Toggle sidebar

Full Volume Encryption

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

maxblank schrieb:
Wenn es verschlüsselt erstellt wurde, sollte das auch so bleiben. Wie spielst du das Backup ein bzw. wie erstellt?
Zum Vergrößern anklicken....

jayrock schrieb:
Bin auch gerade durch. Ja, komplettes Backup stellt die Volumes so, wie sie waren, wieder her. Also unverschlüsselt.

Mit dem "Packages and Folders" Backup kannst du auf ein neues, verschlüsseltes Volume wiederherstellen. Ein paar Paket-Settings haben es nicht überlebt, die Daten sind aber alle da. Mach die viele Screenshots von den Settings.
Zum Vergrößern anklicken....

Darauf zielte meine Frage ab. Bei der Wiederherstellung mit HB „gesamtes System“ war das zu erwarten, da auch die Volumes im entsprechenden Ursprungszustand wiederhergestellt werden.
 
Kann man dem Schlüsselmanager eigentlich in Sachen Sicherheit vertrauen, wenn der das Volume dann mit dem Rechnerschlüssel startet?
 
Darüber gibt es verschiedene Thesen, ob und wie das ausgelesen werden kann.
Meines Wissens nach hat es bisher zumindest noch niemand public gemacht.
 
Gibt es eine Möglichkeit zu testen, ob der heruntergeladene Wiederherstellungsschlüssel auch wirklich funktioniert?

Danke & Gruß
 
  • Like
Reaktionen: Thonav
Du könntest versuchen das Keyfile zu decodieren, dann solltest du deine eigens vergebene Passphrase wieder erkennen.

printf "%s" "\$1\$5YN01o9y" | ecryptfs-unwrap-passphrase keyfile.key -

So siehst du auch, ob der Wiederherstellungsschlüssel funktionieren würde.
 
@maxblank
Wie kann ich den Key aus dem Schlüsseltresor entfernen?

Einfach den Schlüsseltresor zurückzusetzen bringt es laut Hilfe nicht:
"Sie können den Schlüsseltresor zurücksetzen, um seinen Speicherort zu ändern oder das Kennwort für den Tresor zurückzusetzen. Wenn der Tresor zurückgesetzt wurde, werden auch alle darin gespeicherten Verschlüsselungsschlüssel zurückgesetzt und durch neue ersetzt."

Den Schlüsseltresor kann ich auch nicht einfach deaktivieren, Dialog sagt:
"Schlüsseltresor kann nicht deaktiviert werden, wenn verschlüsselte Volumes vorhanden sind."

Was funktionieren könnte, ist DSM zurückzusetzen (was ich eigtl. nicht versuchen will):
"Wenn Sie DSM zurücksetzen, wird der Schlüsseltresor gelöscht und deaktiviert, d. h. Ihre verschlüsselten Volumes werden gesperrt. Um erneut Zugriff auf diese Volumes zu erlangen, müssen Sie den Tresor erneut aktivieren und jedes verschlüsselte Volume mit dem entsprechenden Wiederherstellungsschlüssel entsperren."
 
Du kannst den nicht entfernen? Dann weiß ich es leider auch nicht, hattet das so explizit nicht getestet.
 
Also ernsthaft Probieren kannst Du es nur wenn Du eben mindestens den einfachen Reset nutzt. Das ist ja genau das Szenario bei dem der Schlüsselmanager greifen muss, nämlich Dein verschlüsseltes Laufwerk in dem Moment vor nicht autorisierten Personen zu schützen.
 
Verstehe ich euch richtig, dass ihr es als nicht so wichtig anseht die Volume Encryption zu testen?
 
Hat niemand behauptet.
Ich hebe vor dem Einsatz ausführliche Test mit erfolgreichen Wiederherstellungen gemacht und die auch hier dokumentiert. Allerdings nie den Key separat getestet - das habe ich oben gemeint. Das war bei der Wiederherstellung inkludiert.
 
mexl916 schrieb:
Einfach den Schlüsseltresor zurückzusetzen bringt es laut Hilfe nicht:
"Sie können den Schlüsseltresor zurücksetzen, um seinen Speicherort zu ändern oder das Kennwort für den Tresor zurückzusetzen. Wenn der Tresor zurückgesetzt wurde, werden auch alle darin gespeicherten Verschlüsselungsschlüssel zurückgesetzt und durch neue ersetzt."
Zum Vergrößern anklicken....
Der fett hervorgehobene Teil würde ein Umverschlüsseln der Volumen nach sich ziehen. Ich bezweifel dass das stattfindet.
 
@mexl916 D.h. es wurde automatisch entschlüsselt? Wäre hilfreich wenn Du präziser hinsichtlich Vorgehensweise und des Ergebnisses wärst :)
 
  • Like
Reaktionen: peterhoffmann
  • Like
Reaktionen: maxblank und dil88
Da danke ich Dir aber herzlich für die Erklärung. Nun wissen wir alle, dass die Nutzung von verschlüsselten Laufwerken bei Diebstahl der DS durchaus hilfreich sein kann und systemseitig sicher ist. :)
 
maxblank schrieb:
Darüber gibt es verschiedene Thesen, ob und wie das ausgelesen werden kann.
Meines Wissens nach hat es bisher zumindest noch niemand public gemacht.
Zum Vergrößern anklicken....
Dasuku schrieb:
Du könntest versuchen das Keyfile zu decodieren, dann solltest du deine eigens vergebene Passphrase wieder erkennen.

printf "%s" "\$1\$5YN01o9y" | ecryptfs-unwrap-passphrase keyfile.key -

So siehst du auch, ob der Wiederherstellungsschlüssel funktionieren würde.
Zum Vergrößern anklicken....
Das wäre ihr Preis gewesen und damit ist schon alles über die Sicherheit des Passworttresors gesagt. --> Nicht existent!
Das ist wirklich erschreckend was da abgeliefert wird. Die Verschlüsselung ist super sicher, aber das Passwort wird mit einem Postit außen aufs Gehäuse geklebt.

Gruß Metalhead
 
Also du hast es so versucht und konntest über diesen Weg den Key Extrahieren ?
 

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten