DSM 7.3 Volumeverschlüsselung in DSM 7.3.2-86009

[laurooon]

Hallo zusammen,

ich bin auf eine DS1621+ umgestiegen, weil ich die neue Volume-Verschlüsselung haben wollte, bin da aber wohl in eine Falle getappt.
Ich möchte, dass beim Hochfahren der Diskstation NICHT und auf AUF KEINEN FALL die Laufwerke automatisch gemountet werden. Sowas ist grob fahrlässig und unbrauchbar!

Die einzige kleine Hürde hier wäre mein Login-Passwort. Wer dieses kennt bekommt meine verschlüsselten Daten auf dem Silbertablett.

Ich möchte, dass beim Hochfahren entweder:

1. Ein USB-Stick mit den .rkey Dateien darauf zum Entsperren verwendet wird ODER
2. Das Passwort zum mounten der Volumes zwingend eingegeben werden muss.

Wer das nicht hat, kommt nicht rein. Leider finde ich nirgends eine derartige Option.

Workaround (was bitte keine Lösung sein kann) = Ordnerverschlüsselung. Das geht zwar, erfordert aber erstens extrem viel Zusatzzeit und reduziert außerdem die Systemleistung merklich. Eine Ordnerverschlüsselung hätte meine DS1618+ auch geboten, dafür hätte ich nicht auf die 1621+ wechseln müssen.

Hab ich hier was übersehen, oder ist das echt der Ernst von Synology!?

Viele Grüße,
laurooon

 

[maxblank]

Suche mal nach KMIP-Server als Option…

 

[laurooon]

Ich habe keinen weiteren externen Server? Wie genau funktioniert das?

 

[ch80]

Das Thema interessiert mich als Newbie auch. Verschlüsselung ist ein KO Kriterium für mich. Aber wenn du doch ein rel. komplexes Account Passwort verwendest, ist doch alles safe? Ohne PW kommt niemand an die Daten, auch im Falle eines NAS Diebstahls.

 

[laurooon]

Das ist schon richtig das Passwort bietet eine gewisse Sicherheit, Aber warum überhaupt eine Verschlüsselung wenn nach wie vor das Passwort das einzige Hemmnis ist aber die Schlüssel automatisch angehangen werden. Das ist wie ein fettes Schloss zu haben in dem der Schlüssel steckt . Die Verschlüsselung sollte eine zweite Sicherheitsebene sein verfehlt so aber einen Großteil ihrer Wirkung

 

[ch80]

Habe solche Einwände paar Mal gelesen, verstehe ich nur nicht ganz. Jeder Tresor (analog oder digital) hat doch erstmal nur einen Schlüssel bzw. PIN? Egal ob in ner Bank oder ein Hotelsafe. Ist doch das gleiche Prinzip? Genauso wie mein Notebook (mit systemseitiger Verschlüsselung) eben genau 1 Passwort hat - auch mein berufliches Notebook. An diesem einen PIN hängt eben alles. Genauso wie jedes Smartphone mit dem EINEN Key komplett für alle zugänglich wird (Facelock, Fingerprint oder PIN). Genauso wie man mit dem Haustürschlüssel ins Haus kommt.

"Das ist wie ein fettes Schloss zu haben in dem der Schlüssel steckt" - Das ist doch faktisch falsch? Das PW ist der Schlüssel, und den gibts nur in meinem Kopf.

Ja man kann es noch zusätzlich absichern, über nen Key auf nem USB Stick oder so, für mich persönlich aber keine Option, nicht prakikabel.

Synology wird sich ja schon was dabei gedacht haben?

 

[DustFireSky]

Schließe einen USB-Stick an und gehe dann vor wie folgt:

https://kb.synology.com/de-de/DSM/help/DSM/AdminCenter/file_share_key_manager?version=7

 

[laurooon]

Schließe einen USB-Stick an und gehe dann vor wie folgt:

https://kb.synology.com/de-de/DSM/help/DSM/AdminCenter/file_share_key_manager?version=7

Das funktioniert nicht. Wir müssen zwischen der Ordner-Verschlüsselung (älteres System, welches stark Performance kostet) und der Volume-Verschlüsselung unterscheiden. Die DS1621+ unterstützt die schnelle Volume-Verschlüsselung, die jedoch leider das von mir beschriebene Problem hat. Bei der Ordner-Verschlüsselung funktioniert es, wie von dir vorgeschlagen.

 

[laurooon]

"Das ist wie ein fettes Schloss zu haben in dem der Schlüssel steckt" - Das ist doch faktisch falsch? Das PW ist der Schlüssel, und den gibts nur in meinem Kopf.

Das hängt ganz davon ab, was für ein Sicherheitsbedürfnis man hat. Ich unterscheide da 3 "Eskalationsstufen".

1. Ein Dieb klaut die einzelnen Festplatten aus deinem NAS. Ergebnis: Gut, der Dieb kann zwar die Hardware verhökern, aber er sieht auf den Festplatten dank der Verschlüsselung nur Datensalat. Deine Daten sind sicher.

2. Ein Dieb klaut das ganze NAS. Ergebnis: OK, aber schon gefährlicher. Der Dieb wird vermutlich weiterhin nur die Festplatten verkaufen wollen und das NAS, aber hätte er dein Passwort irgendwo aus dem Darknet, könnte er alle Daten im Klartext sehen.

3. Der Endgegner. Behördlicher Zugriff auf dein NAS/Beschlagnahmung. Sollte es dazu kommen, hast du es nicht mehr mit Idioten zu tun, sondern mit Datenforensikern. Die stehen zwar auch vor technischen Hürden (AES-256 ist faktisch unknackbar), haben sie aber andere Möglichkeiten. Wenn der Key nun im Schlüsselmanager lokal liegt, dann werden die Festplatten gemounted noch bevor du das Passwort eingibst, das passiert beim Bootvorgang im Hintergrund. Das Passwort liegt in dem Moment im Arbeitspeicher und Spezialisten können diesen auslesen (Kältespraytrick). Wäre das Password stattdessen auf einem Stick wäre das zumindest eine Rückfalleebene. Die Sticks oder das Passwort werden zum Entsperren benötigt.

 

[Staschu]

Mal eine ketzerische Frage wenn du so auf Sicherheit bedacht bist: Wieso nutzt du keine 2FA Anmeldung um den unbefugten Zugriff auf dein NAS zu verhindern?
Die Verschlüsselung der Festplatten ist immer ratsam für den Fall, dass ein Garantiefall eintritt! Niemand weiss, was mit der eingesandten HD passiert.

 

[laurooon]

Ich streite gar nicht ab, das Verschlüsselung besser ist, als unverschlüsselte Daten auf der Festplatte zu haben. Nur eine grundsätzlich gute Volumeverschlüsselung anzubieten bei gleichzeitigem Zwang das Passwort dafür im lokalen KeyVault zu haben, der sich nur auf der Diskstation oder irgendeinem Rasperry Pie befinden darf und nicht extern auf einem USB-Dongle ist für mich schwer nachvollziehbar. Eine 2FA Anmeldung ist grundsätzlich super und auch von mir so eingerichtet.