DSM 6.x und darunter Schlüsselmanager bietet als Chiffre für Schlüssel kein Passphrase an

Alle DSM Version von DSM 6.x und älter

3x3cut0r

Benutzer
Mitglied seit
21. Mai 2011
Beiträge
489
Punkte für Reaktionen
11
Punkte
24
Hallo
ich habe einige meiner Gemeinsamen Ordner verschlüsselt und möchte diese per Schlüsselmanager nach einem reboot der DS alle gemeinsam mounten.
Dies funktioniert mit dem Schlüsselmanager und "Rechnerschlüssel" als Chiffre für Schlüssel auch sehr gut.
Das hat jedoch den Nachteil, das ich hier keine Passphrase o.Ä. eingeben muss. So könnte jeder, der sich Admin-Rechte verschafft, meine Gemeinsamen Ordner mounten ohne die Passphrases bzw. Schlüssel der einzelnen Ordner kennen zu müssen.

Wie bekomme ich den Schlüsselmanager dazu das ich Passphrase als Chiffre für Schlüssel angeboten bekomme?
Diese Option wird mir, entgegen dem Artikel in der Wissensdatenbank, garnicht erst angeboten.

Danke
 

himitsu

Benutzer
Sehr erfahren
Mitglied seit
22. Okt 2018
Beiträge
2.904
Punkte für Reaktionen
336
Punkte
123
Ich dachte die Passphrase wird nur zum Verschlüsseln des Schlüsselspeichers auf der Platte/USB-Stick verwendet. (bräuchte man dann nach Neuinstallation/Rücksetzen des DSM, um den Schlüsselspeicher wieder öffnen zu können)

Tja, Wenn der Admin da nicht rankommen soll, dann darf der Ordner eben nicht automatisch entsperrt werden, sondern der User muss es immer manuell machen,
*aber* so lange, wie jemand den Ordner gemountet hat, kommt der Admin und jeder andere mit Rechten natürlich da auch drauf.
 

3x3cut0r

Benutzer
Mitglied seit
21. Mai 2011
Beiträge
489
Punkte für Reaktionen
11
Punkte
24
Das die Passphrase nur zum Verschlüsseln des Schlüsselspeichers verwendet wird ist ja in Ordnung, aber was bringt es wenn die Passphrase nicht verlangt wird?
Es geht mir nicht darum, das der Admin nicht dran kommen soll, sondern dass selbst er so leicht ohne Passphrase hin kommt.
Annahme: mir klaut jemand meine DS und resettet das Admin Passwort kann er dann auch direkt die Verschlüsselten Volumes mounten?!
Entweder ich verzichte dann auf den Schlüsselmanager und gebe für jedes Volume nach jedem Neustart die Passphrases einzelnd ein oder ich lass es mit der Verschlüsselung gänzlich bleiben :confused:

Mir geht es darum (siehe Screenshot): Warum wird mir hier die 2. Option garnicht angeboten mit der Passphrase?
Bildschirmfoto 2019-02-01 um 07.00.10.jpg
 
Zuletzt bearbeitet:

Lucifor

Benutzer
Mitglied seit
22. Jan 2019
Beiträge
57
Punkte für Reaktionen
0
Punkte
12
Naja, ich denke du gehts falsch an die Sache heran.
Die Verschlüsselung dient dazu unbefugten Zugriff auf verschlüsselte Shares zu verweigern bzw unmöglich zu machen, NACHDEM die DS aus/und/oder gestohlen wurde. Es hat also überhaupt _keinen_ Sinn die Schlüssel auf der DS zu belassen und automatisch beim Start der DS zu mounten. Wenn du das so machst kannste die die VErschlüsselung sparen und besser die Performace die durch die Verschlüsselung verloren geht, nutzen.

Besser so:
USB Stick als Keymanager benutzen. (USB Stick in der DS als ex4 Laufwerk installieren)
USB Stick einen eindeutigen NAmen geben, hier : Keymanager
In der Systemsteuerung "Freigegebene Ordner" die Shares verschlüsseln und als Speicherort für den Schlüssel das Laufwerk Keymanager benutzen. Das Laufwerk Keymanager ist ebenfalls verschlüsselt und dieses Passwort dient als Masterpasswort.
Bei der Verschlüsselung der shares muss du nun ein Passwort für die VErschlüsselung benennen UNd den Masterkey des Sticks eingeben.
Unter AKtionen dann Automatisches Mounten beim start einschalten und den Haken setzten "Nach dem Start Laufwerk auswerfen!)

