Verschlüsselung Truecrypt vs NAS

Kniffo

Benutzer
Mitglied seit
13. Mai 2016
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Hallo,

zurzeit habe ich für sensible Daten eine externe Festplatte komplett mit Truecrypt verschlüsselt.
D.h., Wenn ich auf die Daten zugreifen möchte, mounte ich die Festplatte und habe ein Laufwerk mit den Daten.
Das klappt problemlos.
Nun ist die Festplatte voll, ich brauche eine größere und auch ein neues Gehäuse, da das alte Gehäuse die größere Platte nicht unterstützt.
Nun überlege ich, gleich auf ein NAS (DS415+) umzusteigen, da es mehr Funktionalität (und auch Dateiverschlüsselung) bietet, aber auch teurer ist und mehr Strom braucht.

Was ich allerdings noch nicht genau herausfinden konnte:
Kann ich mit dem NAS die gleiche Funktionalität bezüglich Verschlüsselung erreichen wie mit Truecrypt?
D.h. ich gebe am PC ein Passwort ein (z.B. über Netzlaufwerk verbinden) und das Laufwerk ist da?
Und wer hat noch alles Zugriff auf die Daten auf dem NAS (ein anderer User, der Admin bzw. ein Hacker über das Internet)?
Ist es wirklich so, dass man den verschlüsselten Ordner im NAS abhängen muss, wenn wirklich Niemand auf die Daten zugreifen soll?
Das wäre ja bissel umständlich. Oder kann man das vom PC über ein Script, VBA o.ä. bewerkstelligen?

Würde mich freuen wenn ihr mir mal paar Tipps geben könntet.

Danke und Gruß
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Die Verschlüsselung auf der DS erfolgt ordnerbasiert und basiert auf einem sicheren AES256-Algorithmus. Vor Zugriff auf den Inhalt muss man im DSM den Ordner einhängen und dafür ein Passwort eingeben (man kann das auch beim Systemstart automatisieren, aber dann ist das eigentlich witzlos). Der Zugriff auf SMB-Freigaben erfolgt benutzerbezogen mit dessen Kennung - unabhängig davon, ob der Ordner hinter der Freigabe unverschlüsselt oder als verschlüsselter Ordner eingehangen ist.
 

fragnet

Benutzer
Mitglied seit
02. Feb 2014
Beiträge
76
Punkte für Reaktionen
0
Punkte
0
Die Verschlüsselung auf der DS erfolgt ordnerbasiert und basiert auf einem sicheren AES256-Algorithmus. Vor Zugriff auf den Inhalt muss man im DSM den Ordner einhängen und dafür ein Passwort eingeben (man kann das auch beim Systemstart automatisieren, aber dann ist das eigentlich witzlos). Der Zugriff auf SMB-Freigaben erfolgt benutzerbezogen mit dessen Kennung - unabhängig davon, ob der Ordner hinter der Freigabe unverschlüsselt oder als verschlüsselter Ordner eingehangen ist.

Wieso ist ein automatisches mounten der verschlüsselten Ordnerfreigaben witzlos??
 

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.954
Punkte für Reaktionen
11
Punkte
104
Weil der Schlüssel hierzu auf der NAS liegt, bzw. liegen muß.
Das heißt, wenn z. B. das Gerät gestohlen wird, kommt der Dieb auch an die Daten.
 

fragnet

Benutzer
Mitglied seit
02. Feb 2014
Beiträge
76
Punkte für Reaktionen
0
Punkte
0
Hallo,
Das wäre ja bissel umständlich. Oder kann man das vom PC über ein Script, VBA o.ä. bewerkstelligen?

Danke und Gruß

Mit diesem Befehl:
/usr/syno/sbin/synoshare --enc_mount "$share"
/usr/syno/sbin/synoshare --enc_unmount "$share"
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.086
Punkte für Reaktionen
1.067
Punkte
314
...das Gerät gestohlen wird, kommt der Dieb auch an die Daten.

Gesetz dem Fall, das der Dieb auch die nötigen Fähigkeiten und Kenntisse besitzt den Schlüssel bzw. den HASH-Wert zu finden und lesbar zu machen. Aber stimmt schon... wer schließt schon die Haustür ab und legt den Schlüssel unter die Fußmatte.

Tommes
 

fragnet

Benutzer
Mitglied seit
02. Feb 2014
Beiträge
76
Punkte für Reaktionen
0
Punkte
0
Nicht der Schlüssel wird gespeichert sondern der Hash. D.h. das Passwort wird mit dem Hashcode verglichen, aus dem Hashcode lässt sich errechnen ob das Passwort korrekt ist. Das Passwort lässt sich aus dem Hashode nicht so einfach ableiten :)
 

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.954
Punkte für Reaktionen
11
Punkte
104
Aber stimmt schon... wer schließt schon die Haustür ab und legt den Schlüssel unter die Fußmatte.

Es ist Haarspalterei. Der TE hat gefragt, warum es witzlos ist.
Die Erklärung ist bereits von @Thommes geliefert worden.
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.086
Punkte für Reaktionen
1.067
Punkte
314
Ok, ich gebe zu das ich keine Ahnung habe, wie man aus dem HASH-Wert das Passwort extrahieren kann oder wie man anhand des HASH-Wertes einen verschlüsselten Ordner mounten kann. Aber wenn der DSM einen verschlüsselten Ordner automatisch einhängen kann, dann kann man das auch manuell irgendwie bewerktelligen. Und ich hab ja auch nicht gesagt, das es einfach ist... aber auf jeden Fall möglich!

Tommes
 

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.954
Punkte für Reaktionen
11
Punkte
104
Ich habe auch keine Ahnung. Deswegen der bildliche Vergleich mit dem Einbrecher.
Fakt ist, daß hierzu der Schlüsses, Hash, was auch immer auf der NAS hinterlegt werden muß- Das ist per se nicht unbedingt negativ, aber warum soll ich es jemanden unnötig leicht machen. Der PIN zur EC wird ja auch nicht im Geldbeutel hinterlegt. Zumindest sollte man das nicht :cool:
 

fragnet

Benutzer
Mitglied seit
02. Feb 2014
Beiträge
76
Punkte für Reaktionen
0
Punkte
0
Möglich ist im Prinzip alles. Es stellt sich dann als nächstes die Frage, ob Verschlüsselung dann überhaupt Sinn macht !? Das ist Haarspalterei :)
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.086
Punkte für Reaktionen
1.067
Punkte
314
Jepp... ich glaube spätestens jetzt sollten wir das Thema für beendet ansehen.
 

dil88

Benutzer
Contributor
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
29.715
Punkte für Reaktionen
1.022
Punkte
754
Also - um im Bild zu bleiben - ein vernünftiges Schloss sichert eine Tür schon ganz gut ab, aber nur noch herzlich wenig, wenn man klassisch den Schlüssel unter die Fußmatte legt. Jetzt die Sicherheit der Verschlüsselung komplett infrage zu stellen, geht - zumindest mir - zu weit.
 

Kniffo

Benutzer
Mitglied seit
13. Mai 2016
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Der Zugriff auf SMB-Freigaben erfolgt benutzerbezogen mit dessen Kennung - unabhängig davon, ob der Ordner hinter der Freigabe unverschlüsselt oder als verschlüsselter Ordner eingehangen ist.

