Toggle sidebar

Fragen zur Verschlüsselung und dem Schlüsselmanager

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

S

schwix

Benutzer
Registriert
26. Feb. 2020
Beiträge
14
Reaktionspunkte
0
Punkte
1
Ich würde gerne einzelne Gemeinsame Ordner auf meinem NAS verschlüsseln.
Meine Vorstellung zu dieser Verschlüsselung ist analog zum BitLocker von Windows:

Jetzt bietet Synology an nen Schlüsselmanager zu benutzen. Aber wenn ich das richtig verstehe ist der einzige Vorteil des Schlüsselmanagers,
alle Laufwerke auf einmal zu mounten und dies im Zweifelsfall automatisch beim booten zu tun?

Spricht irgendetwas dagegen, den Schlüsselmanager nicht zu benutzen und die *.key Dateien manuell an einem sicheren Ort aufzubewahren für den Fall dass man das Passwort zum Entschlüsseln vergessen hat? Alles was ich tun müsste, wäre nach einem neustart im DSM die gemeinsamen Ordner einmal manuell zu mounten, richtig?

Danke schonmal

Jan
 
Moinsen,
Ja. Ist genau so, es dient zum automatischen mounten.
Kann auf dem NAS selber angelegt werden (suboptimal) oder auf zb USB Stick oder oder...
Oder du pfeifst auf ein automatisches wiedereinhängen, wenn dein NAS mal vom Strom war oder reboot Pause genommen hat.
Je nach Anwendung und setting ist sowas wichtig, birgt aber auch Risiken bzgl des eigentlichen Sinnes, nämlich wenn der USB Stick ungesichert dauerhaft am NAS hängt...
;)
 
Moinsen,
Achso... Kannste einfach jedes Mal manuell machen. Mache ich hier auch so... Mit key oder pw.
 
Also ich finden den Schlüsselmanager inzwischen sehr hilfreich. Ich habe die Daten auf einer externen USB-Platte, die dauerhaft an der NAS hängt. Daher nutze ich das automatische Einhängen nicht. So muss ich nach dem Reboot einmal das Passwort für den Schlüsselmanager eingeben und kann dann alle verschlüsselten Ordner einhängen. Hier sehe ich kein grosses Risiko, da ja die Daten des Schlüsselmanagers verschlüsselt und mittels Passwort geschützt sind (ein sicheres! Passwort vorausgesetzt).
Allerdings - nur zur Beruhigung: Wenn Deine NAS mal incl. USB-Platte geklaut wird und der Dieb Deine Login-Daten nicht kennt, muss er ein Reset machen und damit wird auch der Schlüsselmanager gelöscht. Somit bleibt ihm der Zugriff auf Deine verschlüsselten Ordner verwehrt.
 
the other schrieb:
Moinsen,
Ja. Ist genau so, es dient zum automatischen mounten.
Kann auf dem NAS selber angelegt werden (suboptimal) oder auf zb USB Stick oder oder...
Oder du pfeifst auf ein automatisches wiedereinhängen, wenn dein NAS mal vom Strom war oder reboot Pause genommen hat.
Je nach Anwendung und setting ist sowas wichtig, birgt aber auch Risiken bzgl des eigentlichen Sinnes, nämlich wenn der USB Stick ungesichert dauerhaft am NAS hängt...
;)
Zum Vergrößern anklicken....


Wie funzt das mit dem USB-Stick ?

Sag ich dem Schlüsselmanger er soll die keys auf den Stick schreiben und dann ?
Muss der dann eingesteckt bleiben, was ja blödisnn wäre oder dient er nur als "key-Backup" und ich leg den auf die Seite ?


Offtopic :

Wenn ich einen Ordner nachtärglich verschlüssel, was passiert dann mit den kopierten Daten ?
Überschriebt die DS die Daten oder liegen die dann blank im Nirvana der Festplatte ?
 
Moinsen,
wenn du das NAS ausschaltest werden die verschlüselten gem. Ordner ausgehängt. Beim nächsten Hochfahren sind diese weiterhin ausgehängt, zum Einhängen benötigst du dann die keys. Da diese auf dem USB Stick sind muss der dann zum Einhängen am NAS eingesteckt sein. Danach kannst du den Stick wieder entfernen.
Da (m)ein NAS oft 24/7 läuft kann der Stick also einfach an einem sicheren Ort (welcher NICHT am NAS ist) verweilen.
Alternativ kannst du auch mit Passwort einhängen, das geht dann eben nicht automatisch. Hintergrund ist vor allem der Schutz deiner Daten bei Diebstahl. Gerät weg, Daten weg...aber durch die Verschlüsselung und hoffentlich nicht anhängendem Stick daher kein Nutzen für den Dieb.
Wenn du einen Ordner nachträglich verschlüsselst, dann werden die enthaltenen Daten verschlüsselt. AFAIK werden dazu die Daten quasi in einen neuen verschlüsselten Daten kopiert, danach der (unverschlüsselte) Ordner entfernt, deswegen benötigt das nachträglich Verschlüsseln auch kurz etwas mehr Speicherplatz. So jedenfalls mein Verständnis dazu, mag aber sein, dass das gleich von jemandem korrigiert wird...
;)
 
  • Like
Reaktionen: RAIDler
Ich handhabe es so wie @whitbread und lasse den Stick in der RS stecken.
Macht sich blöd in einem Serverschrank nach Neustart die RS zu ziehen um den Stick anzustecken. Geht sicherlich auch mit USB-Verlängerung, sei es drum.
Ich habe ein sehr langes sicheres Passwort für den Stick gewählt und bin mir ich ziemlich sicher, dass es nicht so einfach ist die Ordner zu "knacken".
 
  • Like
Reaktionen: RAIDler
the other schrieb:
Moinsen,
wenn du das NAS ausschaltest werden die verschlüselten gem. Ordner ausgehängt. Beim nächsten Hochfahren sind diese weiterhin ausgehängt, zum Einhängen benötigst du dann die keys. Da diese auf dem USB Stick sind muss der dann zum Einhängen am NAS eingesteckt sein. Danach kannst du den Stick wieder entfernen.
Da (m)ein NAS oft 24/7 läuft kann der Stick also einfach an einem sicheren Ort (welcher NICHT am NAS ist) verweilen.
Alternativ kannst du auch mit Passwort einhängen, das geht dann eben nicht automatisch. Hintergrund ist vor allem der Schutz deiner Daten bei Diebstahl. Gerät weg, Daten weg...aber durch die Verschlüsselung und hoffentlich nicht anhängendem Stick daher kein Nutzen für den Dieb.
Wenn du einen Ordner nachträglich verschlüsselst, dann werden die enthaltenen Daten verschlüsselt. AFAIK werden dazu die Daten quasi in einen neuen verschlüsselten Daten kopiert, danach der (unverschlüsselte) Ordner entfernt, deswegen benötigt das nachträglich Verschlüsseln auch kurz etwas mehr Speicherplatz. So jedenfalls mein Verständnis dazu, mag aber sein, dass das gleich von jemandem korrigiert wird...
;)
Zum Vergrößern anklicken....
Ich habe an DS920+ "nur" 2 USB-Anschlüsse, die beide dauerhaft belegt sind (USV und externe Backup-Platte)
Da fällt die USB-Stick-Variante wohl ins Wasser, leider :-(

Was aber mit den vorher unverschlüsselten Daten passiert, ist unklar ? Könnte also sein, dass die "böser" Mensch, rekonstruieren kann, wenn er das Teil geklaut hat ?
 
Aevin schrieb:
Ich handhabe es so wie @whitbread und lasse den Stick in der RS stecken.
Macht sich blöd in einem Serverschrank nach Neustart die RS zu ziehen um den Stick anzustecken. Geht sicherlich auch mit USB-Verlängerung, sei es drum.
Ich habe ein sehr langes sicheres Passwort für den Stick gewählt und bin mir ich ziemlich sicher, dass es nicht so einfach ist die Ordner zu "knacken".
Zum Vergrößern anklicken....
Also kann ich mit einem sehr sicher gewählten Passwort, für den Schlüsselamanager, auch ohne USB-Stick Variante klar kommen ?
Der "Dieb" müsste ja erstmal das Passwort knacken ....
 
@the other

ich mache es inzwischen genau so. Letztlich starte ich das NAS ja nicht dauernd neu, daher ist der Aufwand die Festplatten in den paar Fällen neu einzuhängen marginal. Danke für den Rat.
 
RAIDler schrieb:
Also kann ich mit einem sehr sicher gewählten Passwort, für den Schlüsselamanager, auch ohne USB-Stick Variante klar kommen ?
Der "Dieb" müsste ja erstmal das Passwort knacken ....
Zum Vergrößern anklicken....
Ich glaube wir reden da ein bisschen aneinander vorbei. Ich habe ja einen ganz kleinen USB Stick angehangen und dort den Schlüsselmanager mit meinem "MEGA" - Passwort :p drauf. Den ziehe ich auch nicht ab und muss nach Neustart nur den Schlüsselmanager vom USB Stick aktivieren und nach einmaliger Passworteingabe werden alle Ordner wieder eingehangen.
 
  • Like
Reaktionen: RAIDler
Aevin schrieb:
Ich glaube wir reden da ein bisschen aneinander vorbei. Ich habe ja einen ganz kleinen USB Stick angehangen und dort den Schlüsselmanager mit meinem "MEGA" - Passwort :p drauf. Den ziehe ich auch nicht ab und muss nach Neustart nur den Schlüsselmanager vom USB Stick aktivieren und nach einmaliger Passworteingabe werden alle Ordner wieder eingehangen.
Zum Vergrößern anklicken....
Nochmal zum Verständis :

Die UBS-Stick Variante geht ja bei mir nicht, wegen nicht ausreichenden USB-Anschlüssen.:cry:

Ich kann also

1. den Schlüsselmanger nehmen, damit der mir alle verschlüsselten Ordner auf einmal entsperrt ?
2. jeden Ordner einzel entsperren, jedesmal wenn die DS neu startet ?


Noch ein paar letzte Fragen, bevor ich nun diverse Ordner nachträglich verschlüssel ::)

Meine DS läuft nur von 05:00 - 21:30 Uhr, dass heißt dann, ich muss jeden morgen am PC alles freigeben ?
Vom Smartphone aus entsperren geht nicht ?
Werden die Zugriffszeiten extrem langsamer ?
Wenn ich den Schlüsselmanger nutze, und die DS wird geklaut, dann muss aber erst das von mir gewählte Passwort geknackt werden, oder ?
Da ich kein USB-Stick nutzen kann, kann ich nmur noch die externe Backup-Platte auswählen für den Schlüssel zu speichern, macht das Sinn, oder lieber dann händisch für die 2/3 Ordner das Passwort eingeben ?
Das ganze System einfach verschlüsseln...Geht das nicht, und wäre das nicht einfacher ?

Danke vielmals !!!!!(y)(y)(y)

Grüße
 
  • Like
Reaktionen: RAIDler
Mal für mich zum Verständnis: die Eingabe des Passwords findet ja im DSM statt, also im Browser, richtig?

Ist das ein manueller Vorgang, in dem Sinne, dass ich im DSM irgendwas tun muss um die Ordner zu mounten? Da steht wohl kein Popup nach der Anmeldung im DSM, welches mich zur Password Eingabe auffordert, oder?
 
Yippie schrieb:
Ist das ein manueller Vorgang
Zum Vergrößern anklicken....
Ja, du musst in die Systemeinstellung, dann auf gemeinsame Ordner, dann den Ordner auswählen, Verschlüsselung wählen, Passwort eingeben und bestätigen. Bei mehreren Ordnern musst du das mehrmals machen. Fazit: mühselig.
Auf der Konsole (per Script) ist das Mounten ein Einzeiler.
Code: 
synoshare --enc_mount "GemeinsamerORDNER" PASSWORD
 
Yippie schrieb:
Einzeiler aber je Ordner
Zum Vergrößern anklicken....
Das kann man auch automatisieren, z.B. die Ordnernamen in einen Array schreiben und daraus auslesen. Bei mir sind es fast 20 Ordner, funktioniert tadellos. Wenn du aber das NAS klaust, geht nichts mehr.
 
Danke dir!
 
Wenn meine DS morgens um 5 Uhr startet und ich aus Sicherheitsgründen nicht den Manager nehme, dann müsste ich also auch den PC anmachen um die Ordner einzuhängen ?

Kann ich das einhängen auch via Smartphone von unterwegs aus machen ?

Schreiben die Apps auch Daten in die Ordner von unterwegs, wenn diese nicht eingehangen sind ?
 

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten