DSM 7.3 Volumeverschlüsselung in DSM 7.3.2-86009

[ch80]

Das hängt ganz davon ab, was für ein Sicherheitsbedürfnis man hat. Ich unterscheide da 3 "Eskalationsstufen".

...

Genau, wobei ich Stufe 3 für mich persönlich vernachlässigen kann

Weiter unten schreibt dann Steven: "Automatische Entschlüsselung beim Booten (Key liegt auf dem NAS)"

Das liest sich halt für einen "Laien" so, das es hier keinerlei Sicherheit gibt. Der "Key" öffnet den Zugang zu den sensiblen Daten. Aber so ist es ja eben nicht. Beim Booten muss man doch erst sein PW eingeben, erst dann werden die verschlüsselten Daten entsperrt.

LG

 

[laurooon]

Nein, genau das stimmt nicht. Die Festplatten werden bereits beim Bootvorgang entsperrt noch lange bevor du dein Passwort eingeben musst. Damit die DSM Oberfläche dein Passwort als solches registriert und freischaltet müssen die volumes ja bereits gemountet sein.

 

[synfor]

Damit die DSM Oberfläche dein Passwort als solches registriert und freischaltet müssen die volumes ja bereits gemountet sein.

Nein, verschlüsselt werden nur die Datenvolumen. DSM bleibt unverschlüsselt. Anmeldung am DSM ist auch dann möglich, wenn die Volumen nicht entschlüsselt werden.

 

[stevenfreiburg]

Du meinst das hier:
(oder?)

Neben Auto-Unlock (Key liegt auf dem NAS) und KMIP gibt es faktisch noch eine dritte Variante, die von Synology als Notfallmaßnahme vorgesehen ist:
Kein Key im Schlüsselmanager, kein KMIP.
Dann bleiben die Volumes nach jedem Reboot gesperrt und müssen manuell per Passphrase bzw. Recovery-Key im DSM entsperrt werden.
Im Ergebnis ist das ein bewusst in Kauf genommenes, etwas umständliches manuelles Entsperren nach jedem Neustart.

 

[laurooon]

Ich weiß gerade nicht, was du mit "das hier" meinst?

 

[laurooon]

Nein, verschlüsselt werden nur die Datenvolumen. DSM bleibt unverschlüsselt. Anmeldung am DSM ist auch dann möglich, wenn die Volumen nicht entschlüsselt werden.

Es ist richtig, dass das DSM auf dem unverschlüsselten Teil der HDD liegt und außerdem auf allen Festplatten gespiegelt vorliegt, was auch nötig ist, sonst würdest du gar keine Eingabemaske für dein Passwort sehen.

Allerdings ist es so, dass die verschlüsselten Volumes sofort nach dem Boot im Hintergrund schonmal angehangen werden. Das hat Komfortgründe, die leider der Sicherheit zuwider laufen. Das erkennst du auch daran, dass nach der Eingabe des Passworts sofort alles da ist. Filestation bereits geladen, Docker, Surveillance Station läuft...etc. Es gibt quasi keine Gedenksekunde mehr, das System rennt sofort nach dem du dich angemeldet hast.

 

[stevenfreiburg]

Was du beschreibst findet - wie ich es verstehe- so nur statt, wenn zuvor direkt nach dem Booten bereits entschlüsselt wurde durch

1. Key auf dem NAS
oder
2. KMIP Server

Sofern das nicht stattgefunden hat, gibt's nämlich noch keine Docker Dienste, weil alle Volumen ja noch verschlüsselt sind.
Dann musst/kannst du als Admin manuell in der DSM Oberfläche entschlüsseln.
Das sieht Synology für den Notfall vor und ich hatte das oben als "dritte Methode" aufgeführt.
=
3. (umständliches) "manuelles Entschlüsseln".

 

[laurooon]

Ja, du hattest geschrieben:



Und ich wusste nicht, was du mit "das hier" meinst. Fehlt da ein Screenshot oder sowas? Wo steht denn das manuelle Entsperren? Ich habe beim Versuch den Schlüsseltresor zurückzusetzen in der Tat nur zwei Optionen:


Eine manuelle Passworteingabe habe ich nirgends gefunden. Da ich ich keinen KMIP Server habe, wird mir zwangläufig "Lokal" aufgezwungen und Lokal bedeutet Automount der Laufwerke beim booten.

 

[stevenfreiburg]

So wie ich das verstanden habe, ist das die Notfallmethode, wenn der KMIP nicht verfügbar ist.

KMIP sehe ich als Enterprise Lösung, mir persönlich zu komplex (evtl. aber einfach mit zweiten NAS?!).
KMIP erschien mir damals zu umständlich, und bei jedem Reboot manuell jedes Mal quasi Recovery durchzuführen auch; deswegen hatte ich aus Bequemlichkeit damals Auto Boot gewählt.