Verschlüsselung

[NSFH]

Ich habe das bei den Firmen ganz banal gelöst: Passwort auf USB-Stick.
Den an die Syno anschliessen und fertig.
Damit mit dem USB Stick keiner was anfangen kann ist dieser mit Komponentenkleber im Schrank fixiert/vergossen.

 

[sunflight]

Ich habe das bei den Firmen ganz banal gelöst: Passwort auf USB-Stick.
Den an die Syno anschliessen und fertig.
Damit mit dem USB Stick keiner was anfangen kann ist dieser mit Komponentenkleber im Schrank fixiert/vergossen.

Wie hast du es denn hinbekommen das Passwort auf einen USB-Stick zu speichern und damit das NAS zu entsperren?

Wenn ich mich nicht täusche sollte man seit DSM 7.3 doch auch die lokale Speicherung generell unterbinden können. Leider scheint das bei meiner DS225+ nicht zu klappen. Habe die heute bekommen und direkt 7.3 installiert. Wenn ich die Verschlüsselung aktiviere wird aber immer direkt der Schlüsseltresor aktiviert und lokal abgelegt. Das möchte ich gerne vermeiden. Wenn ich den Schlüsseltresor deaktivieren will kommt immer die Meldung, dass das nicht geht weil die Verschlüsselung aktiviert ist. Einen Softreset habe ich auch bereits durchgeführt. Dann wurde der Tresor entfernt und ich habe das NAS manuell mit dem Verschlüsselungskey entsperrt. Direkt danach musste ich aber direkt wieder den Tresor aktivieren.

 

[maxblank]

Das geht offiziell bei Volumenverschlüsselung nur mit einem KMIP-Server und das evtl. auch nur auf einen zweiten unterstützen Synology-NAS.

 

[Synchrotron]

Wie oben schon geschrieben, verstehe ich die ganze Diskussion nicht.

Volumeverschlüsselung und Ordnerverschlüsselung dienen 2 völlig unterschiedlichen Szenarien. Wer Sicherheit möchte, sollte BEIDE einsetzen.

Die Diskussion mit dem Schlüsseltresor war schon immer irreführend und ist nicht hilfreich. User werden davon abgehalten, das Sinnvolle zu tun, weil man irgendwelche esoterischen Szenarien bis ins kleinste Haarfolikel durchdekliniert. Im echten Leben geht es darum, dass auf Festplatten (incl. defekten Sektoren) nichts herumliegt, das man mit dem einfachen Anstecken eines SATA-Adapters auslesen kann. So einfach ist das.

Verschlüsselt euren Kram, jedes Mal wenn ihr ein neues Volume aufsetzt ! Tut es einfach. Denn ihr könnt es nie mehr nachholen !!!

 

[Annika Hansen]

... nur mit einem KMIP-Server und das evtl. auch nur auf einen zweiten unterstützen Synology-NAS.

Der KMIP-Server kann auf einem beliebigen Gerät laufen, bei mir auf einem Raspberry Pi.

 

[maxblank]

Auch bei der Volumenverschlüsselung?

 

[Rotbart]

Ja, der Kmip-Server läuft unter Docker
https://github.com/rnurgaliyev/kmip-server-dsm

 

[ctrlaltdelete]

@Rotbart hast du das so in Verwendung? Keinerlei Probleme?

 

[Rotbart]

Ja, läuft problemlos seit ca 1 1/2 Jahren, der Container ist auf einer 218+ die per VPN mit der 1621+ verbunden ist.

 

[Annika Hansen]

Auch bei der Volumenverschlüsselung?

Ja, das ist ja der Sinn der Sache.

KMIP ist keine Synology spezifische Lösung sondern ein Standard. Läuft bei mir auf einem Raspberry 4 in einem Docker-Container seit etwas mehr als einem halben Jahr und ich habe bisher keinerlei Probleme mit der Entschlüsselung des Volumes auf meiner DS1522+ damit gehabt.

Der Zugriff auf den KMIP-Server erfolgt übrigens nicht dauerhaft sondern lediglich während des Boot-Vorgangs der Synology DS. Dann holt sich die Syno den Schlüssel zum Entschlüsseln des Volumes von besagtem KMIP-Server, danach wird kein weiterer Zugriff benötigt.

 

[maxblank]

Ja, mir ist bewusst, dass KMIP keine alleinige Synology-Geschichte ist. Es hätte sein können, dass die bei der Volumenverschlüsselung wieder was eigenes gebaut haben. Danke dir für die Info.

 

[Fusion]

Ich hatte damals Zertifikate mit 3 Jahren Laufzeit erstellt für den KMIP.
Hat sich schon mal jemand mit der Erneuerung beschäftigt?

 

[Annika Hansen]

Hat sich schon mal jemand mit der Erneuerung beschäftigt?

Ja, ich: KMIP Server for Synology DSM - Erneuern von abgelaufenen Keys und Zertifikaten