Jetzt mal ernsthaft: Verschlüsselung einsetzen

[lesmona]

Moin Leute,
ich bin schon lange treuer Synology "Kunde". Hab schon etliche DS gehabt und auch alles möglich an Software drauf laufen gehabt. Nur aus einer Sache werde ich einfach nicht schlau: Die Verschlüsselung.

Nehmen wir mal folgendes Szenario: Jemand hat - sagen wir mal - Dateien auf der DS welche bei einem Diebstahl der Diskstation nicht in fremde Hände fallen sollen. Okay, ich kann alles in den verschlüsselten Ordner schieben und jedes mal mounten wenn ich ihn benötige - soweit klar. Nun müsste man das ja bei jedem Neustart machen. Andere Möglichkeit, den Schlüssel einfach mit anhängen und jedes mal wird es Automatisch gemountet. Nun hat das BKA meine Diskstation und möchte an die Daten, setzt also mein Adminpassword zurück und kommt dann halt auch an die Verschlüsselten Shares richtig? DIese werden ja automatisch gemountet. Ist das noch so? Wenn ja, ist das doch ABSOLUT sinnlos.

Vielleicht verstehe ich ja etwas falsch....bitte um Aufklärung

 

[Puppetmaster]

Hast du deine DS am Netz?

Wenn ja, dann musst du dir keine Sorgen machen. Das BKA bedient sich dann auch ohne, dass sie deine DS mitnehmen.

Ja, es ist relativ sinnlos die automount-Funktion zu nutzen. Hier hilft nur händisches Einhängen. Aber wie gesagt: wenn deine DS am Netz ist, ist die Frage des Mountens nicht dein Problem.

 

[lesmona]

ganz erhlich: das stimmt nicht.

ich habe erste hand erfahrung von leuten denen der pc beschlagnahmt wurde. da konnten die noch nichtmal ein excel passwort knacken...solltest du nicht top terrorist sein welcher das neue WTC in die luft jagen will, hast du von der seite nichts zu befürchten.

 

[Puppetmaster]

ganz erhlich: das stimmt nicht.

Was stimmt nicht!?

ich habe erste hand erfahrung von leuten denen der pc beschlagnahmt wurde. da konnten die noch nichtmal ein excel passwort knacken...solltest du nicht top terrorist sein welcher das neue WTC in die luft jagen will, hast du von der seite nichts zu befürchten.

Ok, dann ist doch alles gut, wenn du davon ausgehen möchtest...

 

[Frogman]

Ok, dann ist doch alles gut, wenn du davon ausgehen möchtest...

Yo, der trifft's...

Vielleicht verstehe ich ja etwas falsch....bitte um Aufklärung

Und zum Thema:
Warum in aller Welt ist es so schwer zu verstehen, dass es hohe Sicherheit und fluffige Ergonomie (denn nix anderes ist dieser immer wiederkehrende Wunsch, das Passwort nicht eingeben zu müssen) einfach nicht gibt (zumindest nicht ohne sehr tiefgehende Konzepte, bspw. biometriegestützte Token oder so'n Krams)? Das gehorcht nun mal einer gewissen Unschärferelation...
Wenn Du das Passwort bei WICHTIGEN Daten eingibst, bist Du auf der sicheren Seite. Alles andere sind Kinkerlitzchen, derer Du Dir dann auch mit allen Konsequenzen bewußt sein musst.

 

[ottosykora]

Okay, ich kann alles in den verschlüsselten Ordner schieben und jedes mal mounten wenn ich ihn benötige - soweit klar. Nun müsste man das ja bei jedem Neustart machen. Andere Möglichkeit, den Schlüssel einfach mit anhängen und jedes mal wird es Automatisch gemountet. Nun hat das BKA meine Diskstation und möchte an die Daten, setzt also mein Adminpassword zurück und kommt dann halt auch an die Verschlüsselten Shares richtig? DIese werden ja automatisch gemountet. Ist das noch so? Wenn ja, ist das doch ABSOLUT sinnlos.

absolut sinnlos ist die Forderung das Password nicht bei jedem Start eingeben zu müssen. Da liegt der Fehler jedoch nicht bei der Verschlüsselung, sondern im OSI Layer 8.....

 

[ottosykora]

einfach nicht gibt (zumindest nicht ohne sehr tiefgehende Konzepte, bspw. biometriegestützte Token oder so'n Krams)?

..und Achtung, auch biometrische Daten benötigen zusätzlich ein Geheimnis (Password) sonst sind sie absolut wertlos. Biometrische Daten werden als vollständig öffentlich und allen zugänglich betrachtet und dürfen also nicht für eine Erlaubnis etwas zu tun (Datei lesen, Zutritt) verwendet werden. Biometrische Daten kann man nur für die Identifikation des Trägers eines Geheimnisses (Passwords etc.) verwenden.
Alles andere ist purer Unfug.

 

[Frogman]

..und Achtung, auch biometrische Daten benötigen zusätzlich ein Geheimnis (Password) sonst sind sie absolut wertlos. ...

Das liefert der Token in der Regel mit - ohne entsprechendes Passwort/PIN wird gar nicht erst weitergemacht (3-Faktor: Besitz eines Tokens, Kenntnis eines Geheimnisses, physische Anwesenheit). Der Standard bei entsprechend hoch eingestuften Zugängen/Informationen.

 

[ottosykora]

ja genau so ist es , ich wollte nur den Kontrast zu den ))) Applikationen wie Smartphone Zugang via Fingerabdruck und ähnlichem Esoterik Zeug aufzeigen.

 

[Frogman]

oh ja, der Hinweis ist immer berechtigt...

 

[fragnet]

In der Wissensdatenbak von Synology steht zum Thema Passwort zurück setzten:

"Die verschlüsselte Ordner werden entfernt und beim Start wird automatisch bereitstellen deaktivieren."

Was soviel heißt wie: Die verschlüsselten Ordner werden ausgehängt und automount wird deaktiviert. Das zurücksetzten mittels Resettaste bringt also nichts. Wer wills mal testen?
https://www.synology.com/de-de/knowledgebase/tutorials/493

 

[lesmona]

interessant! hats mittlerweile wer getestet?

 

[fragnet]

interessant! hats mittlerweile wer getestet?

Ja, ich habs gestern mal ausprobiert und es funktioniert. Adminkonto mittels Resettaste zurückgesetzt. Nach dem Neustart war die Option für das automatische einhängem deaktiviert und die verschlüsselten Ordner waren ausgehängt. Es werden auch die Firewalleinstellungen auf default zurückgesetzt und noch ein paar andere Dinge wie von Synology in dem o.g. Link aus der Wissensdatenbank beschrieben.

 

[Tommes]

Und wenn man erst garnicht einen Reset auslöst, sondern die Festplatte ausbaut und in einem z.B. Live-Linux mountet? Dann liegt das Passwort für den verschlüsselten Ordner weiterhin irgendwo auf der Festplatte.

Tommes