NAS Verschlüsselung sinnlos?

  • Ich habe ein Synology DS116 und dort von Anfang an alle Ordner mit Verschlüsselung angelegt. Ein Bekannter meinte nun, das bringe nicht wirklich was, denn jeder mit etwas Ahnung, der das NAS in die Hand bekäme, könne dort die Schlüssel problemlos auslesen. Was ich dazu bisher ergoogelt habe scheint das zu bestätigen. Aber wozu wird das dann überhaupt angeboten?


    Win10 müsste ja das gleiche Problem mit auslesbaren Schlüsseln haben, bei (ohne TPM) verschlüsselter Systempartition. Hierzu kann ich aber nichts finden, was in diese Richtung weist...?!

    yaVDR 0.6.2; H61M/U3S3 / G530 / 4GB / GT 520 (passiv) / Cine S2 (Rev. V5.5) + DuoFlex S2 / 120GB SSD (System; SATA>USB) + 3TB SATA 6Gb/s; LCD-TV Toshiba 42VL863G; AVR Yamaha RX-S600...

  • Wenn sich das Ding "entschlüsselt" ohne das du einen Key manuell eingibst, dann kann der auch ausgelesen werden. Oder der "Dieb" nimmt das Ding einfach ganz mit, startet es und liest es über LAN aus.


    Die Windows-Verschlüsselung gibt es durchaus auch mit Passphrase. Muss dann beim Booten eingegeben werden. Ohne die ist es dann aber ähnlich. Alles was sich einfach so entschlüsselt kann nicht sicher sein.

  • Zum Auslesen des Schlüssels wird bei Windows das Windows Passwort verwendet.

    Also: Wenn das Windows Passwort hinreichend komplex ist, bringt die Verschlüsselung etwas

    VDR1: ASUS P5QC, Dual Core 3G, Cine S2, Ext. Board von TBE, Xubuntu 18.04, VDR 2.4x
    VDR2: ASUS P4B533, Celeron 2.4G, FF 1.5, Ubuntu 10.10, VDR 1.6 (SS2 Rev 2.6B)
    VDR Server: sheeva-plug

  • Wenn sich das Ding "entschlüsselt" ohne das du einen Key manuell eingibst, dann kann der auch ausgelesen werden. Oder der "Dieb" nimmt das Ding einfach ganz mit, startet es und liest es über LAN aus.


    Die Windows-Verschlüsselung gibt es durchaus auch mit Passphrase. Muss dann beim Booten eingegeben werden. Ohne die ist es dann aber ähnlich. Alles was sich einfach so entschlüsselt kann nicht sicher sein.

    Ja, bei meinem Win10 habe ich das so eingerichtet, dass der Rechner nicht ohne so ein Passwort gestartet werden kann. Aber auch da müsste der eigentliche Schlüssel doch dann irgendwo auf der Platte gespeichert sein und sich auslesen lassen, wenn man diese ausbaut. Oder er ist halt über das Passwort gefaltet und damit ohne dieses nicht wieder herstellbar. Das gleiche hätte ich dann auch auf dem NAS erwartet, sonst macht die Verschlüsselung dort ja gar keinen Sinn.

    yaVDR 0.6.2; H61M/U3S3 / G530 / 4GB / GT 520 (passiv) / Cine S2 (Rev. V5.5) + DuoFlex S2 / 120GB SSD (System; SATA>USB) + 3TB SATA 6Gb/s; LCD-TV Toshiba 42VL863G; AVR Yamaha RX-S600...

  • habichthugo


    Die Tutorials von iDomix sind für Synology immer eine Besuch wert:


    - https://idomix.de/synology-ord…eln-der-schluesselmanager


    Kurzum Schlüssel natürlich nicht auf der Synology speichern, sondern als Rechnerschlüssel verwaltet durch den Schlüssel-Manager auf einem externen USB Stick. Dieser muss im Vorfeld jedes Neustarts der DS eingesteckt werden, damit die Ordner automatisch freigeschaltet werden. Rechnerschlüssel heißt, der exportierte Key funktioniert nur an der DS wo er erstellt wurde.


    Geht m.E. also schon recht sicher. Die individuell für jeden Ordner extra erstellten Passphrases halt in einem externen Passwort-Tresor speichern, z.B. (mini)KeePass ...


    Regards

    fnu

    HowTo: APT pinning

  • Also, mein NAS läuft 24/7 und wird auch von anderen Familienmitgliedern benutzt, die von diesem Zinoba keine Peilung haben. Letzlich ähnlich wie in einer Firma. Nach einem automatischen Update oder Stromausfall sollte das NAS bzw. die Shares also tunlichst ohne mein Zutun (USB-Stick anstecken) wieder verfügbar sein. Dafür muss es doch ein Lösung geben. Synology wirbt für die grösseren Modelle ja auch explizit mit Buisinesseinsatz. Da muss dann für jeden Reboot ein Admin an der Kiste sitzen und mit 'nem USB-Stick jonglieren? Es will mir einfach nicht eingehen, dass das nicht schlauer gelöst ist.

    yaVDR 0.6.2; H61M/U3S3 / G530 / 4GB / GT 520 (passiv) / Cine S2 (Rev. V5.5) + DuoFlex S2 / 120GB SSD (System; SATA>USB) + 3TB SATA 6Gb/s; LCD-TV Toshiba 42VL863G; AVR Yamaha RX-S600...

  • In Firmen werden Ablagen eher selten verschlüsselt. Hier läuft alles über Zugangsberechtigungen. Der Admin kann aber meist alles lesen.


    Wovor soll dich die Verschlüsselung schützen? Wenn alles automatisch geht und jemand das ganze NAS klaut dann ist die Verschlüsselung für'n Arsch.


    Edit: Eigentlich doch ganz logisch: Der Schutz ist im Fall eines Diebstahls davon abhängig das dem Dieb etwas fehlt das er zum Entschlüsseln braucht. Der USB Stick bringt also auch nur dann was wenn er nicht direkt neben dem NAS liegt.

  • In Firmen werden Ablagen eher selten verschlüsselt. Hier läuft alles über Zugangsberechtigungen. Der Admin kann aber meist alles lesen.


    Wovor soll dich die Verschlüsselung schützen? Wenn alles automatisch geht und jemand das ganze NAS klaut dann ist die Verschlüsselung für'n Arsch.


    Edit: Eigentlich doch ganz logisch: Der Schutz ist im Fall eines Diebstahls davon abhängig das dem Dieb etwas fehlt das er zum Entschlüsseln braucht. Der USB Stick bringt also auch nur dann was wenn er nicht direkt neben dem NAS liegt.

    Die Verschlüsselung soll davor schützen, dass jemand an die Daten kommt, der das NAS geklaut hat. Wozu sonst? Ok, nett noch, dass man die Platte dann auch einfach so reklamieren oder wegwerfen kann...

    Bei normalem Zugriff, über LAN, sollte alles ausreichend über die Zugangsberechtigungen geschützt sein. Es geht wirklich nur darum, das jemand die Platte(n) 'nackt' beackert. Wenn man so die Zugangsberechtigungen umgehen bzw. die Schlüssel direkt auslesen kann macht die Verschlüsselung keinen Sinn. Und genau deswegen will mir nicht in die Rübe, dass dem so sein soll.

    Leider krige ich von Synology selbst keine Antwort dazu.

    yaVDR 0.6.2; H61M/U3S3 / G530 / 4GB / GT 520 (passiv) / Cine S2 (Rev. V5.5) + DuoFlex S2 / 120GB SSD (System; SATA>USB) + 3TB SATA 6Gb/s; LCD-TV Toshiba 42VL863G; AVR Yamaha RX-S600...

  • Es muss genau so sein. Es geht automatisch --> Der Key liegt im Klartext ab.

    Sicher sind nur Verfahren die ein Merkmal zur Verschlüsselung verwenden das eben nicht beim Start "direkt da ist".

    Die typische Linux-Festplattenverschlüsselung arbeitet z.B. mit einem (relativ langen) Key der dann mit einem individuellen Passwort nochmal verschlüsselt ist. Du musst erst durch Eingabe deines Passworts den eigentlichen Key "entsperren".


    Ich gehe mal davon aus, dass "Platten ausbauen und an einem PC direkt lesen" nicht gehen wird wenn diese "automatische Verschlüsselung" aktiv ist.

    Auf das System selbst kann aber zugegriffen werden. Da hilft dir bei physikalischem Zugriff auch kein Zugriffsschutz mehr. Der taugt eigentlich immer nur gegen Angriffe aus dem Netzwerk.

  • Die typische Linux-Festplattenverschlüsselung arbeitet z.B. mit einem (relativ langen) Key der dann mit einem individuellen Passwort nochmal verschlüsselt ist. Du musst erst durch Eingabe deines Passworts den eigentlichen Key "entsperren".

    Ja eben, und so oder ähnlich hätte ich das erwartet: Der Schlüssel wird über die Passworte der autorisierten Benutzer gefaltet gespeichert, keinesfalls im Klartext.

    Der Schutz ist im Fall eines Diebstahls davon abhängig das dem Dieb etwas fehlt das er zum Entschlüsseln braucht.

    Wäre dann das Passwort mindestes eines autorisierten Accounts.

    Schade, dass das Synology nicht irgendwo mal klarstellt, wie es denn nun tatsächlich ist.

    yaVDR 0.6.2; H61M/U3S3 / G530 / 4GB / GT 520 (passiv) / Cine S2 (Rev. V5.5) + DuoFlex S2 / 120GB SSD (System; SATA>USB) + 3TB SATA 6Gb/s; LCD-TV Toshiba 42VL863G; AVR Yamaha RX-S600...

  • Also, mein NAS läuft 24/7 und wird auch von anderen Familienmitgliedern benutzt, die von diesem Zinoba keine Peilung haben. Letzlich ähnlich wie in einer Firma. Nach einem automatischen Update oder Stromausfall sollte das NAS bzw. die Shares also tunlichst ohne mein Zutun (USB-Stick anstecken) wieder verfügbar sein. Dafür muss es doch ein Lösung geben. Synology wirbt für die grösseren Modelle ja auch explizit mit Buisinesseinsatz. Da muss dann für jeden Reboot ein Admin an der Kiste sitzen und mit 'nem USB-Stick jonglieren? Es will mir einfach nicht eingehen, dass das nicht schlauer gelöst ist.

    Also ich verstehe Dich nicht, Du hast kein Enterprise Storage Array mit Servicevertrag gekauft, sondern ein SoHo NAS für ein paar hundert Euro. Dieses Gerät bietet viel u.a. auch was Du möchtest, Du musst es nur korrekt umsetzen. Sicherheit & Verschlüsselung war noch nie maximal bequem, das widerspricht sich m.E. auch irgendwie. Ansonsten müsstest Du nach einem Model ausschau halten, das ein TPM eingebaut hat ...


    Aber Du kannst den USB Stick doch auch eingesteckt lassen, für den Fall Deiner Abwesenheit und eines Stromausfalls. Ist zwar auf den ersten Blick nicht sicherer, aber die Keys wären erstmal nimmer auf dem NAS gespeichert. Zum anderen wird das NAS ja in jedem Fall erstmal starten, nach Stromausfall, ohne den USB Stick. Du musst eben mal testen, ob es reichen würde nach dem Neustart erst den USB Stick einzustecken. Dann solltest Du Deine Familie entsprechend instruieren, mache ich mit meiner auch, kann ja nicht sein das die IT Sicherheit nur an Deiner Person hängt, Du siehst vmtl. schon auch wo da der Fehler liegt ...


    Und bzgl. Businesseinsatz, da jammert vmtl. niemand rum das er sich um einen USB Stick kümmern muss, dafür aber ein paar Euro günstiger einkaufen konnte ... ;) ... eine Firma ist ja im Prinzip auch regelmäßig besetzt, wie auch eine Familie eine kleine Fa. mit Blick auf die IT ist, jeder hat Verwantwortung ...


    Regards

    fnu

    HowTo: APT pinning

  • Also ich verstehe Dich nicht, ...

    Was nicht? Dass ich zunächst mal wissen will, wie es denn nun wirklich ist?


    Es gibt ja durchaus auch die Meinung, dass es ohne weiteren Aufwand sicher ist, wenn man nicht an die Nutzerkonten kommt. Mal einen beliebigen Artickel dazu:

    Synology DSM 6.0: Verschlüsselte Ordner erstellen

    "Lasst ihr aber immer automatisch einhängen, so ist vielleicht das Nutzungsszenario „Gegen Diebstahl Daten sichern“ sinnlos, wenn der Angreifer vielleicht auch Zugriff auf euer Nutzerkonto oder einen PC hat. Solltet ihr mit einrechnen. Wenn schon sicher, dann bitte nicht nur das eine Gerät, sondern auch jenes, über welches zugegriffen wird."


    Schade, dass Synology das nicht explizit klar stellt.

    yaVDR 0.6.2; H61M/U3S3 / G530 / 4GB / GT 520 (passiv) / Cine S2 (Rev. V5.5) + DuoFlex S2 / 120GB SSD (System; SATA>USB) + 3TB SATA 6Gb/s; LCD-TV Toshiba 42VL863G; AVR Yamaha RX-S600...

  • Ok, aber nun siehst Du ja klar und wie Du es mit der vorhandenen DS116 umsetzen mußt :)

    HowTo: APT pinning

  • Ich unterstelle einfach mal die haben "Standard-Samba" drauf.

    Das mag sicher sein solange man davon ausgeht das ein Dieb nicht an das Betriebssystem rankommt. Ich weiß nicht wie schwer das auf so einer Synology wirklich ist aber ich unterstelle einfach mal das man mit nur etwas Wissen über Embedded-Linux recht einfach drankommt.

    Kurze Google-Suche hat zumindest schonmal bestätigt das die u-boot verwenden. Damit bekommt man ziemlich sicher einen Boot via TFTP hin und von da aus kann man dann auch das eMMC mounten.


    Kommt natürlich immer drauf an was du ablegen willst. Im Prinzip könntest du Daten ja auch schon auf deinem PC verschlüsseln und die verschlüsselte Datei auf das NAS legen.

  • Ok, aber nun siehst Du ja klar und wie Du es mit der vorhandenen DS116 umsetzen mußt :)

    Ne, klar ist das erst, wenn Synology klar sagt, wie die Schlüssel abgelegt sind. Oder das jemand reengineerd ;.)

    Ich unterstelle einfach mal die haben "Standard-Samba" drauf.

    Das mag sicher sein solange man davon ausgeht das ein Dieb nicht an das Betriebssystem rankommt. Ich weiß nicht wie schwer das auf so einer Synology wirklich ist aber ich unterstelle einfach mal das man mit nur etwas Wissen über Embedded-Linux recht einfach drankommt.

    Kurze Google-Suche hat zumindest schonmal bestätigt das die u-boot verwenden. Damit bekommt man ziemlich sicher einen Boot via TFTP hin und von da aus kann man dann auch das eMMC mounten.


    Kommt natürlich immer drauf an was du ablegen willst. Im Prinzip könntest du Daten ja auch schon auf deinem PC verschlüsseln und die verschlüsselte Datei auf das NAS legen.

    Wäre eigentlich egal, wie man sich reinhackt. Wenn die Schlüssel z.B. über die Passworte gefaltet abgelegt wären, dann wäre das etwa so sicher wie das schwächste Passwort.


    edit: Meine Laptops sind mit Bitlocker (ohne TPM) verschlüsselt (und haben ein Systempasswort). Wüsste nicht, wie ich die Daten direkt so verschlüsselt aufs NAS bekäme.

    yaVDR 0.6.2; H61M/U3S3 / G530 / 4GB / GT 520 (passiv) / Cine S2 (Rev. V5.5) + DuoFlex S2 / 120GB SSD (System; SATA>USB) + 3TB SATA 6Gb/s; LCD-TV Toshiba 42VL863G; AVR Yamaha RX-S600...

  • Ne, klar ist das erst, wenn Synology klar sagt, wie die Schlüssel abgelegt sind. Oder das jemand reengineerd ;.)

    Also m.E. legt man Schlüssel auf dem Gerät nur ab, wenn diese durch eine weitere Instanz (TPM), Eingabe (Passwort/PIN) oder Aktion (Einstecken USB Stick, Smartcard etc.) bei jedem Start freigeschaltet werden müssen.


    Eine Entschlüsselung ohne weitere schützende Abfrage der Keys kann nicht sicher sein, da kannst Du Dir die Arbeit auch direkt sparen, unabhängig davon ob Synology das genauer spezifiziert oder es Deiner Meinung nach sogar fehlerhaft implementiert/dokumentiert hat.


    Ich gehe sogar soweit zu sagen Du bist für den sicheren Betrieb Deines NAS verantwortlich, nicht der Hersteller. Wie auch ich für mein NAS, btw. auch eine Synology DS, meine PCs, meine Smartphones ...

    HowTo: APT pinning

    The post was edited 1 time, last by fnu ().

  • Also m.E. legt man Schlüssel auf dem Gerät nur ab, wenn diese durch eine weitere Instanz (TPM), Eingabe (Passwort/PIN) oder Aktion (Einstecken USB Stick, Smartcard etc.) bei jedem Start freigeschaltet werden müssen.


    Eine Entschlüsselung ohne weitere schützende Abfrage der Keys kann nicht sicher sein, da kannst Du Dir die Arbeit auch direkt sparen, unabhängig davon ob Synology das genauer spezifiziert oder es Deiner Meinung nach sogar fehlerhaft implementiert/dokumentiert hat.


    Ich gehe sogar soweit zu sagen Du bist für den sicheren Betrieb Deines NAS verantwortlich, nicht der Hersteller. Wie auch ich für mein NAS, btw. auch eine Synology DS, meine PCs, meine Smartphones ...

    Aber das geht doch, wie ich schon mehrfach sagte. Du kannst die Schlüssel doch über die Passworte der Accounts falten. Ohne Kenntnis mindestens eines solchen Passworts kannst du dann den Schlüssel nicht wieder herstellen. Die Frage ist schlich, ob das auch so oder ähnlich gemacht ist. Nichts anderes möchte ich wissen. Denn dann kannst du dir allen weiteren Zinoba sparen.


    M.E. kann das gar nicht anders sein, weil dieses Feature sonst gar keinen Sinn macht bzw. es gerade zu fahrlässig wäre, sowas anzubieten, ohne dann eine dazugehörige Zusatzsicherung erzwungen oder auf deren Verwendung wenigstens explizit hingewiesen wird.


    Egal, lassen wir das rumspekulieren. Es weis hier offenbar keiner, wie es wirklich gemacht ist. Schon gar nicht mit hieb und stichfestem Quellenverweis.

    yaVDR 0.6.2; H61M/U3S3 / G530 / 4GB / GT 520 (passiv) / Cine S2 (Rev. V5.5) + DuoFlex S2 / 120GB SSD (System; SATA>USB) + 3TB SATA 6Gb/s; LCD-TV Toshiba 42VL863G; AVR Yamaha RX-S600...

  • Andersrum wird ein Schuh draus. Diese Schlüssel (-Dateien) enthalten das als Basis für die Verschlüsselung verwendete Passwort. Deine Passwörter können aus den Schlüsseln nicht wieder hergestellt werden.


    Wie der Name schon sagt sind das Schlüssel und dienen dazu etwas zu öffnen. Jeder der jetzt im Besitz dieser Schlüssels ist kann Deine verschlüsselten Bereiche öffnen. Legst Du die Schlüssel auf Deiner Synology ab, liegen diese natürlich in einem nicht verschlüsselten Bereich, damit diese dem Schlüsselmanager beim Start zur Verfügung stehen. Wenn sich nun jemand Zugang zu diesem unverschlüsseltem Bereich auf der Synology verschaffen kann, kann der in den Besitz dieser Schlüssel kommen, nicht Deiner Passwörter.


    Legst Du die Schlüssel aber auf einem USB Stick ab und ziehst den nach dem jedem Neustart ab, gibt es die Schlüssel nicht auf dem Synology NAS, kann also keiner rankommen.


    Daher als Rechnerschlüssel anlegen, diese funktionieren nur auf Deiner spezifischen Synology, dann auf einem USB Stick ablegen. Selbst wenn Du den Stick nun immer drin und vom Schlüsselmanager automatisch un-mounten lässt, muss jemand erstmal noch über Deine sicheren Zugangspasswörter zur Synology reinkommen. Telnet ist selbstverständlich niemals aktiviert, SSH auch nur bei Bedarf, natürlich die HTTP (Port 80) auf HTTPS (Port 443) Umleitung und Zwei-Faktor Authentifizierung aktivieren.


    Es macht natürlich wenig Sinn Netzwerk-Shares auf der Synology zu verschlüsseln, wenn diese dann auf Clients unverschlüsselt im Zugriff sind ... Sinn machen m.E. das Zielverzeichnis für ActiveBackup, "/home[s]", vllt. noch die externe USB HDD als Ziel von HyperBackup, also Bereiche die nicht (!) im allgemeinen Netzwerk-Zugriff sind.

    HowTo: APT pinning

    The post was edited 4 times, last by fnu ().

  • Wenn ich den Schlüssel nehme und z.B. per xor mit einem Passwort falte und dann speichere, kann ich den Schlüssel dann daraus ohne das Passwort wiederherstellen (mit nochmal xor)? Und kann ich das prinzipiell für alle Schlüssel / Passworte (Accounts) des NAS tun? Ich sage ja nicht, dass es so gemacht wird. Nur das es möglich ist auf diese oder ähnliche Weise die Schlüssel so sicher direkt auf der Platte abzulegen, wie die Passworte sind. Vielleich haben die Dinger aber auch ein Stück spezielle Hardware dafür, dass Account bzw. Passwort - Schlüsselpaare annimmt und die Schlüssel nur gegen Passwort wieder herausgibt. Oder wer weiß was sonst.

    Mal sehen, ob sich der Support von Synology zu dem Thema bei mir noch rührt.

    yaVDR 0.6.2; H61M/U3S3 / G530 / 4GB / GT 520 (passiv) / Cine S2 (Rev. V5.5) + DuoFlex S2 / 120GB SSD (System; SATA>USB) + 3TB SATA 6Gb/s; LCD-TV Toshiba 42VL863G; AVR Yamaha RX-S600...

  • Der Support von Synology sagt tatsächlich, dass die Verschlüsselung ohne weiter Maßnahmen nichts bringt. Mit fehlen die Worte...

    yaVDR 0.6.2; H61M/U3S3 / G530 / 4GB / GT 520 (passiv) / Cine S2 (Rev. V5.5) + DuoFlex S2 / 120GB SSD (System; SATA>USB) + 3TB SATA 6Gb/s; LCD-TV Toshiba 42VL863G; AVR Yamaha RX-S600...