[UMFRAGE] Verschlüsselung - Setzt Ihr Verschlüsselung bei Eurem NAS ein - wie und warum?

Ich arbeite auch noch mit Papier, einem klassischen Passwortbuch. Bisschen nervig ist es auch ein Kopie davon aktuell zu halten.

Zur Zeit fahre ich erste Versuche mit KeePassXC als Passwortmanager. Damit habe ich aber noch nicht ausreichend Erfahrung gesammelt.

Social Engineering: Familienmitglieder/MItarbeiter immer wieder neu darüber aufklären, wie Passwörter ausgespäht oder anderweitig Daten abgeschöpft werden. Sobald denen dann etwas auffällig wird lautet die Maxime: Finger weg von der Tastatur und Hilfe herbeirufen.

Zitat von PuraVida

Wie sichert ihr den Verschlüsselungsschlüssel? Bzw. wie und wo hebt ihr das Passwort auf?

Password-Manager.Da dessen Datenbank auch auf der QNAP liegt, synchronisiere ich das automatisch auf einen lokalen Ordner auf einem PC, damit ich mich nicht selber aussperre,

Ich investiere da lieber in die Sicherheit der Wohnung.

NAS-Verschlüsselung nutzt doch auch nur bei Diebstahl was. Und auch nur dann, wenn der Key nicht auf der NAS hinterlegt ist.

Zitat von rednag

NAS-Verschlüsselung nutzt doch auch nur bei Diebstahl was.

"Nur" ist auch gut

Du hast scheinbar nur auf Buzzwords reagiert, sonst hättest Du gelesen. dass Encryption auch die Entsorgung defekter HDDs stark vereinfacht.Desweiteren sind Szenarien vorstellbar, wo jemand Dein QNAP legal als Beweisstück einkassiert ( der Anwurf muß ja nicht bedeuten, dass man etwas illegales getan hat).Und dann isses doch schön, dass die Encryption im Sinne des Rechts ist, dass man sich ja nicht selber belasten muß.

Allerdings rechtfertigt die Möglichkeit eines physikalischen Diebstahls alleine schon eine Encryption.

Ich spreche den Nutzen der Verschlüsselung ja nicht generell ab. Natürlich mag es Szenarien geben, wo sowas Sinn macht. Aber ich für meinen Teil brauche es halt nicht. Und defekte Festplatten werden bei mir mechanisch zerstört. Ja, man kann u. U. auch daraus wieder was herstellen. Fotos meiner Katze zum Beispiel....

Was spricht denn Deiner Meinung nach gegen eine Encryption ?

Nehmen wir mal eine heutige Webseite, da wird die Übertragung ja auch per SSL/TLS verschlüsselt.Stand der Technik und würde glaube ich niemand als unsinnig abtun.VPNs werden auch encryptet.

Es ist nicht kostenlos, das ist klar.Es kostet immer Performance, mit Einsatz von Geld kann man die Einbußen auf ein akzeptables Maß bringen..Ich habe mir aus diesem Grund halt eine Intel QNAP mit AES-NI besorgt

Es spricht nichts gegen eine Verschlüsselung. Jeder der will kann es nutzen. Ich brauch es halt nicht. Ich will jetzt hier auch nicht Für / Wider diskutieren. Ich brauche keine Verschlüsselung, Du nutzt sie. Ich doch alles in Ordnung.

Zitat von Mavalok2

Bin mir selbst nicht so sicher, deshalb dachte ich, ich frage mal in die Runde.

Wie ich schon erwähnte, der fast einzige Nachteil, der mit Encryption in Verbindung steht, ist die Performance / Leistung.Zumindest theoretisch.Der Performanceverlust muß in der Praxis keine Rolle spielen ( zb wenn man die QNAP nur über 1Gbit angebunden hat und die QNAP encrypted schneller lesen / schreiben kann als 125Mbyte / sec.

Seit Jahren gibt es im Markt sog. SED-Platten (Self Encrypting Device). Und obwohl diese meist nur 0,50€ mehr kosten als die baugleiche normale werden sie nicht verwendet.

Mein Wunsch wäre, dass das QTS beim Mounten der Platten das Passwort abfragt und dann den Rest der Platte überläßt. Aber das bleibt wohl eher Hoffnung ...

Ich hab mir noch nicht angesehen, wo die Verschlüsselung aufgehängt ist, vermutlich im Layer oberhalb des (MD-)RAID, sonst könnte man keine Volumes einzeln verschlüsseln.

Datenschutz und Schutz meiner Daten
(Privacy & Safety) sind für mich die wichtigsten Gründe Verschlüsselung einzusetzten.

Zu Ermitlungsbehörden die meinen sie müssen alles mitnehmen: da gibt es Einschränkungen. Einen Server dürfen sie mitnehmen, den Spiegelserver aber nicht. Stichwort: Verhältnismäßigkeit. Ob das aber auch bei Ermittlungen im privaten Umfeld so gesehen wird? Ist aber auch nicht wirklich unser Thema?!

M.
Edit: Platten im Vergleich:

ST8000NM0055 ohne SED

ST8000NM0105 mit SED

Soll das nicht mit 4.4.1 kommen ?

Zitat von Mavalok2

Eigentlich ist dieses Thema genau dafür da, um die Vor- und Nachteile von Verschlüsselung des NAS zu diskutieren.

Ja, im Prinzip schon. Ich bin da aber nur widerwillig reingezogen worden. Ich handhabe das ganze wie in #43 ausgeführt. Ihr könnt darüber ja gerne diskutieren bzw. eure Standpunkte vertreten. Warum kann man hier nicht einfach seine Meinung sagen ohne gleich Rechenschaft ablegen zu müssen?

Das ist das was mir missfällt. Darum steige ich hier nicht mehr ein. Ich habe meine Meinung kundgetan. Wenn das ganze gleich als "Buzzword" abgetan wird, vergeht mir jedenfalls die Lust an weiteren Aufführungen.

Moin,

Zitat von DocHollywood

Du hast scheinbar nur auf Buzzwords reagiert, sonst hättest Du gelesen. dass Encryption auch die Entsorgung defekter HDDs stark vereinfacht.

Bei wird die Platte fachgerecht demontiert und die Einzelteile fachgerecht entsorgt. Da brauche ich so etwas nicht.

Zitat von DocHollywood

Allerdings rechtfertigt die Möglichkeit eines physikalischen Diebstahls alleine schon eine Encryption.

Also bei mir steht nicht draußen an der Tür "NAS inside - please take with you".

Zitat von DocHollywood

Desweiteren sind Szenarien vorstellbar, wo jemand Dein QNAP legal als Beweisstück einkassiert ( der Anwurf muß ja nicht bedeuten, dass man etwas illegales getan hat).Und dann isses doch schön, dass die Encryption im Sinne des Rechts ist, dass man sich ja nicht selber belasten muß.

Wenn man nichts vor der Justiz zu verbergen hat warum verschlüsselt man dann sein NAS?

Zitat von DocHollywood

Allerdings rechtfertigt die Möglichkeit eines physikalischen Diebstahls alleine schon eine Encryption.

Das ist das einzige was ich gelten lassen würde, aber da stellt sich auch wieder die Frage ob diejenigen wirklich das NAS abgreifen.

Das bringt denen keinen Nutzen! Ich würde lieber in Einbruchsschutz investieren! Da schütze ich mehr - HiFi Anlage, Fernseher, div. Küchengeräte(), Werkzeug, ... und meine NAS.

100% Sicherheit gibt es eh nicht, daher ... .

Gegen Trojaner und Co. nutzt die Verschlüsselung auch nichts, daher sehe ich für mich wirklich keinen Nutzen dieses umzusetzen. Man muss nicht alles umsetzen/installieren was ein NAS heutzutage alles kann - meine Philosophie.

Eine Frage in die Runde was macht ihr, wenn ihr keinen Zugang mehr zum Schlüssel habt und an die Daten wollt/müsst? Ich werde dieses Problem nie bekommen!

VG

Friis

Zitat von Friis

Eine Frage in die Runde was macht ihr, wenn ihr keinen Zugang mehr zum Schlüssel habt und an die Daten wollt/müsst?

Das kann nicht passieren da das Passwort immer manuell eingegeben wird. Dieses Passwort kennen noch außer mir, noch 2 andere Personen.

Aber wie rednag schon sagte, jeder muss selber entscheiden ob er das braucht oder nicht. Deswegen ist eine Diskussion warum einer das nicht einsetzt völlig flüssig

Zitat von Friis

Wenn man nichts vor der Justiz zu verbergen hat warum verschlüsselt man dann sein NAS?

Bei manchem Einwand "gegen" eine Verschlüsselung kann ich mich nur wundern, Datenschützer verzweifeln.

Verschlüsselung von Daten wird ja nicht nur für NAS-Systeme, sondern auch für alle anderen Betriebssysteme angeboten. Warum? Gerade im Business-Umfeld wird empfohlen die Systeme zu verschlüsseln. Es geht dabei um den Schutz von personenbezogenen Daten nach der DSGVO oder einfach auch den Schutz vor Industriespionage. Letzteres wäre aber nur eine Maßnahme unter vielen.

Im übrigen ist beispielsweise bei den moderneren Android Smartphones die Verschlüsselung grundsätzlich aktiviert. Um die nicht zu wollen, musst du sie abwählen.

Puh, noch so eine naive Frage:

Zitat von Friis

Eine Frage in die Runde was macht ihr, wenn ihr keinen Zugang mehr zum Schlüssel habt und an die Daten wollt/müsst? Ich werde dieses Problem nie bekommen!

Auf das (natürlich verschlüsselte) Backup zugreifen. Ich hoffe, du hast auch eines. Denn solltest du mal keinen Zugang zu deinem Dateisystem haben, ist die Lösung auch keine andere!

Nachtrag: Lesenswert!

Hallo phoneo

ich habe hier ausschließlich von der Justiz geredet.

Zitat von phoneo

Gerade im Business-Umfeld wird empfohlen die Systeme zu verschlüsseln.

Das geht vor allem gegen Diebstahl von Firmeneigentum und wegen mir auch der DSGVO.

Zum Glück nutze ich mein NAS nur und ausschließlich für private Zwecke, welches auch nicht nach außen offen ist. Einen Gastzugang gibt es auch nicht.

Gegen einen Trojaner auf meinem Rechner der die Daten dann ins I-Net sendet hilft aber leider auch diese Verschlüsselung der Daten nicht. Wenn es denn so wäre - bin ich sofort bei dir.

Zitat von phoneo

Auf das (natürlich verschlüsselte) Backup zugreifen.

Ich hoffe du kennst dann den Schlüssel.

Zitat von phoneo

Ich hoffe, du hast auch eines.

Ja, habe ich - mehrere sogar und an verschiedenen Orten mit jeweils verschiedenen Versionsständen.

Ich hoffe nur das es reicht - wenn die alle gleichzeitig "ausfallen" habe ich ein Problem.

Bei meiner Nutzung des NAS und den vorherrschenden Bedingungen, die ich habe, sehe persönlich ein unbedeutendes Risiko der Daten auf dem NAS.

Anders hingegen ist das was unter dem Link aufgeführte: mobile Endgeräte, Chats, WLAN bzw. dergleichen. Da ist, da hier das Risiko zB. eines Verlustes größer ist, eine Verschlüsselung angeraten. Das ist aber nicht Gegenstand dieser Umfrage. Die dreht sich nur um das Thema NAS.

Eine 100%ige Sicherheit gibt es nicht und daran wird auch kein Gesetz, Vorschriften was dran ändern.

Wenn man "genügend Zeit"(Jahre oder per Zufall) hat kann auch der Schlüssel für die Platten geknackt werden. Ja es wird dauern - aber man wird an die Daten kommen. Ob das dann noch dem einen was nützt weiß ich nicht - aber die Daten sind dann lesbar.

Wenn ich wirklich was schützen will/muss hilft nur die Vernichtung der Daten(Festplatten) wenn einer unbefugt den Raum mit dem NAS betritt. Ach ja Feuerlöscher oder dergleichen sollten nicht in der Nähe sein. Das macht dann ja auch keinen Sinn. Das gleiche Szenario sollte dann auch für das Backup gelten.

Alternativ man hat einen Rechner der alle Daten nur im RAM(RAM-Disk) hat - Strom weg => Daten weg.

Nur viel zu meinen Ideen wie man Daten unzugänglich machen könnte. Das NAS/Festplatten bekommt man im Falle eines Falles eh nicht wieder zurück.

VG

Friis

Hallo Friis,

vorab: Ich will auch niemanden dazu bekehren seine Systeme zu verschlüsseln. Das soll jeder für sich selbst entscheiden. Ich habe auch über einen längeren Zeitraum Vorbehalte gegen das Verschlüsseln gehabt. Dazu gehörte auch die Angst, von seinen Daten ausgesperrt zu werden. Das waren aber Vorbehalte aus Unkenntnis. Aus heutiger Sicht gibt es für mich privat nur einen Grund, die Dateisysteme nicht zu verschlüsseln, nämlich wenn das System durch die Verschlüsselung zu sehr ausgebremst wird. Ansonsten sehe ich ausschließlich den Vorteil, dass bei Diebstahl oder Reklamation von Datenträgern/Geräten meine Daten für Dritte nicht lesbar sind.

Du meinst, dass man mit entsprechendem zeitlichen Einsatz vielleicht doch an meine Daten kommen könnte? Ja, vielleicht ist das so, aber ich glaube kaum, dass jemand diese Zeit investieren würde. Ich bin der Meinung, dass es wahrscheinlicher ist, dass ein Dieb es eher schafft die besten Einbruchschutzmaßnahmen zu überwinden und dann auch noch genau das NAS mitnimmt. Ok, dass ist jetzt Ansichtssache, kommen wir zurück zu den Fakten.

Zitat von Friis

Ich hoffe du kennst dann den Schlüssel

Hier kann ich ein Verständnisproblem erahnen, welches ich kurz aufklären möchte. Nehmen wir an, wir haben ein Produktiv-NAS und ein Backup-NAS. Beide sind verschlüsselt. Nun tritt an unserem Produktivsystem irgend ein Problem bei der Entschlüsselung auf. Sagen wir mal es wäre so wie du es konstruierst: Ich würde den Schlüssel nicht mehr kennen. Oder das verschlüsselte System hätte ein anderes Problem. Ein typischer Fall, wie er zum Beispiel nach einem missratenem Firmware-Update auftreten könnte. Das Backup-System bleibt davon aber unberührt, da dieses System "eigene Schlüssel" hat und in Bezug auf die Verschlüsselung des Produktivsystems völlig unabhängig ist. Ein Backup-Vorgang läuft also so: Das Produktiv-Nas entschlüsselt die für das Backup erforderlichen Daten und überträgt diese dann unverschlüsselt zum Backup-Nas. Es sei denn, du hast für den Übertragungsweg ein verschlüsseltes NEtzwerkprotokoll wie ssh gewählt. Beim Backup-NAS würde dann die Transportverschlüsselung dekodiert und danach die Daten mit dem Schlüssel der Festplattenverschlüsselung auf das Dateisystem abgelegt werden.