Das bedeutet also, dass der Ordnerinhalt, sobald der Ordner angehangen ist, unverschlüsselt einsehbar ist?
Um es mit der Truecrypt-Funktionalität zu vergleichen müsste ich vom PC aus erst den Ordner anhängen (/usr/syno/sbin/synoshare --enc_mount "$share") und dann als Netzlaufwerk verbinden (unsichtbar machen in umgekehrter Reihenfolge)?
Das wäre ja ziemlich umständlich.
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.086
Punkte für Reaktionen
1.067
Punkte
314
Das bedeutet also, dass der Ordnerinhalt, sobald der Ordner angehangen ist, unverschlüsselt einsehbar ist?
Sobald du deinen TrueCrypt Container einhängst sind die Daten ja auch unverschlüsselt einsehbar, richtig?
Um es mit der Truecrypt-Funktionalität zu vergleichen...
Sobald der Ordner eingehangen ist erscheint er auch in der Netzwerkumgebung bzw. ist als eingebundes Netzlaufwerk erreichbar. Du musst den Ordner halt nur über den DSM aufschließen! Tust du das über die Konsole mit dem bereits genannten Befehl ist das auch eher umständlich, lässt du das als Script laufen musst du auch einige Dinge im Vorfeld anstoßen. Willst du es automatisch per Script haben, so muß wieder irgendwo das Passwort oder das Key-File gespeichert sein. Musst du das Passwort bzw. Key-File irgendwo speichern um den Ordner zu öffenen, kommen wir wieder zum Punk "automatisches Einhängen beim Start"...

Das wäre ja ziemlich umständlich.

Zugegeben, ich finde das Einhängen verschlüsselter Ordner auch nicht gut gelöst, hätte ich hier doch gerne eine Möglichkeit über z.B. dem Synology Assistent so einen Ordner einzuhängen. Aber Sicherheit ist halt auch immer mit Arbeit verbunden.

Tommes
 

ralfi80

Benutzer
Mitglied seit
28. Jul 2014
Beiträge
93
Punkte für Reaktionen
0
Punkte
0
Ich will das Thema Sicherheit vs. Komfort nochmal kurz aufgreifen.

In einem anderen Thread hatte jemand behauptet dass er einen verschlüsselten Ordner über eine Remote DS eingehängt habe. Der Schlüssel sei auf einem USB Stick an der Remote DS gespeichert. Also hätte man den Komfort dass es beim Start automatisch passiert, wenn die DS aus dem Netzwerk entfernt wird dann bleibt der Ordner verschlüsselt. Ich finde so eine Lösung ziemlich "smart". Ich kann jedoch leider den entsprechenden Thread nicht mehr wiederfinden, noch hatte derjenige Einzelheiten gepostet.

Hat das jemand so oder so ähnlich bei sich gelöst? Hat jemand eine Idee wie das genau eingerichtet wird?
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.086
Punkte für Reaktionen
1.067
Punkte
314
Kann sein, das das PsychoHH war, der hat sich sowas nämlich auch gebastelt. Schlüssel wird per VPN von einer entfernten Fritz!Box geholt um den lokalen Ordner einzuhängen. Kannst ihm ja mal eine PN schreiben falls du mehr wissen möchtest.

Tommes
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Glaube kaum dass für die automatische Einbindung der verschlüsselten Freigabe nur der Hash gespeichert wird. Irgendwo auf der DS muss sich das Passwort befinden. Vielleicht nicht im Klartext sondern verschlüsselt z.B. mit dem Hash des Passworts
 

Merthos

Benutzer
Mitglied seit
01. Mai 2010
Beiträge
2.709
Punkte für Reaktionen
1
Punkte
84
Die Frage ist eigentlich nur, wie oft willst Du die DS ausschalten? Wenn sie die ganze Zeit durchläuft, ist die einmalige Eingabe des PWs auch kein Komfortproblem.
Wenn Du sie hingegen regelmäßig ausmachst: Ich hatte hier mal eine Variante zur Steuerung via USB-Key beschrieben, evtl. hilft das ja weiter.


Ansonsten: Es wird bei fast keinem Verschlüsselungsverfahren direkt das PW verwendet, sondern immer daraus etwas anderes berechnet (häufig Hash genannt, auch wenn es nicht immer einer ist). Von daher ja, der Hash reicht vollkommen und afaik wird auch nur dieser gespeichert.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
@Kniffo - ist die Frage was du erreichen willst. Wenn du nur die bishere Funktionalität haben willst kannst du auch einfach TC Container auf die Netzwerkfreigaben legen und wie gewohnt öffnen.
Sobald du aber eben die Daten im Container für andere Dienste auf der DS nutzen willst (Streaming, DLNA, Audio Station etc) brauchst du die auch auf der DS in unverschlüsselter Form.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat