B
Berlin77
Gast
Hallo zusammen,
ich brauche einmal bitte Verständnishilfe zur Verschlüsselung von Synology NAS-Geräten. Ich kann von einem Bekannten sein Synology günstig erwerben. Ich möchte dort meine privaten Daten sicher aufbewahren (als Backup habe ich noch externe Festplatten in einem Bankschließfach). Wenn also mein NAS mal geklaut wird, möchte ich, dass meine Daten "sicher" sind. Bei uns wurde letzte Woche in die Kellerräume eingebrochen und dadurch will ich mich gerade rüsten, falls in meine Wohnung bei längerer Abwesendheit mal eingebrochen wird.
Soweit wie ich es verstanden habe verwendet Synology eine Dateibasierte Verschlüsselung. Jede Verschlüsselung Verschlüsselung verwendet ja einen Schlüssel. Dieser ist meist mit einem Passwort geschützt. Ich möchte gerne das NAS so verwenden wie ich es mit jeder FDE (z.B. Veracrypt) mache. Ich muss beim Start ein Passwort eingeben und wenn das Gerät stromlos gemacht wird, ist die Verschlüsselung aktiv und ohne Passwort kann niemand auf die Daten zugreifen.
Ich war jetzt bei meiner Recherche über https://blog.elcomsoft.com/2019/11/...on-forensic-analysis-of-synology-nas-devices/ gestolpert und hatte nicht ganz verstanden, was es dort mit einem hardcodierten Masterpasswort auf sich hat.
"Note: when the key is stored on an internal hard drive, the wrapping passphrase cannot be changed. This is by design. Synology uses a single fixed, pre-programmed passphrase on all of its NAS units."
Ich habe dann https://blog.admin-intelligence.de/synology-nas-ordner-verschluesseln/ nachgelesen. Dort ist geschrieben, dass der Key intern abgelegt werden kann (ohne Passwort) oder extern mit Passwort.
Wenn ich jetzt als Amateur raten müsste, verstehe ich es so, dass intern der Schlüssel abgelegt werden kann und auch mit einem Passwort verschlüsselt ist, aber mit einem vordefinierten Passwort. Das ganze arbeitet dann wie ein softwarebasiertes TPM. Der Schlüssel ist auf der internen Platte und das Laufwerk wird automatisch bei Neustart gemounted mit dem Schlüssel. Man kann in dem Moment nicht einfach die Platten ausbauen und auslesen ohne das NAS. Nun kann man aber wohl den Encryption Key aus dem NAS auslesen:
"Vulnerability 1: The stored encryption key can be intercepted and the data accessed if the user had the encryption key stored in DSM Key Manager."
Sicherer ist es dann wohl, den Schlüssel auf einem USB-Stick aufzubewahren und mit einem Passwort zu schützen. Meine Idee wäre daher einfach USB-Stick anschließen, 40 Zeichen-Passwort vergeben und das Passwort bei jedem Neustart erneut eingeben. Das Passwort würde ich einfach auf meinem Rechner im KeePass speichern, da der Rechner mit VeraCrypt komplett verschlüsselt ist.
Gibt es bei meinem Plan mit dem 40-Zeichen-Passwort eine Schwachstelle, auf die sich der Artikel https://blog.elcomsoft.com/2019/11/...on-forensic-analysis-of-synology-nas-devices/ bezieht? Wenn ich es richtig verstehe, dann nicht. Ich habe leider das NAS noch nicht, sodass ich das ganze nicht einfach ausprobieren kann bzw. ein besseres Verständnis bekommen kann. Also falls jmd. dazu ggf. was dazusagen kann bzw. wie er mit der Verschlüsselung von einem Synology-NAS umgeht, wäre super. Schutzszenario ist wie gesagt, wenn jmd. das NAS stromlos macht und mitnimmt soll er damit genauso wenig anfangen können wie mit meinem Rechner, der mit VeraCrypt verschlüsselt ist.
