Fragen zu Verschlüsselung

  • Wenn ich das recht sehe, gibt es bei qts drei Arten von Verschlüsselung:


    a) Ganzes Volume mit Passwort verschlüsseln

    Vorteil: Schnell. Unterschied zu unverschlüsseltem Volume (bei potentem NAS) an der Grenze zum Messbaren (ich hab's ausprobiert).

    Nachteil: Nach einem Neustart ist das Entsperren des Laufwerks umständlich. Im Browser einloggen, Speichermanager aufrufen, anklicken, Passwort eingeben.


    b) Ganzes Volume verschlüsseln, Schlüssel auf der Platte ablegen.

    Vorteil: Schnell. Wie a).

    Noch'n Vorteil: Komfortabel. Nach einem Neustart wird das Volume automatisch entsperrt.

    Aber ist das nicht eigentlich völliger Blödsinn? Das ist doch so, wie wenn ich die Haustür abschließe und den Schlüssel von außen stecken lasse. Wenn ein Dieb in den Keller kommt und sich das ganze NAS unter den Arm klemmt, kommt er problemlos an meine Daten.


    c) Nur ein Freigabeverzeichnis mit Passwort verschlüsseln.

    Vorteil: Man braucht nicht gleich alle Daten zu verschlüsseln, sondern könnte das auf die wichtigen Daten begrenzen.

    Nachteil: Langsam. Die Schreibgeschwindigkeit bricht auf die Hälfte bis ein Drittel ein. (Lesen geht aber schnell wie bei a)).

    Noch ein Nachteil: Umständlich zu entsperren, ähnlich a).


    d) Hab' ich was vergessen?


    Da habe ich jetzt ein paar Fragen:

    1) Ideal als Kompromiss zwischen Komfort und Sicherheit wäre b), wenn man die Schlüsseldatei woanders ablegen könnte, z. B. auf einem Netzlaufwerk (Beispiel: NAS steht im Keller, Schlüsseldatei liegt auf dem NAS-Speicher der Fritzbox im ersten Stock. Ein Dieb müsste schon beide Geräte klauen, um an den Inhalt der Festplatten zu kommen). Geht das?


    2) Kann man das Volume per Shellkomando entsperren?

    (Damit könnte man sich eventuell Lösung zu 1) selbst bauen.)


    3) Falls das NAS übern Deister geht und man nur noch die Festplatten hat: Hat man bei einem verschlüsselten Volume überhaupt eine Chance, diese in ein Festplattengehäuse zu stecken und die Dateien wieder auszulesen? (Unter der Voraussetzung, dass man Passwort und/oder Schlüsseldatei noch hat.)

  • 1) glaube nicht

    2) möglich .. muss mal die Foren absuchen

    3) Das ist egal ob mit oder ohne Verschlüsselung nicht (nur sehr schwer)möglich....also immer externe Backups haben ...

  • Hallo,


    das war auch mein Dilemma. Ich wollte das Passwort der verschlüsselten Volumes nicht auf dem Gerät haben. Aber nach jedem Neustart über die Weboberfläche das Volume zu entsperren war auf Dauer doch zu umständlich.


    Deshalb habe ich mir ein PowerSchell-Skript geschrieben, das das erledigt. Den Schlüssel habe ich, wie alle meine Kennworte, in KeePass. Jetzt ist es ein Doppelklick auf den entsprechenden Eintrag in KeePass und alles ist gut.


    Du findest das Skript hier: PowerShell-Skript um verschlüsselte Volumes zu entsperren


    Gruß

    Reinhold

  • Danke, Reinhold.

    Allerdings nutzt mir das Skript mangels Powershell nichts. Interessant wären die Kommandos, die auf dem NAS ausgeführt werden müssen, um das Volumen zu entsperren.


    Wenn du so lieb wärest, die Kommandos hier noch mal zu posten ... :love:

  • Hallo,


    kein Problem:



    Gruß


    Reinhold


    Update: 2.) korrigiert, war falsch


    Und noch was: das Skript verlangt "cachedevx" als Volume. Ich habe mittlerweile gelernt, dass man in /etc/volume.conf die Zuordnung Volume-Name zu cachedev auslesen kann. Ich werde das Skript demnächst dahingehend ändern.

  • Da fehlt nach was. Wenn es sich bei dem Volume um ein Raid über SSDs handelt, funktioniert nach dem Mounten das TRIM nicht mehr. Irgendwo müssen weitere Angaben eingetragen werden.


    Im Log erhalte ich die folgenden Fehlermeldungen:

    Code
    2020-08-16 22:14:10,351 [Information] [Message] type=3, level=4, app=Storage & Snapshots, category=Disk, [Storage & Snapshots] Failed to trim SSD.
    2020-08-16 22:14:10,354 [Information] [Message] not match any policy
  • Da fehlt nach was. Wenn es sich bei dem Volume um ein Raid über SSDs handelt, funktioniert nach dem Mounten das TRIM nicht mehr. Irgendwo müssen weitere Angaben eingetragen werden.

    Wieso sollen da Angaben fehlen?


    Ich hatte es so verstanden, dass vor der Verwendung von SSDs in RAIDs gewarnt wird, weil dann der TRIM-Befehl nicht mehr funktioniere und die SSDs vorzeitig altern. Der TRIM-Befehl benötige eine SSD und kein RAID.


    Deshalb handelt es sich auch nicht um eine Fehlermeldung, wie Du behauptet hast, sondern eine Information, nicht einmal um eine Warnung, und wie Du dem von Dir zitierten Protokoll entnehmen kannst.

  • Raid 0, 1 und 10 unterstützen bei QNAP den TRIM-Befehl.


    Wenn das Volume über den Speichermanager im Browser entsperrt wird, dann funktioniert der TRIM-Befehl auch.


    Wird hingegen das Volume über die oben aufgeführten Shell-Befehle entsperrt, dann funktioniert der TRIM-Befehl nicht und produziert die von mir erwähnte Fehlermeldung.


    Also sind die Shell-Befehle zum Entsperren unvollständig oder fehlerhaft.