Eine Frage zur Verschlüsselung

    Mein TS251D hat hardwareseitig eine Crypto-Engine. Die erlaubt es mir, ein Volume zu verschlüsseln. Ich habe solch ein Volume angelegt. Ok. Beim ersten Öffnen des Volumes über die FileStation muß ich ein Passwort eingeben. Ich verwende die Option "Schlüssel lokal speichern": NEIN.


    Ausserdem habe ich einen automatischen Shutdown (täglich 23:00 Uhr) festgelegt sowie einen automatischen Re-Start am Morgen (täglich 9:00 Uhr).


    Während des Tages arbeite ich mit (händisch per Passwort-Eingabe) entschlüsselten Daten. Es dauert immer mehrere Minuten, bis die Daten, knapp 7 GB, frei sind (entschlüsselt). Auch OK.


    Am Tag darauf, nach dem automatischen Hochfahren der NAS, finde ich regelmäßig das Volume in verschlüsseltem Zustand vor. Ich muß jeden Tag neu das Passwort zum Entschlüsseln eingeben. Das ist auch ok, weil ich habe ja "Passwort lokal speichern: NEIN" gesagt.


    Was mich nun wundert, ist, dass das zeitgesteuerte Runterfahren ziemlich schnell geht, jedenfalls in deutlich geringerer Zeit, als morgens zum Entschlüsseln gebraucht wird. Also ein (zeitaufwendiger) Wieder-Verschlüsselungs-Vorgang findet nicht statt. Trotzdem ist das Volume nach dem Start am nächten Morgen verschlüsselt. Kann mir das jemand erklären?


    Noch eine Frage:

    Wenn während des Tages, also im entschlüsselten Zustand, jemand einbricht, während ich gerade zum Bier holen unterwegs bin, und mir die NAS klaut (einfach Stecker zieht und Gerät mitnimmt): Findet er dann die Daten in entschlüsselter Form vor?



    Danke,

    Don Lucio.

    Zitat von Don Lucio

    Trotzdem ist das Volume nach dem Start am nächten Morgen verschlüsselt. Kann mir das jemand erklären?

    Das Volumen wird nicht entschlüsselt, das bleibt verschlüsselt .. Sonst könnte ich ja als böser Bube einfach den Stecker ziehen und dann die Platten extern auslesen. (2. Frage)


    Außerdem würde das Entschlüsseln von mehreren TB an Daten Tage dauern ..

    Zitat von dolbyman

    Das Volumen wird nicht entschlüsselt, das bleibt verschlüsselt

    "Bleibt verschlüsselt" ist ja nicht zutreffend, in meinem Diebstahl-Szenario. Nach dem morgendlichen Starten der NAS mache ich manuell eine Freigabe des verschlüsselten Volumes, d.h. ich gebe das Passwort ein. Dann, nach ca. 5 Minuten Entschlüsselung, steht das Volume den ganzen Tag unverschlüsselt zur Verfügung, bis zum abendlichen Shutdown (zeitgesteuert).


    Wenn also während des Tages jemand die NAS klaut, findet ja keine Verschlüsselung mehr statt, wie sollte auch. Der Bösewicht zieht den Stecker und haut ab.


    Zitat von dolbyman

    Sonst könnte ich ja als böser Bube einfach den Stecker ziehen und dann die Platten extern auslesen.

    Folglich wird genau das der Fall sein .... wenn ich nicht vor jedem Verlassen des Hauses selbst die Verschlüsselung wieder aktiviere. Was ich aber nicht will, denn ich verlasse öfters mal das Haus und das Entschlüsseln dauert jedes Mal etliche Minuten.


    Also, je länger ich hier darüber schreibe+nachdenke, desto deutlich wird mir eigentlich, dass es tatsächlich so ist, dass die Platte unverschlüsselt in Diebeshand gelangen kann.


    Zitat von dolbyman

    Außerdem würde das Entschlüsseln von mehreren TB an Daten Tage dauern ..

    Hm ... in meinem Falle - ich bin ja noch am Anfang meiner NAS-Experimente - habe ich knapp 7 GB an verschlüsselten Daten, das braucht zum morgendlichen Entschlüsseln 5 Minuten. Also hochgerechnet: 100 GB, eine nicht aussergewöhnlich große Datenmenge, würde mehr als 1 Stunde zum Entschlüsseln brauchen?


    Gruß,

    Don Lucio.

    Nein .. glaube mir .. das ist ne transparente Entschlüsselung .. das Volumen bleibt verschlüsselt ....


    Warum das 5 Minuten dauert zum 'entschlüsseln' weiss ich nicht .. da werden aber wohl mehrere Skirpte durchlaufen die Freigaben mounten usw.

    Zitat von dolbyman

    Nein .. glaube mir .. das ist ne transparente Entschlüsselung .. das Volumen bleibt verschlüsselt ....

    Hmm ... würde ich gern glauben :)


    Dann muß ich mir das wohl so vorstellen: Die Daten auf der NAS-Platte sind und bleiben verschlüsselt, trotz "Freigabe" mit Passwort. Die Entschlüsselung findet also nur quasi on-the-fly statt, also jedesmal und nur dann, wenn jemand die Daten anfordert?


    Damit könnte ich leben.


    Danke,

    Don Lucio.

    Wenn Du es nicht glaubst, dann mach doch einen Selbstversuch ;).

    Wenn Du das nächste Bier holst, dann ziehst Du nach dem Trinken den Stecker, bringst das NAS ins Nebenzimmer, startest es neu und versuchst an die Daten zu gelangen.

    Das dabei aller Wahrscheinlichkeit das Filesystem korrupt wird, sollte Dir aber bewußt sein.


    Gruss

    Zitat von FSC830

    Das dabei aller Wahrscheinlichkeit das Filesystem korrupt wird, sollte Dir aber bewußt sein.

    Das wäre ja noch schöner. Ich habe RAID-1.

    Ja und?

    Wenn der Stecker einfach gezogen wird ohne das NAS herunterzufahren, dann ist in aller Regel das Filesystem korrupt, Raid hin oder her! :P


    Gruss

    Zitat von FSC830

    Wenn Du es nicht glaubst, dann mach doch einen Selbstversuch

    Ja, hab ich.

    Habe eine größere Videodatei per FTP (von einer Konsol-Session meines PC) abgeholt, desgleichen eine Text-Datei. Beide sind nach dem FTP-Download klar lesbar.


    Kein gutes Zeichen 8|


    Und es ist wohl kaum anzunehmen, dass der Qnap-FTP-Server eine Entschlüsselung on-the-fly vornimmt. Dagegen spricht auch, dass der Download dieser selben Videodatei, aber aus einem nicht verschlüsselten Volume auf die hundertsel Sekunde genau so lange braucht.


    Ok, der von dir vorgeschlagene "harte" Test steht allerdings noch aus...

    Zitat von Don Lucio

    Habe eine größere Videodatei per FTP (von einer Konsol-Session meines PC) abgeholt, desgleichen eine Text-Datei. Beide sind nach dem FTP-Download klar lesbar.


    Kein gutes Zeichen

    Versteh ich nicht .. warum ist das ein schlechtes Zeichen ? .. glaubst du du kommst via FTP unter die Volumenverschlüsslung ? Das Dateisystem ist on-the-fly .. da ist es egal ob FTP,SMB,AFP oder HDGDL


    Schau mal hier

    https://www.linux-howto.info/mount-qnap-encrypted-volume/

    Zitat von FSC830

    Wenn der Stecker einfach gezogen wird ohne das NAS herunterzufahren, dann ist in aller Regel das Filesystem korrupt, Raid hin oder her

    Korrupt im Sinne von nicht-automatisch-recoverable nach Systemstart?

    Korrupt im Sinne von nicht sauber unmounted und muss überprüft werden (kann mit Reifeprüfung OK oder kaputt sein) deswegen ist eine USV ja auch absolute Pflicht

    Du musst ganz unten bei den Basics anfangen.


    Die HD legt Daten in einem Herstellerspezifischem Bit Muster auf der den Datenscheiben ab. Denn hier sind auch Spurinfos und Fehlerkorrekturbits enthalten. Zudem dürfen nicht mehrere Nullen hintereinander geschrieben werden, da sonst die Fehlerkorrektur nicht mehr möglich ist.


    Das ist an sich schon komplex.


    Um deine Daten jetzt vor dem Zugriff dritter zu schützen, hast du ein Verschlüsseltes Volume erstellt.

    Die Daten werden in diesem immer, wirklich immer, erst verschlüsselt durch die CPU in den RAM geschrieben und dann dem Storage Stack für die niederschrift auf die HDs übergeben.


    Dann steht hier 10101111 drin, was zuvor 01110101 war und somit durch einen AES Algo verschlüsselt wurde.


    Was QNAP jetzt genau beim Aufschließen und mounten des verschlüsselte Volumes macht, was mehrere Minuten Zeit in Anspruch nimmt, entzieht sich meiner Kenntnis.

    Aber das ist entweder mit entsprechenden Prüfungen der Volume Struktur usw. verbunden oder total behämmert programmiert.


    Schließe ich ein externes Laufwerk bei Bitlocker auf, ist das nach Sekunden eingehangen und ich kann auf den Daten arbeiten.



    Die Freigaben auf denen du arbeitet, laufen ja nicht direkt auf das Storage, sondern diese sind dir durch den SMB Stack vom QTS präsentiert und so laufen dann die Vorgänge durch die CPU, die AES Engine und erst dann auf die HDs und zurück.

    Das findet alles in Echtzeit im Hintergrund statt, kostet aber ein klein wenig Zeit.

    Weil diene Zugriff erst durch die CPU AES Engine müssen und nicht einfach von der Netzwerkkarte direkt in den DMA Ram Bereich des Storage Stacks geschrieben werden können.


    Daher wirkt sich auch bei AES-NI Hardware Support die Verschlüsselung negativ auf die Antwortzeit und damit auf den Max Durchsatz des NAS Systems aus.


    Aber du kanns gern bei QNAP mal nachfragen, warum der Unlock mehrere Minuten dauert, ist mir auch ein Rätsel.



    Wird der Key nicht gespeichert, ist dieser nur im flüchtigem RAM vorhanden, wenn das NAS also jemand klaut und vom Strom nimmt, ist nach 30 Sekunden nix mehr vom Key da was man irgendwie auslesen könnte.


    Wie vorgeschlagen, fahre ein Backup auf eine externe verschlüsselte HD, prüfe das. Ziehe im Betrieb den Stecker und fahre das NAS wieder hoch, wenn du jetzt an die Daten so ran kommst, kannst du zurecht mit einem wütendem Ticket bei QNAP aufschlagen.

    Wirst aber an nix ran kommen, weil du das Volume erst wieder aufschließen und dann prüfen musst.


    Bei ganz viel Pech, war das NAS gerade dabei verschlüsselt den Superblock zu schreiben der jetzt korrupt ist und du kannst neu aufsetzen.


    Dann hast du aber deine hohen Ansprüche an den Datenschutz voll erfüllt.

    Zitat von dolbyman

    Korrupt im Sinne von nicht sauber unmounted und muss überprüft werden

    Hab mich mal getraut und den Stecker gezogen .... Dann nach 2 Minuten wieder reingesteckt. Das QTS fuhr hoch, ich konnte sofort in die FileStation, kriegte dort aber gesagt, dass das FS unclean sei und ein Check gefahren werden müsse. Ich habe das bejaht und nach 3 Minuten war alles wieder gerade :)


    Ich muß allerdings gestehen, dass ich den Stecker erst gezogen hatte, als gerade keine Aktivitäten auf der NAS mehr liefen ... Mitten in einer Upload-Aktion den Stecker ziehen - das würde möglicherweise weniger glimpflich ausgehen.


    Zitat von Crazyhorse

    Du musst ganz unten bei den Basics anfangen.

    Vielen Dank für deine ausführlichen Erläuterungen. :thumbup:



    Gruß,

    Don Lucio.

    Zitat von Crazyhorse

    Aber du kanns gern bei QNAP mal nachfragen, warum der Unlock mehrere Minuten dauert, ist mir auch ein Rätsel.

    Dazu gibt's von QNAP schon einen FAQ-Artikel (englisch).

    tl;dr: Die starten vorsichtshalber alle Dienste neu, könnte ja sein dass einer davon nicht mitkriegt, dass das Volume jetzt zugänglich ist.

    (Ich weiß, der Thread ist schon ein halbes Jahr alt, aber für die Nachwelt, die per Suchfunktion darauf stößt, ist die Info vielleicht trotzdem interessant.)

    Einmal editiert, zuletzt von tgsbn () aus folgendem Grund: Korrektur

    Gefällt mir 1