ich brauche einmal bitte Verständnishilfe zur Verschlüsselung von Synology NAS-Geräten. Ich kann von einem Bekannten sein Synology günstig erwerben. Ich möchte dort meine privaten Daten sicher aufbewahren (als Backup habe ich noch externe Festplatten in einem Bankschließfach). Wenn also mein NAS mal geklaut wird, möchte ich, dass meine Daten "sicher" sind. Bei uns wurde letzte Woche in die Kellerräume eingebrochen und dadurch will ich mich gerade rüsten, falls in meine Wohnung bei längerer Abwesendheit mal eingebrochen wird.
Soweit wie ich es verstanden habe verwendet Synology eine Dateibasierte Verschlüsselung. Jede Verschlüsselung Verschlüsselung verwendet ja einen Schlüssel. Dieser ist meist mit einem Passwort geschützt. Ich möchte gerne das NAS so verwenden wie ich es mit jeder FDE (z.B. Veracrypt) mache. Ich muss beim Start ein Passwort eingeben und wenn das Gerät stromlos gemacht wird, ist die Verschlüsselung aktiv und ohne Passwort kann niemand auf die Daten zugreifen.
Ich war jetzt bei meiner Recherche über https://blog.elcomsoft.com/2019/11/...on-forensic-analysis-of-synology-nas-devices/ gestolpert und hatte nicht ganz verstanden, was es dort mit einem hardcodierten Masterpasswort auf sich hat.
"Note: when the key is stored on an internal hard drive, the wrapping passphrase cannot be changed. This is by design. Synology uses a single fixed, pre-programmed passphrase on all of its NAS units."
Ich habe dann https://blog.admin-intelligence.de/synology-nas-ordner-verschluesseln/ nachgelesen. Dort ist geschrieben, dass der Key intern abgelegt werden kann (ohne Passwort) oder extern mit Passwort.
Wenn ich jetzt als Amateur raten müsste, verstehe ich es so, dass intern der Schlüssel abgelegt werden kann und auch mit einem Passwort verschlüsselt ist, aber mit einem vordefinierten Passwort. Das ganze arbeitet dann wie ein softwarebasiertes TPM. Der Schlüssel ist auf der internen Platte und das Laufwerk wird automatisch bei Neustart gemounted mit dem Schlüssel. Man kann in dem Moment nicht einfach die Platten ausbauen und auslesen ohne das NAS. Nun kann man aber wohl den Encryption Key aus dem NAS auslesen:
"Vulnerability 1: The stored encryption key can be intercepted and the data accessed if the user had the encryption key stored in DSM Key Manager."
Sicherer ist es dann wohl, den Schlüssel auf einem USB-Stick aufzubewahren und mit einem Passwort zu schützen. Meine Idee wäre daher einfach USB-Stick anschließen, 40 Zeichen-Passwort vergeben und das Passwort bei jedem Neustart erneut eingeben. Das Passwort würde ich einfach auf meinem Rechner im KeePass speichern, da der Rechner mit VeraCrypt komplett verschlüsselt ist.
Gibt es bei meinem Plan mit dem 40-Zeichen-Passwort eine Schwachstelle, auf die sich der Artikel https://blog.elcomsoft.com/2019/11/...on-forensic-analysis-of-synology-nas-devices/ bezieht? Wenn ich es richtig verstehe, dann nicht. Ich habe leider das NAS noch nicht, sodass ich das ganze nicht einfach ausprobieren kann bzw. ein besseres Verständnis bekommen kann. Also falls jmd. dazu ggf. was dazusagen kann bzw. wie er mit der Verschlüsselung von einem Synology-NAS umgeht, wäre super. Schutzszenario ist wie gesagt, wenn jmd. das NAS stromlos macht und mitnimmt soll er damit genauso wenig anfangen können wie mit meinem Rechner, der mit VeraCrypt verschlüsselt ist.