Hast du das mit ALLEN verschlüsselten Shares getan, wird anhand des Sticks die DS gestartet und die Shares aingebunden, danach im DSM den Stick auswerfen und gut weg tun, der wird nur beim Strat der DS benötigt.
Fertig.

Das Chiffre sollte auf Rechnerschlüssel bleiben, das hat den Sinn das die Shares sogar mit korrektem Passwort/Key NUR auf dieser DS eingebunden werden, jede andere DS oder anderes Raid-System kann die Daten trotzem NICHT einbinden.
Nachteil: Hardwareschaden an der DS (nicht die Platten!, sondern das Board!) und Pustekuchen mit den Daten. (Also Backup vorhalten!) (Verschlüsselt versteht sich)

Es gibt auf Tube ein gutes Video von iDomix zu diesem Thema.
 

3x3cut0r

Benutzer
Mitglied seit
21. Mai 2011
Beiträge
489
Punkte für Reaktionen
11
Punkte
24
Ich verstehe ja was du sagst ... und meine Frage ist nur: Warum er die Passphrase bzw. das "Masterpasswort" wie du es nennst nicht auch abfragt, wenn die schlüssel auf der Systempartition liegen?
Warum gibt es hier einen Unterscheid in dem Verhalten zu einem USB-Stick?
 

Lucifor

Benutzer
Mitglied seit
22. Jan 2019
Beiträge
57
Punkte für Reaktionen
0
Punkte
12
Ich weiss es nicht genau, aber meiner Meinung nach wäre das eh unsinn.

Wenn du ein Passwort benötigst um ein Passwort abzufragen.. Die Phassprase macht nur Sinn wenn die Passwörter woanders als im Zielsystem liegen (Um die Passwörter der Shares zu schützen), ansonsten fragt man unsinniger Weise zweimal ein passwort ab.
(Einmal das Passwort um das Share einzuhängen und einmal ein Passwort um das Passwort abzufragen, ergibt also einfach keinen Sinn)

Es ist (so denke ich) also nicht nötig wenn die Passwörter der Shares im System liegen daszu ein Passwort abzufragen. Vorausgesetzt man benutzt den Keymanager... Lässt du den ganz weg, wird erst nach Eingabe des PW das Share eingehangen.
 

3x3cut0r

Benutzer
Mitglied seit
21. Mai 2011
Beiträge
489
Punkte für Reaktionen
11
Punkte
24
Ich habe es jetzt herausgefunden.
Die Passphrase als Chiffre ist nur in Verbindung mit einem USB-Stick möglich, jedoch nicht von der System-Partition.
Es gibt für mich zwar absolut keinen logischen Grund warum man die Passphrase nicht auch beim Speichern der Keys auf der System-Partition anbietet aber ich nehme es jetzt einfach mal so hin und gut is.

Danke trotzdem
 

himitsu

Benutzer
Sehr erfahren
Mitglied seit
22. Okt 2018
Beiträge
2.904
Punkte für Reaktionen
336
Punkte
123
Sagen wir es mal so, wenn automatisch entschlüsselt wird, dann liegt auf deiner Systempartition irgendwo die Passphrase rum, quasi offen neben dem Schlüsselspeicher.
Es ist also sinnlos da noch verschlüsseln zu wollen, wenn der Schlüssel unter der Fußmatte liegt.

Beim USB-Stick: Wenn den jemand klaut oder du ihn irgendwo verlierst, dann sind die Schlüssel darauf sicher, weil ja verschlüsselt und die Passphrase wo anders liegt.
 

3x3cut0r

Benutzer
Mitglied seit
21. Mai 2011
Beiträge
489
Punkte für Reaktionen
11
Punkte
24
Wer behauptet denn das ich irgendwas automatisch entschlüsselt haben will ?!
Tut mir leid ich verstehe nicht was es für einen Unterschied macht ob der Schlüsselspeicher nun _verschlüsselt_ auf einem USB-Stick oder _verschlüsselt_ auf der System-Partition liegt?!
Warum kann ich nicht auch eine Passphrase zum ver/entschlüsseln des Schlüsselspeichers auf der System-Partition verwenden?
 

Lucifor

Benutzer
Mitglied seit
22. Jan 2019
Beiträge
57
Punkte für Reaktionen
0
Punkte
12
Einen sehr großen. Einen verdammt großen!
Angenommen man nutzt für jedes Share einen anderes Passwort (hoffentlich ist das so!) und diese liegen auf der Systempartition. Somit benötigt der Angreifer NUR EIN Passwort zu knacken und alle Shares sind eingebunden. (Das PW des Keymanagers)
Wer das tut kann auf die Verschlüsselung wie gesagt gleich verzichten.
 

