Toggle sidebar

Full Volume Encryption

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

metalhead79 schrieb:
Das wäre ihr Preis gewesen und damit ist schon alles über die Sicherheit des Passworttresors gesagt. --> Nicht existent!
Das ist wirklich erschreckend was da abgeliefert wird. Die Verschlüsselung ist super sicher, aber das Passwort wird mit einem Postit außen aufs Gehäuse geklebt.

Gruß Metalhead
Zum Vergrößern anklicken....
Das ist nicht ganz korrekt. Die unsichere Verschlüsselung bezieht sich nur auf den Export des Keyfile. (Was da für ein PW drinnen steht, weiß ich ja sowieso.)
Die Frage ist die interne Verschlüsselung mit dem Rechnerschlüssel. Und da ist bislang einfach nicht bekannt, wie Sicher es ist.
 
So steht das zumindest überall im Netz, (gerade mal 30min mit der Sicherheit des automatischen mountens von verschlüsselten Volumes beschäftigt und fast vom Stuhl gefallen):
https://blog.elcomsoft.com/2019/11/...on-forensic-analysis-of-synology-nas-devices/

Ich werde das bei Gelegenheit mal mit einem key-file (das ich vor >10 Jahren mal auf meiner DS212+ erstellt habe) ausprobieren. Genutzt habe ich das allerdings nie, sondern immer die Passphrase händisch eingegeben.

Gruß Metalhead
 
Dasuku schrieb:
Das ist nicht ganz korrekt. Die unsichere Verschlüsselung bezieht sich nur auf den Export des Keyfile. (Was da für ein PW drinnen steht, weiß ich ja sowieso.)
Die Frage ist die interne Verschlüsselung mit dem Rechnerschlüssel. Und da ist bislang einfach nicht bekannt, wie Sicher es ist.
Zum Vergrößern anklicken....
Klar weißt du das PW daß da drinnen steht und wenn jemand dein NAS klaut, kann er das einfach mit dem Kommando auslesen (Denn das Keyfile liegt logischerweise außerhalb der verschlüsselten Partition).
Der von Synolgy gepriesene "Rechnerschlüssel", der angeblich auf jedem NAS einzigartig ist, ist gar nicht so einzigartig.
Wenn das immer noch so ist, ist der Schlüsseltresor komplett für'n Arsch (selbst wenn der Key mittlerweile geändert sein sollte).

Gruß Metalhead
 
Na moment , das Key File für die WIederherstellung packst du doch nicht auf das gleiche NAS , das solltest ja gesichert woanders lagern.
 
Nur mal so, ich nutze Ordnerverschlüsselung ohne Schlüsseltresor und sehe mich so absolut auf der sicheren Seite.
 
@metalworker es ist wohl möglich das Keyfile aus dem Schlüsseltresor zu extrahieren.
 
ah ok , und wie soll das funktionieren ?
also bin da echt neugierig
 
ctrlaltdelete schrieb:
Nur mal so, ich nutze Ordnerverschlüsselung ohne Schlüsseltresor und sehe mich so absolut auf der sicheren Seite.
Zum Vergrößern anklicken....
Hier geht es aber eigentlich um Volumenverschlüsselung
und das es schön wäre das bei Systemstart automatisch zu mounten. (Denn sonst werden MailPlus/Docker ect sicher erst Mal crashen).
 
metalworker schrieb:
Na moment , das Key File für die WIederherstellung packst du doch nicht auf das gleiche NAS , das solltest ja gesichert woanders lagern.
Zum Vergrößern anklicken....
Ja, aber das gleiche File wird ja auch im "Schlüsseltresor" gespeichert und wenn der gemeine DAU beim Verschlüsseln den Haken bei "Automount" setzt dann hat er schon verloren.
Gesichert irgendwo anders lagern kannst du auch das plain-Passwort.

Gruß Metalhead
 
Mit welchem Protokoll soll der Key auf einem fremden NAS ohne irgendwelche Zugangsdaten ausgelesen werden können?

Wie muss derjenige sich auf das gestohlene NAS verbinden, dass der Key ausgelesen werden kann?
 
Wenn ich zugriff auf die Hardware habe komme ich immer auf's Filesystem (auf jedem Betriebssystem).
Verschlüsselt natürlich nicht, aber der Key muß ja unverschlüsselt vorhanden sein.

Gruß Metalhead
 
Dann würde ja keine Verschlüsselung der Welt funktionieren, dass kann in Bezug auf deinen letzten Post ja nicht sein.
 
Warum? Normalerweise merkt man sich ja das Passwort und gibt es ein.
Ein Volumen automatisch entschlüsseln kannst du ja nur wenn das Passwort selber iregendwie vorhanden ist. Klar kann man das auch wieder verschlüsseln, aber Synology selber sagt ja daß das mit dem einmaligen Computerschlüssel verschlüsselt wird (der ja nun nicht so einmalig ist).
Auf jeden Fall werde ich den Schlüsseltresor definitv nicht nutzen (lese doch mal den Artikel den ich verlinkt habe, die schreiben das ja auch).

Gruß Metalhead
 
metalhead79 schrieb:
Wenn ich zugriff auf die Hardware habe komme ich immer auf's Filesystem (auf jedem Betriebssystem).
Verschlüsselt natürlich nicht, aber der Key muß ja unverschlüsselt vorhanden sein.
Zum Vergrößern anklicken....

maxblank schrieb:
Dann würde ja keine Verschlüsselung der Welt funktionieren, dass kann in Bezug auf deinen letzten Post ja nicht sein.
Zum Vergrößern anklicken....

Mir geht es dabei um deine hier zitierte Aussage. Den anderen Artikel stelle ich nicht in Frage.
 
Welche genau? Daß ich auf jedes unverschlüsselte Filesystem komme wenn ich physikalischen Zugriff auf die Hardware habe? Oder daß ich den Schlüssel im Klartext brauche um etwas zu entschlüssen?

Gruß Metalhead
 
Zuletzt bearbeitet von einem Moderator:
Sind doch beide von mir gemeinte Aussagen zitiert.

Um es auf den Punkt zu bringen, ist deine Aussage falsch. Der Key bei aktivierter Verschlüsselung am Beispiel eines PCs, Laptop oder Server liegt selbstverständlich verschlüsselt vor z.B. im TPM.
 
Um irgendwas zu entschlüsseln muß der Key im Klartext vorhanden sein (zumindest im RAM). Daß der nicht im Plain-Text irgendwo rumliegt ist mir schon klar. Und zwischen einem TPM-Modul und dem top-Secret-Key von Synology liegen schon mal Welten. ;)

Gruß Metalhead
 

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten