Verständnisfrage Verschlüsselung Synology

B

Berlin77

Gast
Hallo zusammen,
ich brauche einmal bitte Verständnishilfe zur Verschlüsselung von Synology NAS-Geräten. Ich kann von einem Bekannten sein Synology günstig erwerben. Ich möchte dort meine privaten Daten sicher aufbewahren (als Backup habe ich noch externe Festplatten in einem Bankschließfach). Wenn also mein NAS mal geklaut wird, möchte ich, dass meine Daten "sicher" sind. Bei uns wurde letzte Woche in die Kellerräume eingebrochen und dadurch will ich mich gerade rüsten, falls in meine Wohnung bei längerer Abwesendheit mal eingebrochen wird.

Soweit wie ich es verstanden habe verwendet Synology eine Dateibasierte Verschlüsselung. Jede Verschlüsselung Verschlüsselung verwendet ja einen Schlüssel. Dieser ist meist mit einem Passwort geschützt. Ich möchte gerne das NAS so verwenden wie ich es mit jeder FDE (z.B. Veracrypt) mache. Ich muss beim Start ein Passwort eingeben und wenn das Gerät stromlos gemacht wird, ist die Verschlüsselung aktiv und ohne Passwort kann niemand auf die Daten zugreifen.

Ich war jetzt bei meiner Recherche über https://blog.elcomsoft.com/2019/11/...on-forensic-analysis-of-synology-nas-devices/ gestolpert und hatte nicht ganz verstanden, was es dort mit einem hardcodierten Masterpasswort auf sich hat.
"Note: when the key is stored on an internal hard drive, the wrapping passphrase cannot be changed. This is by design. Synology uses a single fixed, pre-programmed passphrase on all of its NAS units."

Ich habe dann https://blog.admin-intelligence.de/synology-nas-ordner-verschluesseln/ nachgelesen. Dort ist geschrieben, dass der Key intern abgelegt werden kann (ohne Passwort) oder extern mit Passwort.

Wenn ich jetzt als Amateur raten müsste, verstehe ich es so, dass intern der Schlüssel abgelegt werden kann und auch mit einem Passwort verschlüsselt ist, aber mit einem vordefinierten Passwort. Das ganze arbeitet dann wie ein softwarebasiertes TPM. Der Schlüssel ist auf der internen Platte und das Laufwerk wird automatisch bei Neustart gemounted mit dem Schlüssel. Man kann in dem Moment nicht einfach die Platten ausbauen und auslesen ohne das NAS. Nun kann man aber wohl den Encryption Key aus dem NAS auslesen:
"Vulnerability 1: The stored encryption key can be intercepted and the data accessed if the user had the encryption key stored in DSM Key Manager."

Sicherer ist es dann wohl, den Schlüssel auf einem USB-Stick aufzubewahren und mit einem Passwort zu schützen. Meine Idee wäre daher einfach USB-Stick anschließen, 40 Zeichen-Passwort vergeben und das Passwort bei jedem Neustart erneut eingeben. Das Passwort würde ich einfach auf meinem Rechner im KeePass speichern, da der Rechner mit VeraCrypt komplett verschlüsselt ist.
Gibt es bei meinem Plan mit dem 40-Zeichen-Passwort eine Schwachstelle, auf die sich der Artikel https://blog.elcomsoft.com/2019/11/...on-forensic-analysis-of-synology-nas-devices/ bezieht? Wenn ich es richtig verstehe, dann nicht. Ich habe leider das NAS noch nicht, sodass ich das ganze nicht einfach ausprobieren kann bzw. ein besseres Verständnis bekommen kann. Also falls jmd. dazu ggf. was dazusagen kann bzw. wie er mit der Verschlüsselung von einem Synology-NAS umgeht, wäre super. Schutzszenario ist wie gesagt, wenn jmd. das NAS stromlos macht und mitnimmt soll er damit genauso wenig anfangen können wie mit meinem Rechner, der mit VeraCrypt verschlüsselt ist.
 
Bei Synology ist anders als bei QNAP keine Vollverschlüsselung möglich. Das betrifft leider auch einige der Synology Apps, deren Anwendungsdaten dann im "unsicheren" Bereich liegen.

Es lassen sich jedoch die eingerichteten Ordner verschlüsseln. Jeder Ordner muss dann nach dem Start durch Eingabe des jeweiligen Passworts "eingehängt" werden.

Der Schlüssel-Manager oder das automatische einhängen müssen nicht genutzt werden.
 
Zuletzt bearbeitet:
@x.treme
Genau das habe ich vor und soweit auch verstanden mit den dem Einhängen. Die Frage handelt mehr umd as Key-Management. Ich habe auch nochmal bei reddit https://www.reddit.com/r/synology/comments/tzov5f/what_exactly_can_you_encrypt_on_a_synology_nas/ nachgelesen und auch dort wird die verwendete Verschlüsselungslösung kritisiert. Gut, es mag für meine Belange reichen. Ich schaue mir aber dennoch nochmal QNAP an. Synology scheint auch mehr in die Kritik zu geraten, was Support von nicht offiziell supporteten Festplatten angeht. Ich schaue sonst auch einmal, was QNAP im Angebot hat. Viel Performance braucht das Ding eh nicht, da mein PC via WLAN am Router hängt und damit der Flaschenhals ist.

Oder ich packe nur verschlüsselte Daten auf das NAS. Wobei dann kann ich mir das auch gleich sparen und einfach auf eine externe Platte packen.

Update:
https://www.reddit.com/r/synology/comments/tplix1/best_encryption_practices_for_synology_devices/
Hier wird scheinbar gesagt, dass der KeyStore immer angreifbar ist. Egal ob extern oder intern gelagert.
Ohne Verwendung des keystores ist es wohl so sicher wie ecryptfs, was auch in Chromebooks seit langem genutzt wird.

Entscheidung:
Ich packe einfach nur unwichtige Daten rauf und keine persönlichen Daten.
 
Zuletzt bearbeitet von einem Moderator:
Korrekt, deswegen wie oben erwähnt den Schlüsselbund und das automatische Mounten gar nicht erst nutzen, und das Passwort halt manuell eingeben nach dem Start.

So mache ich es auch. Wenn du darauf dann auch nicht traust, einfach kein Synology kaufen und baue dir ein eigenes NAS, mit dem OS und Encryption deiner Wahl.
 
Zurück
Oben