3x3cut0r

Benutzer
Mitglied seit
21. Mai 2011
Beiträge
489
Punkte für Reaktionen
11
Punkte
24
Und jetzt die Gegenfrage:
Worin besteht jetzt der Unterschied wenn alles auf dem USB-Stick liegt? Auch da braucht dann der Angreifer nur ein Passwort zu knacken und kommt an alle Shares ...
 

Ramihyn

Benutzer
Mitglied seit
14. Mai 2017
Beiträge
332
Punkte für Reaktionen
60
Punkte
34
Siehe #4 von Lucifor. Nochmals lesen, nachdenken, hoffentlich verstehen. Er hat das eigentlich sehr gut beschrieben, wie mans richtig macht.
 

Lucifor

Benutzer
Mitglied seit
22. Jan 2019
Beiträge
57
Punkte für Reaktionen
0
Punkte
12
Danke :)
 

hiddenass

Benutzer
Mitglied seit
16. Feb 2019
Beiträge
36
Punkte für Reaktionen
0
Punkte
12
Ich möchte mich hier mal anschließen, um nicht extra einen neuen Thread zu eröffnen.

Für meine Frau und mich habe ich auf unserem ersten und neuen NAS DS218 jeweils einen geteilten Ordner mit unseren Namen angelegt, sowie einen geteilten Family Ordner. Verschlüsselung aktiviert, Passwort festgelegt und die drei Passwort Dateien ordentlich abgelegt. Nach einem Neustart getestet, geteilte Ordner werden (wie gewünscht), nicht einfach automatisch eingehängt. Ich kann sie manuell einhängen, Passwort Eingabe funktioniert, Datei zur Entschlüsselung funktioniert. Top.
- wird mein NAS gestohlen und neu hoch gefahren, dann sind die Ordner verschlossen
- geht eine WD Red innerhalb der Garantie flöten, dann sende ich sie ein und WD sollte auch keine Dateien von mir sehen (ist ja verschlüsselt)

Nun sehe ich als dritte Variante zum Entschlüsseln (als Admin angemeldet) aber "Schlüsselmanager". Angewählt und Ordner wird automatisch eingehängt. Dazu habe ich nun eine Frage:
Ist hier alles "sicher", da ein Dieb ja auch erst als Admin angemeldet sein und zusätzlich das Admin Kennwort kennen müsste, um überhaupt an den Schlüselmanager zu kommen und ohne Passwort zu entschlüseln? Oder übersehe ich hier etwas?
 
Zuletzt bearbeitet:

3x3cut0r

Benutzer
Mitglied seit
21. Mai 2011
Beiträge
489
Punkte für Reaktionen
11
Punkte
24
... in meinen Augen nicht!, da:
Das Admin-Passwort keine Sicherheit darstellt, da ich der Meinung bin, das man bei jedem Linux-basiertem Betriebssystem das root-passwort zurücksetzen / überschreiben kann, sobald man physischen Zugang zum Gerät hat.
Ist das der Fall hat man auch Zugang zu Schlüsselmanager.
Deshalb würde ich diesen auch nur mit Passphrase verwenden, was nur geht, wenn du ihn auf einen Externen USB-Datenträger speicherst und nicht auf der System-Partition ...

Gruß
 

hiddenass

Benutzer
Mitglied seit
16. Feb 2019
Beiträge
36
Punkte für Reaktionen
0
Punkte
12
@ 3x3cut0r
Danke. Interessanter Einwand.

Alle 3 Einträge / Ordner sind im Schlüsselmanager als Chiffre Rechnerschlüssel geführt. Wenn ich nun einfach alle 3 Einträge / Ordner aus dem Schlüsselmanager entferne:
- hat sich das Problem dann erledigt?
- funktioniert vermutlich die Passwortdatei nicht mehr?
- aber ich sollte weiterhin mittels manueller Eingabe die Laufwerke einhängen können?

Könnte sonst nochmal gucken, ob ich sie mit Chiffre Rechnerschlüssel entfernen und als Passphrase neu anlegen kann. Wenn ich ganz neue Ordner dafür anlegen müsste, Dateien da rein kopieren, usw....das wäre natürlich ätzend ;-)

... in meinen Augen nicht!, da:
Das Admin-Passwort keine Sicherheit darstellt, da ich der Meinung bin, das man bei jedem Linux-basiertem Betriebssystem das root-passwort zurücksetzen / überschreiben kann, sobald man physischen Zugang zum Gerät hat.
Ist das der Fall hat man auch Zugang zu Schlüsselmanager.
Deshalb würde ich diesen auch nur mit Passphrase verwenden, was nur geht, wenn du ihn auf einen Externen USB-Datenträger speicherst und nicht auf der System-Partition ...

Gruß
Wenn ich den USB Stick ext4 formatiere und den Schlüssel darauf verschlüsselt speichere, dann stecke ich den Stick zur Entschlüsselung mit dem Schlüsselmanager an. Ok. Ist der Stick defekt, dann komme ich aber weiterhin mittels manueller Eingabe des Passwortes an meine Ordner, ja?
 

hiddenass

Benutzer
Mitglied seit
16. Feb 2019
Beiträge
36
Punkte für Reaktionen
0
Punkte
12
Sorry für den Doppelpost. Aber:
Gerade mal getestet. Einträge aus dem Manager entfernt. Einen leeren Ordner getrennt. Lässt sich weiter manuell und mit der gespeicherten Passwortdatei einhängen. Wozu der externe USB? Nur zur Bequemlichkeit, damit ich möglichst wenig tun muss?
Kann doch theoretisch die Passwort Dateien auf einem Stick ablegen (gut versteckt) und die Schlüssel davon einbinden (an den Rechner gesteckt). Vielleicht stehe ich auch noch ziemlich auf dem Schlauch. Mein erster NAS, bisher nur mit TrueCrypt / VeraCrypt Ordnern gearbeitet zur Verschlüsselung. Entschuldigt daher bitte etwas doof anmutende Fragen :rolleyes:
 

3x3cut0r

Benutzer
Mitglied seit
21. Mai 2011
Beiträge
489
Punkte für Reaktionen
11
Punkte
24
- hat sich das Problem dann erledigt?
ja
- funktioniert vermutlich die Passwortdatei nicht mehr?
klar funktioniert die noch! du hast ja durch das löschen das passwort nicht geändert.
- aber ich sollte weiterhin mittels manueller Eingabe die Laufwerke einhängen können?
ja
Ist der Stick defekt, dann komme ich aber weiterhin mittels manueller Eingabe des Passwortes an meine Ordner, ja?
ja!
Wozu der externe USB? Nur zur Bequemlichkeit, damit ich möglichst wenig tun muss?
So richtig erschließt sich mir der Sinn leider auch nicht. Die Antwort nach dieser Frage habe ich ja auch ein wenig gehofft zu finden mit diesem Thread, leider vergebens, da ich entweder missverstanden wurde oder sich mir die Antwort immer noch nicht erschlossen hat.

Ich fasse es mal folgendermaßen zusammen:
Wenn du mehrere Ordner verschlüsselst ... dort auch mehrere Passwörter verwendest (z.B. für jeden Ordner einen eigenen) ... kannst du dir das mounten jedes einzelnen Ordners erleichtern, in dem du den Schlüsselmanager verwendest. Hier verschlüsselst du quasi deine Schlüssel mit einem extra Passwort (passphrase) um so nur ein Passwort zum entschlüsseln des Schlüsselmanagers zu verwenden, der dir alle Ordner dann entschlüsseln kann. Das macht aber das verwenden unterschiedlicher Passwörter für die Ordner irgendwie sinnlos.
Speicherst du den Schlüsselmanager jedoch auf der System-Partition, anstatt auf den USB-Stick, fällt die Passphrase weg und jeder Admin kann die Ordner mounten.
Und genau das ist für mich noch absurder, dann kann ich auf das verschlüsseln auch ganz verzichten. (-> Meine Meinung<-)
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Einziger Anwendungsfall für den Schlüsselmanager ist meines Erachtens, dass man den USB-Stick beim Booten anstecken kann, der DSM alle verschlüsselten Ordner für die es konfiguriert ist einhängen kann, und der USB-Stick danach wieder entfernt wird / abgesteckt wird.
Die Verschlüsselung dient nur im Falle eines Diebstahles oder ähnlich wo die DS stromlos wird / neu startet, dass die Ordner ohne den USB-Stick nicht eingehängt werden.
Geht der USB-Stick kaputt, kann man immer noch auf seine Daten zugreifen und von Hand mit key/password die Ordner einhängen.
Auch wenn die DS kaputt geht wird so nur der Schlüsselmanager/Stick wertlos, weil mit einer neuen DS ein neuer Rechnerschlüssel gilt. key/password sind aber weiterhin gültig nach einer Migration in eine neue DS.
Mehr kann die Lösung nicht leisten.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat