Entschlüsselung der Festplatten bei QNAP-Defekt

    Hallo,

    ich habe mir vor ein paar Jahren eine QNAP TS 451A zugelegt. Ich hatte mal einen HDD-Defekt, aber das ging alles ohne Probleme aus, da die QNAP im RAID1-Verbund läuft und nur eine Festplatte ausgefallen ist. Neue Festplatte eingebaut. Fertig.

    Zusätzlich sichere ich meine Daten in zyklischen Abständen auf einer externen HDD. Das tue ich nicht nur wegen eines a) Hardware-Defekts der QNAP, sondern auch b) wegen Viren, die ganze Laufwerke verschlüsseln und nur bei der Auszahlung von Lösegeld die Daten wieder entschlüsseln. Nachteil: Diese gesicherten Daten sind nicht hochaktuell.


    Mir geht es um den Fall a), also dass die Hardware der QNAP ausfüllt (nicht die Festplatten) und dass man wieder an die Daten auf den Festplatten ran kommt ohne auf die veralteten Daten der externen Sicherung zurückgreifen zu müssen, was für mich der absolute Fallback ist.

    Meines Wissens ist es so, dass die QNAP-HW eine AES-256 Verschlüsselung nutzt. Leider finde ich nicht mehr, wo ich das nachsehen kann. Ich kann mich vage daran erinnern, dass eine Verschlüsselungsoption bei der initialen Einrichtung der QNAP abgefragt wurde. Ich dachte, es ist gut, wenn man veschlüsselt und habe das auch gewählt - wirft jetzt aber meine Frage auf.

    Wie kann man diese Festplatten wieder entschlüsseln, gesetz dem Fall, dass die QNAP hops geht? Der erste Gedanke sagt einem, dass man dafür den Key der Verschlüsselung benötigt, aber reicht das und wenn ja, wie lautet dieser? Und, wie wäre das dann zu tun?


    Zwar kämpfen diverse User mit diesem Problem, aber eine Lösung habe ich nicht rausgelesen oder einfach nicht gefunden.


    Hat jemand Erfahrung damit und könnte dieses Wissen hier bereitstellen?


    Danke euch.

    Einmal editiert, zuletzt von u33bipp ()

    Entweder ein neues QNAP NAS kaufen und die Platten migrieren, oder aber einen Linux Spezialisten beauftragen (oder selbst einer sein) und die mannigfaltigen Schichten zu überwinden


    1. mdadm RAID (und einen Computer haben wo man die Platten auch alle anschließen kann)

    2. Die Verschluesselung selber (LUKS glaub ich)

    3. LVM (Falls du Storage Pools verwendest)


    Dann doch lieber Backups machen .. oder ? Gehen ja auch verschlüsselt (Gibt zum HBS entschlüsseln diverse Tools)

    z.B. https://github.com/alexkazik/qnap-decrypt

    Zitat von u33bipp

    Der erste Gedanke sagt einem, dass man dafür den Key der Verschlüsselung benötigt, aber reicht das und wenn ja, wie lautet dieser?

    Das solltest du schon selbst wissen, wie der lautet. Ohne diesen zu kennen ist dein NAS jetzt schon ein "schlafender Kryptotrojaner".;)

    Hab ich komplett überlesen ja ... den Key/Phrase sollte man schon wissen ... da geh ich momentan beim User von nem autodecrypt beim Booten aus .. macht ja nur halb so viel Sinn dann die Verschlüsselung


    Also schnell ein Backup machen bevor alle Daten "verschlüsseloren" sind

    Danke für die Antworten :thumbup:

    Hmm, hört sich danach, noch zyklischer ein Backup zu machen, auch wenn der gut gemeinte Rat bei mir nicht gerade Freudensprünge auslöst.

    Wegen dem Key der Verschlüsselung: Ich könnte es heute nicht mehr sagen, aber wenn ich damals einen Key eingegeben hätte, dann hätte ich mir ihn wohl notiert, wohlwissend um dessen Wichtigkeit bzw. der Konsequenzen.

    Zitat von dolbyman

    ... da geh ich momentan beim User von nem autodecrypt beim Booten aus ..

    Mod: Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Die Zitat Funktion des Forums richtig nutzen

    Da werd ich nicht ganz schlau draus. Verschlüsselt die QNAP selbstständig mit einem vielleicht zufälligen Key (und macht dann einen autodecrypt) oder musste man doch einen Key eingeben? Den Key aus der QNAP auslesen zu können, ist ja auch sinnbefreit.

    Heureka ist das kompliziert. Es liegt doch auf der Hand, dass es schon mehrfach zu solchen Fällen gekommen ist und eine Rettung der Daten scheint einer "Mission Impossible" gleich zu kommen. Dafür muss QNAP doch eine Lösung in der Schublade haben oder werden dann alle User alleine gelassen, wenn ihre (QNAP-)HW ausfällt?


    Ich tue mich halt schwer damit, dass man sich eine NAS zulegt, um die Daten mit RAID1/RAID5 abzusichern und dadurch das schwache Glied in der Kette, den Platten, mit Redundanz entgegen zu wirken und dann hat man gegen das andere schwache Glied, die QNAP-HW, nix im Köcher bzw. muss ausgewiesener Experte (!) sein, um noch etwas retten zu können.

    Man kann beim Verschlüsseln angeben den Key auf dem QNAP zu speichern und automatisch beim hochfahren die Volumes zu entschlüsseln (der ist immer noch selbst gewählt beim Setup und nicht von QNAP "ausgedacht"), da ist man dann nur dagegen geschützt wenn einer die Festplatten aus dem NAS klaut .. wer das ganze NAS mit nimmt ist fein raus. (bin mir nicht sicher ob ein 3 Sekunden admin Passwort reset auch den decrypt Key löscht. )


    Immer dran denken ein RAID ist KEIN Backup, also wenn es was zu Retten geben soll, IMMER externe Backups machen (USB Platte/2. NAS/Cloud/etc)

    Es ist doch der Sinn von Verschlüsselung, dass wenn der Key weg ist niemand mehr jemals an die Daten kommt.

    Sonst kann man es auch weg lassen.


    Bei gut gemachter crypto kannst den Plan B also gleich streichen, denn da hat auch der Hersteller keine Hintertür drin.


    Key oder Daten weg.

    Backup oder Daten weg.

    Hallo,

    Zitat von u33bipp

    a) Hardware-Defekts der QNAP

    genau meine Anforderung! Linux-Tools einsetzen zu können, ist übrigens auch hilfreich bei Datenverlust durch Software-Defekte von QNAP-Firmwares. Ich weiß jetzt nicht, ob das TS451A Hardware-Verschlüsselung verwendet. Mein TS-251+ tut das nicht, d.h. das Festplattenformat hängt einzig von der QTS-Software ab. Wenn Dein QTS sich so verhält wie meins, kann ich antworten.


    Wie das Auslesen der Daten gehen kann, habe ich ausführlich hier: "Einbinden einer QNAP-Platte in Linux", zusammengefasst. Das geht aber NUR, WENN man u.g. Vorbedingung beachtet!

    Zitat von dolbyman

    oder aber einen Linux Spezialisten beauftragen (oder selbst einer sein) und die mannigfaltigen Schichten zu überwinden

    Linux-Spezialist zu sein hilft nicht zwingend. Denn leider gibt es folgende Vorbedingung: Das Volume muss als Static-Volume formatiert sein, kein Thin- oder Tick-Volume. Also ohne (!) Snapshot-Funktionalität. Warum? Weil QTS bei Thin- oder Thick-Volume-Formatierung folgendes macht:

    • QNAP hat LVM2 um einen eigenen, proprietären Segment-Typ "tier-thin-pool" erweitert (siehe hier)
    • QNAP hat den Source-Code dazu nicht freigeben (siehe hier)

    Das hat zur Folge, dass das proprietäre Format nur mit QNAP-Software, und damit nur mit QNAP-Hardware gelesen werden kann.


    Auch am ext4-Dateisystem gibt es proprietäre Anpassungen, siehe hier. Doch diese kann man - zwar etwas aufwendig, aber möglich - "reparieren". Wie das gehen kann, habe ich ebenfalls in o.g. Anleitung beschrieben.


    VG

    Holger

    Zitat von Sumpfdotter

    inux-Spezialist zu sein hilft nicht zwingend. Denn leider gibt es folgende Vorbedingung: Das Volume muss als Static-Volume formatiert sein, kein Thin- oder Tick-Volume. Also ohne (!) Snapshot-Funktionalität. Warum? Weil QTS bei Thin- oder Thick-Volume-Formatierung folgendes macht:

    QNAP hat LVM2 um einen eigenen, proprietären Segment-Typ "tier-thin-pool" erweitert (siehe hier)
    QNAP hat den Source-Code dazu nicht freigeben (siehe hier)

    Das hat zur Folge, dass das proprietäre Format nur mit QNAP-Software, und damit nur mit QNAP-Hardware gelesen werden kann.

    Jein,...


    Es gibt wohl erfolgreiche Ansätze.. z.B. hier

    https://forum.qnap.com/viewtopic.php?p=702846#p702846


    Aber die fordern schon einiges an "Knoff Hoff"

    Zitat von dolbyman

    Es gibt wohl erfolgreiche Ansätze.. z.B. hier

    Magst Du konkreter werden? Der Link scheint echt interessant, weil ein User schreibt, der LVM-Patch sei (inzwischen?) in den GPL-Sourcen enthalten, und ein anderer User hätte erfolgreich den LVM-Patch compiliert. Aber außer diesen Behauptungen finde ich weder Verweise und Quellen auf Tatsachen?

    Bitte postet doch einfach mal jemand, der sowas behauptet, einen Link auf die Sourcen zum "tier-thin-pool". Punkt. Diese Ablenkungsmanöver nerven mich.

    Habs selber noch nie ausprobiert..meine Plattem bleiben im NAS und die Backups brauchen das nicht...aber probiers gerne selber nach der verlinkten Anleitung...

    Zitat von Sumpfdotter

    Wie das Auslesen der Daten gehen kann, habe ich ausführlich hier: "Einbinden einer QNAP-Platte in Linux", zusammengefasst. Das geht aber NUR, WENN man u.g. Vorbedingung beachtet!

    Guter "Stoff". Hoffentlich kommt es nie dazu.

    Wie gesagt: Ich finde es trotzdem eine harte Nummer, dass QNAP da keinen Plan B anbietet, denn dass QNAP-HW ausfällt, ist zwar hoffentlich selten, aber trotzdem kein Einzelfall.

    Ja, so schaut es aus. Ich mach dann mal gleich wieder ein Backup...

    :rolleyes:

    Nebenbei frag ich mich: Was soll eine Verschlüsselung der Platten überhaupt bringen? Wenn jemand etwas entwenden will, dann

    a) hat er schon mal der Fehler gemacht und nur die Platten mitgenommen, was er beim Versuch des Auslesen spätens bemerkt hat, dass es eine Nullnummer ist oder

    b) beim nächsten mal das ganze NAS mitnimmt. Dann ist das mit der Verschlüsselung wieder nur gut gemeint.

    Und, wenn es jemand schon mal geschafft hat an das NAS ran zu kommen, dann halten ihn Diebstahlsicherungen an der NAS auch nicht mehr auf, egal ob auf Platten oder auf das ganze NAS, oder etwa nicht?

    Mein persönliches Fazit: HW-Verschlüsselung kann ich mir im Privatbereich zur Datenablage sparen. Das macht wohl mehr Ärger im Falle der Fälle als es eine Hilfe ist. Klar, die Ablage von Kennwörtern ist natürlich verschlüsselt und mit einem Passwort geschützt. Aber das ist auch eine ganz andere Geschichte...

    zu b)


    wenn das Kennwort zum autounlock nicht gespeichert ist (muss bei jeden neustart neu eingegeben werden), dann hilft es auch nicht das komplette NAS mitgehen zu lassen (bis auf das man jetzt ein NAS mit Platten zum eBay Verkauf anbieten kann) ..Die Daten hat man nicht

    Zitat von u33bipp

    Was soll eine Verschlüsselung der Platten überhaupt bringen?

    A) Jemand klaut Deine Platte oder das NAS (Natürlich sollte für letzteres der Key nicht vor Ort sein; da gibt es komfortable Möglichkeiten. Z.B. USB-Stick in der Wand verbaut, oder Key auf Web-Server im Internet ... denk Dir was aus ;)

    B) Du willst die Platte mitnehmen (Ich nehme immer eine mit in Urlaub)

    C) Du willst die Platte loswerden (die Zeit kommt irgendwann)

    Hi Dr_Mike,

    Zitat von dr_mike

    Die Quellen liegen immernoch an der selben Stelle wie eh und je.

    bzgl.

    Zitat von Sumpfdotter

    Bitte postet doch einfach mal jemand, der sowas behauptet, einen Link auf die Sourcen zum "tier-thin-pool". Punkt. Diese Ablenkungsmanöver nerven mich.

    Kommt da noch was? Ein Link würde mich wirklich sehr freuen ... wäre durchaus hilfreich für Datenrettung und damit für die Backup-Strategie.

    Zitat von dr_mike

    Ich dachte du bist selbst in der Lage, auf der QNAP-Homepage nachzuschauen. Scheinbar nicht.

    Du hast keine Ahnung, dass da die Sourcen zum "tier-thin-pool" gar nicht liegen, nicht wahr?


    So einfach ist es, Dich dazu zu bringen, mich zu beleidigen? Wow. :)


    Jetzt bin ich mir ziemlich sicher, dass Du immer wieder versuchst, mit unsinnigen Quermails von dem Problem abzulenken. Sonst könntest Du hier einfach einen Link auf das entsprechende File posten. Machst Du aber nicht. Schade, dass diese Stilmittel hier für mein Gefühl so oft angewendet wird. Fehlt nur noch, dass wieder einer fragt, welche Speicherriegel der User eingesetzt hat. ;(