Toggle sidebar

DSM 7.3 Volumeverschlüsselung in DSM 7.3.2-86009

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

L

laurooon

Benutzer
Registriert
24. Feb. 2019
Beiträge
136
Reaktionspunkte
4
Punkte
18
Hallo zusammen,

ich bin auf eine DS1621+ umgestiegen, weil ich die neue Volume-Verschlüsselung haben wollte, bin da aber wohl in eine Falle getappt.
Ich möchte, dass beim Hochfahren der Diskstation NICHT und auf AUF KEINEN FALL die Laufwerke automatisch gemountet werden. Sowas ist grob fahrlässig und unbrauchbar!

Die einzige kleine Hürde hier wäre mein Login-Passwort. Wer dieses kennt bekommt meine verschlüsselten Daten auf dem Silbertablett.

Ich möchte, dass beim Hochfahren entweder:

1. Ein USB-Stick mit den .rkey Dateien darauf zum Entsperren verwendet wird ODER
2. Das Passwort zum mounten der Volumes zwingend eingegeben werden muss.

Wer das nicht hat, kommt nicht rein. Leider finde ich nirgends eine derartige Option.

Workaround (was bitte keine Lösung sein kann) = Ordnerverschlüsselung. Das geht zwar, erfordert aber erstens extrem viel Zusatzzeit und reduziert außerdem die Systemleistung merklich. Eine Ordnerverschlüsselung hätte meine DS1618+ auch geboten, dafür hätte ich nicht auf die 1621+ wechseln müssen.

Hab ich hier was übersehen, oder ist das echt der Ernst von Synology!?

Viele Grüße,
laurooon
 
  • Like
Reaktionen: stevenfreiburg
Suche mal nach KMIP-Server als Option…
 
  • Like
Reaktionen: Benie
Das Thema interessiert mich als Newbie auch. Verschlüsselung ist ein KO Kriterium für mich. Aber wenn du doch ein rel. komplexes Account Passwort verwendest, ist doch alles safe? Ohne PW kommt niemand an die Daten, auch im Falle eines NAS Diebstahls.
 
Das ist schon richtig das Passwort bietet eine gewisse Sicherheit, Aber warum überhaupt eine Verschlüsselung wenn nach wie vor das Passwort das einzige Hemmnis ist aber die Schlüssel automatisch angehangen werden. Das ist wie ein fettes Schloss zu haben in dem der Schlüssel steckt . Die Verschlüsselung sollte eine zweite Sicherheitsebene sein verfehlt so aber einen Großteil ihrer Wirkung
 
Habe solche Einwände paar Mal gelesen, verstehe ich nur nicht ganz. Jeder Tresor (analog oder digital) hat doch erstmal nur einen Schlüssel bzw. PIN? Egal ob in ner Bank oder ein Hotelsafe. Ist doch das gleiche Prinzip? Genauso wie mein Notebook (mit systemseitiger Verschlüsselung) eben genau 1 Passwort hat - auch mein berufliches Notebook. An diesem einen PIN hängt eben alles. Genauso wie jedes Smartphone mit dem EINEN Key komplett für alle zugänglich wird (Facelock, Fingerprint oder PIN). Genauso wie man mit dem Haustürschlüssel ins Haus kommt.

"Das ist wie ein fettes Schloss zu haben in dem der Schlüssel steckt" - Das ist doch faktisch falsch? Das PW ist der Schlüssel, und den gibts nur in meinem Kopf.

Ja man kann es noch zusätzlich absichern, über nen Key auf nem USB Stick oder so, für mich persönlich aber keine Option, nicht prakikabel.

Synology wird sich ja schon was dabei gedacht haben?
 
Das funktioniert nicht. Wir müssen zwischen der Ordner-Verschlüsselung (älteres System, welches stark Performance kostet) und der Volume-Verschlüsselung unterscheiden. Die DS1621+ unterstützt die schnelle Volume-Verschlüsselung, die jedoch leider das von mir beschriebene Problem hat. Bei der Ordner-Verschlüsselung funktioniert es, wie von dir vorgeschlagen.
 
Zuletzt bearbeitet von einem Moderator:
  • Like
Reaktionen: stevenfreiburg
ch80 schrieb:
"Das ist wie ein fettes Schloss zu haben in dem der Schlüssel steckt" - Das ist doch faktisch falsch? Das PW ist der Schlüssel, und den gibts nur in meinem Kopf.
Zum Vergrößern anklicken....

Das hängt ganz davon ab, was für ein Sicherheitsbedürfnis man hat. Ich unterscheide da 3 "Eskalationsstufen".

1. Ein Dieb klaut die einzelnen Festplatten aus deinem NAS. Ergebnis: Gut, der Dieb kann zwar die Hardware verhökern, aber er sieht auf den Festplatten dank der Verschlüsselung nur Datensalat. Deine Daten sind sicher.

2. Ein Dieb klaut das ganze NAS. Ergebnis: OK, aber schon gefährlicher. Der Dieb wird vermutlich weiterhin nur die Festplatten verkaufen wollen und das NAS, aber hätte er dein Passwort irgendwo aus dem Darknet, könnte er alle Daten im Klartext sehen.

3. Der Endgegner. Behördlicher Zugriff auf dein NAS/Beschlagnahmung. Sollte es dazu kommen, hast du es nicht mehr mit Idioten zu tun, sondern mit Datenforensikern. Die stehen zwar auch vor technischen Hürden (AES-256 ist faktisch unknackbar), haben sie aber andere Möglichkeiten. Wenn der Key nun im Schlüsselmanager lokal liegt, dann werden die Festplatten gemounted noch bevor du das Passwort eingibst, das passiert beim Bootvorgang im Hintergrund. Das Passwort liegt in dem Moment im Arbeitspeicher und Spezialisten können diesen auslesen (Kältespraytrick). Wäre das Password stattdessen auf einem Stick wäre das zumindest eine Rückfalleebene. Die Sticks oder das Passwort werden zum Entsperren benötigt.
 
Mal eine ketzerische Frage wenn du so auf Sicherheit bedacht bist: Wieso nutzt du keine 2FA Anmeldung um den unbefugten Zugriff auf dein NAS zu verhindern?
Die Verschlüsselung der Festplatten ist immer ratsam für den Fall, dass ein Garantiefall eintritt! Niemand weiss, was mit der eingesandten HD passiert.
 
Ich streite gar nicht ab, das Verschlüsselung besser ist, als unverschlüsselte Daten auf der Festplatte zu haben. Nur eine grundsätzlich gute Volumeverschlüsselung anzubieten bei gleichzeitigem Zwang das Passwort dafür im lokalen KeyVault zu haben, der sich nur auf der Diskstation oder irgendeinem Rasperry Pie befinden darf und nicht extern auf einem USB-Dongle ist für mich schwer nachvollziehbar. Eine 2FA Anmeldung ist grundsätzlich super und auch von mir so eingerichtet.
 
Ich stimme dir zu - die Volume-Verschlüsselung bei Synology könnte besser sein.
Es gibt nur:
- Automatische Entschlüsselung beim Booten (Key liegt auf dem NAS)
oder
- Entsperren über einen externen KMIP-Server.

Ein Wahlmodell mit z.B. USB-Keyfile oder Passwortabfrage beim Start existiert nicht.

Zum Vergleich:
Mein Linux mit LUKS Verschlüsselung habe ich so eingerichtet, dass entweder per USB-Keyfile entsperrt wird oder - falls der Stick fehlt - ein Passwort eingegeben werden kann/muss. Wer beides nicht hat, kann das System nicht booten; es bleibt verschlüsselt.

Fairerweise: Aus eigener Erfahrung weiß ich, dass die Umsetzung dieses Verfahrens in Linux bei weitem nicht so trivial ist, wie es sich anhört (und sein sollte). Deswegen vermute ich, dass diese suboptimale Synology Volumen Verschlüsselung auch Linux bedingt ist.
 
Man kann nach wie vor Freigaben verschlüsseln und den Key ausserhalb belassen.
 
Also hatten wir fest, dass für @laurooon zwei Dinge seine Anfrage lösen, zumindest zum Teil: Volumenverschlüsslung in Verbindung mit Ordnerverschlüsselung oder ein KMIP-Server.
 
Ja richtig, so sehe ich es im Augenblick auch. Problem ist halt bei der Ordner Verschlüsselung sinkt die Performance erheblich. Ich verwende FreefileSync um meine DiskStation regelmäßig mit meinem Backup zu synchronisieren. Ohne Ordner Verschlüsselung dauert das Einlesen des gesamten NAS ca 3 Minuten, mit Ordner Verschlüsselung fast 20 Minuten. Der Overhead ist schon echt heftig.
 
Ja ich hatte aber selbst den Fall dass das Wiedergeben von größeren Videodateien im Netzwerk auf einmal zu Rucklern gefühlt hat mit Ordner-Verschlüsselung, das ist dann schon etwas wo es von der Usability her kritisch ist. Oder das Öffnen von Ordnern mit sehr vielen Unterordnen, da friert für 20 Sekunden der Explorer ein. Mit der aktuellen volumenverschlüsselung bleibt das System weiterhin hochperformant. Der Leistungseinbruch liegt höchstens im messbaren Bereich Aber nicht mehr im spürbaren
 
Das ist auch nicht ideal aber ich denke Das wäre in Ordnung. Ich habe keine derart lange Dateinamen Aber eine Einschränkung ist es natürlich schon. Ich hoffe das künftige DSM Versionen etwas mehr ermöglichen. ..
 

Additional post fields

NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten