Überlebt ein verschlüsselter Ordner einen Hardware-Tausch?

    Wir setzen die QNAP-Verschlüsselung zum Schutz gegen Diebstahl des NAS oder deren Festplatten ein. Nach jedem Neustart muss manuell das Verschlüsselungspasswort eingegeben werden, das funktioniert einwandfrei und selbst Schreibzugriffe sind dank Encryption-Support der CPU erstaunlich performant.


    Eine Frage konnte ich aber nicht klären: Was ist wenn das NAS kaputt geht und (durch ein baugleiches Modell) ersetzt werden muss, in dem die (funktionsfähigen) RAID5-Festplatten des alten NAS umgesteckt werden. Kann dann mit dem Verschlüsselungspasswort wieder auf den geschützten Ordner zugegriffen werden? Hat das mal jemand probiert oder gibt es ein QNAP-Dokument, dass das Überleben der verschlüsselten Ordnerdaten nach Hardwaretausch garantiert?

    Klar sollte klappen .. aber deswegen natürlich nicht auf externe Backups verzichten

    Zitat von geotek

    Wir setzen die QNAP-Verschlüsselung zum Schutz gegen Diebstahl

    Soll wohl heißen als Schutz gegen Datenraub bei Diebstahl des NAS, weil ne Verschlüsselung hilft nix um das NAS in der Wand zu verankern.

    dolbyman, das NAS ist ein Teil eines verteilten Backupsystems, es geht ausschließlich darum, dass die Daten nicht in fremde Hände geraten.


    Wo hast Du die Info her, dass es klappen sollte? Ich würde mich sicherer fühlen, wenn QNAP eine Aussage darüber geben würde, wie genau die Verschlüsselung funktioniert, sonst geht das mehr in Richtung Obfuscination.

    Weil ich schon gesehen hab das Leute ihre verschlüsselten Platten migriert haben .


    Wenn du was offizielles von QNAP möchtest musst du schon QNAP fragen*, das hier ist ein 'Fanclub' Forum, QNAP kommt hier nicht vorbei.


    *Via Ticket,Email,Telefon,Twitter,etc.


    Verschlüsselung funktioniert via LUKS

    Einmal editiert, zuletzt von dolbyman ()

    Zitat von geotek

    Obfuscination

    Hi geotek ,


    bin ja ein Freund von Fremdwörtern aber "Obfuscination" kannte ich nicht.


    Habe ich nachgeschlagen, "Obfuscination" heißt "Verdunklung" oder "Verschleierung".


    Deinen Satz verstehe ich nicht. Was wolltest Du sagen?


    Meinst Du vielleicht, "das klingt so, als währe es eine Annahme, aber das ist mir nicht sicher genug. Sicherer wäre es, wenn QNAP es schriftlich bestätigt." ?


    Gruß Markus

    Ich hätte da auch eher "Okkultismus" (im Sinne von geheime Wissenschaft) genommen, wenn es denn ein O-Wort sein muss.

    Man hätte aber auch einfach "Vermutung" sagen können.

    Aber das ist wohl "zu einfach" gewesen. :D


    Gruss

    MarGol - Obfuscination ist ein Begriff aus der IT-Sicherheit und bezeichnet z.B. Verschlüsselungsverfahren die im Gegensatz zu nachweisbar schwierig zu knackenden mathematischen Verfahren nur auf clever versteckten oder oberflächlich verdunkelten Methoden zum Verberegen eines Geheimnisses beruhen. Das wird allgemein als unsicher angesehen.


    Bei QNAP könnte ich mir vorstellen, dass private Keys, die natürlich irgendwo abgelegt sein müssen, nicht mit einem sicheren Verfahren vor Zugriff geschützt werden, sondern einfach "versteckt" sind, wobei die SIcherheit nur dadurch gewährt wird, dass niemand das Versteck findet. Dafür spricht, dass Qnap nicht verrät, ob die zur Entschlüssenlung notwendigen Daten in der NAS-Hardware oder auf den Disks gespeichert werden, oder ob sie vielleicht sogar an die NAS-Hardware über TPM oder eine Seriennummer gebunden sind.

    Zitat von geotek

    Bei QNAP könnte ich mir vorstellen, dass private Keys, die natürlich irgendwo abgelegt sein müssen

    Der private Key ist das Passwort, das du beim Systemstart eingibst. Ohne dieses Passwort ist eine Entschlüsselung der Partition nicht möglich. Dieses Passwort ist nicht im NAS abgelegt. Wenn dein Passwort lang genug ist und nicht der Liste der beliebtesten Passwörter entstammt, dann hat ein Dieb keine Chance, die Festplatten zu entschlüsseln.


    (Genau genommen stimmt das nicht, sondern von dem Passwort und einem Systemschlüssel wird der eigentliche Schlüssel zum Ver- und Entschlüsseln abgeleitet. Deswegen muss beim Wechsel des Passwortes nicht die ganze Partition umgeschlüsselt werden, sondern nur dieser Systemschlüssel braucht neu gebildet zu werden, weswegen das schnell geht. Aber ohne das Passwort kann der eigentliche Schlüssel nicht abgeleitet werden, und solange ein Dieb das Passwort nicht hat, ist der Systemschlüssel für ihn wertlos. Das Ergebnis ist also dasselbe: Ohne Passwort hat der Dieb keine Chance, die Festplatten zu entschlüsseln.)


    Das ist übrigens kein Qnap-Eigengewächs, sondern LUKS kommt hier zum Einsatz und damit ein anerkannter und überprüfter Linux-Standard.


    Hinweis: Man kann in der Konfiguration der Verschlüsselung qts veranlassen, den Schlüssel zum Entschlüsseln auf dem NAS zu speichern. Dann braucht beim Systemstart kein Passwort eingegeben zu werden. Der Dieb braucht aber noch ein Benutzer-Passwort (z. B. von Admin) oder eine Sicherkeitslücke, um an die Daten zu kommen, denn er kann die Platten nicht in einem anderen Rechner auslesen. Die Sicherheit wird hierdurch dennoch verringert. Da ihr bei jedem Systemstart ein Passwort eingeben müsst, habt ihr hiervon offensichtlich keinen Gebrauch gemacht und die Sicherheit nicht eingeschränkt.

    Hi geotek ,
    vielen Dank für die Info.

    Das Wort kannte ich bisher nicht und in diesem Zusammenhang habe ich den Begriff gerade zum ersten Mal gesehen.

    Jetzt ist Deine Aussage für mich auch verständlich.

    Schöne Grüße, heute aus Graz.
    Gruß Markus

    Zitat von geotek

    Obfuscination ist ein Begriff aus der IT-Sicherheit

    Kann eigentlich nicht sein, da es diesen Begriff nicht gibt. Gemeint ist vermutlich 'Obfuscation'.

    Keine Ahnung, warum man sich die Mühe macht da noch zwei sinnfreie Buchstaben hineinzubasteln, wo doch heutzutage alles im SMS-Stil abgekürzt wird.