(für den Anwender) ich einschlage.

Mördock

 

[NSFH]

dann macht es eher Sinn den Schlüsselmanager auf dem eigenen PC zu haben bzw auf den PCs, die auf die Syno Zugriff haben sollen.
Ob die Passphrase wie früher in der DS oder jetzt mit USB Stick ausserhalb liegt macht für mich keinen Unterschied, wenn der Stick immer angeschlossen bleibt.
Eine Lösung ist vielleicht den USB Stick am USB Port des Routers stecken zu lassen als Freigabe für die Syno. An der Fritz würde sowas zB funktionieren. Dann sind DS und Schlüssselmanger getrennt, meist wohl auch räumlich, haben im LAN aber immer Verbindung. Wird die Syno geklaut müsste auch noch der Router mit verschwinden und ohne hat ein Dieb keine Chance an das Teil ran zu kommen.

 

[Tommes]

Der von dir beschriebene Weg, den Schlüssel auf den Router zu packen, wäre für mich auch am sinnvollsten. Aber wenn ich das hier lese...

Hätte, könnte, würde, wenn......

.... stellt sich mir die Frage, ob eine Verschlüsseung bei dir wirklich Sinn macht. Da du ja selber sagst, das man ohne Zugangsdaten zum DSM eh nicht an die Daten kommt, benötigst du wohl auch keine Verschlüsselung. Und wenn du verschlüsselst und den Stick mit dem Schlüssel direkt stecken läßt, ist das wohl das selbe wie ohne Verschlüsselung zu arbeiten.

Sicherheit ist halt auch immer mit Arbeit und einem Mehraufwand verbunden.

Tommes

 

[NSFH]

............
.... stellt sich mir die Frage, ob eine Verschlüsseung bei dir wirklich Sinn macht. Da du ja selber sagst, das man ohne Zugangsdaten zum DSM eh nicht an die Daten kommt, benötigst du wohl auch keine Verschlüsselung. Und wenn du verschlüsselst und den Stick mit dem Schlüssel direkt stecken läßt, ist das wohl das selbe wie ohne Verschlüsselung zu arbeiten.

Sicherheit ist halt auch immer mit Arbeit und einem Mehraufwand verbunden.

Tommes

Falsche Adresse, ich bin nicht der TE!
Die Frage ist was verschlüsselt werden soll. Auf einer von mir betreuten DS werden PersDat Daten der Stufe 3 gespeichert, da geht nix ohne Verschlüsselung.
Meine privaten Daten sind unverschlüsselt. Wer sich die "erhacken" will, bitte sehr, viel Spass damit.....

 

[Tommes]

Falsche Adresse, ich bin nicht der TE!

Du bist aber pingelig *g*

Da der Text unterhalb des Zitates steht, bin ich davon ausgegangen, da sich der richtige angesprochen fühlt.

Tommes