Wobei im Bereich der Verschlüsselung QNAP nicht das Machbare ausnutzt, was LUKS eigentlich bietet. Man muss nämlich grundsätzlich zwischen einem Passwort und dem Schlüssel unterscheiden. Bei QTS bekommt man letzteres nicht zu Gesicht. Das Passwort was man im QTS eingibt, ist lediglich dafür da den Schlüssel freizuschalten. Streichung und Korrektur vom 26.06.2019: Der Schlüssel liegt zwar auch im System, per GUI kann man ihn aber nicht sichern. Auch bei QNAP Systemen kann man sich über die GUI im Volumenmanager eine Kopie des Schlüssels herunterladen. In anderen NAS-Systemen wie z.B. FreeNAS wir man beim Erststellen eines verschlüsselten Volumes dazu aufgefordert, sich von dem passwortgeschützten Schlüssel eine Kopie zu speichern.

Gruß phoneo

Zitat von phoneo

Man muss nämlich grundsätzlich zwischen einem Passwort und dem Schlüssel unterscheiden.

Ok, ich bin dann unwissend - lerne aber gerne hinzu.

Das bedeutet ich habe ein Passwort, sagen wir "Grüne5Tomaten7sind4besser6als3Rote4Erbsen5" also eines meiner Standardpasswörter. Dieses schalten den Schlüssen für die Verschlüsselung der Platten frei.

Kann ....

Kleine Frage gibt es ein FAQ/Erläuterung wie das genau funktioniert?

Mir geistert trotzdem immer noch die Frage durch den Kopf.

Wäre es dann nicht doch so, das man mit dem Passwort dann doch zugriff auf die Platten bekommt, da der besagte Schlüssel zum entschlüsseln nur durch das Passwort(schwächstes Glied in der Kette) geschützt ist.

VG

Friis

Nachtrag:

Ich habe jetzt erste deinen Nachtrag gesehen ... ich schaue mir das "Privacy-Handbuch" mal an Danke für den Link - kannte ich noch nicht.

Es scheint ein Einstieg in das Thema zu sein.

Verschlüsselung ist ein breites Thema, wurde schon viel drüber geschrieben. Aber grundsätzlich ist es bei allen höherwertigen Verfahren so, dass das Passwort (meist auch PassPhrase genannt) nicht der eigentliche Schlüssel (Key) ist sondern den sehr komplexen, generierten Key "nur freischaltet". Im Normalfall wird der Key mit der Passphrase tatsächlich verschlüsselt sein.

D.h. Der tolle 4096bit XYZ-Algorhythmus der einen starken Schutz bietet wird durch eine schlecht gewählte (zu kurze) Passphrase gefährdet. Zum Glück gibt es auch für die Verschlüsselung des Keys mit der Passphrase sehr gute Verfahren, so dass man mit "Grüne5Tomaten7sind4besser6als3Rote4Erbsen5" sicher (für die nächsten 50 Jahre) ist. Wenn man das aber 10 Mal am Tag eingeben muss reichen wahrscheinlich auch "5GrüneT0m4ten".

Jetzt kommt in der Regel die Frage: "Warum verschlüsseln wir dann unsere Daten nicht gleich mit der Passphrase?"
Weil das Verfahren zum Enschlüsseln des Keys anders funktioniert und nur eine bekannte Datenmenge (den Key) betrifft. Für große Datenmengen ist es einfach zu langsam. Die Stichworte für Google: " stream cipher vs. block cipher"

(Nebenbei bemerkt: eine Passphrase mit 12 Zeichen aus "abcABC" (52^12)ist besser als eine mit 10 Zeichen "abcABC123" (62^10). Also bei der Auswahl von Passphrases immer überlegen wofür sie verwendet werden.

Zusammenfassend: Passwort ist nicht gleich Passphrase, länger ist besser als komplizierter und
qnap das Sichern der Datei mit dem Key auf einem externen Datenträger ist eine gute Idee!

P.S. SED-Platten geben einem keinen Zugriff auf die Key-Datei. hier hängt die Sicherheit an der Passphrase.