Verschlüsselung gemeinsamer Ordner

Aus Synology Wiki
Version vom 4. März 2016, 15:01 Uhr von Raymond (Diskussion | Beiträge) (Passwort und Import-Schlüssel: typo)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu: Navigation, Suche

Verschlüsselung von gemeinsamen Ordnern

Seit der Firmware DSM 2.3 hat Synology die Verschlüsselung von gemeinsamen Ordner eingeführt. Sie dient der Datensicherheit und chiffriert alle Daten, die auf der Festplatte in dem angegebenen Ordner abgelegt werden. Man unterscheidet dabei 2 Varianten - die Software- und die Hardwareverschlüsselung.

Softwareverschlüsselung

Hauptmerkmal der Softwareverschlüsselung ist, dass alle anfallenden Chiffrierungen von der CPU übernommen werden müssen. Da diese in allen Fällen schon mit dem Lesen/Schreiben und Übertragen der Daten beschäftigt ist, kann man logischerweise schlussfolgern, dass eine hinzukommende Chiffrierung den Datentransfer verlangsamt. Dies gilt vor allem bei den kleinen Modellen, deren CPU so oder so schon mit dem reinen Kopieren überfordert ist.

Hardwareverschlüsselung

Im März 2010 kündigte Synology eine neue DiskStation an - die DS410. Dem Nachruf der User gefolgt, verwendet dieses Modell nun nicht mehr die Softwareverschlüsselungsmethode, sondern kommt mit einem eigenen Chip daher, der die Verschlüsselung (AES 256-Bit) übernimmt. Die Vorteile liegen auf der Hand. Die CPU-Leistung wird geschont und die Datentransferrate damit massiv beschleunigt.

Inwiefern der Chip in der DS untergebracht ist, wurde schon im Forum diskutiert. Die eine Fraktion behauptet er ist Bestandteil der CPU, die andere behauptet er ist einzeln auf dem Board platziert.

Einen verschlüsselten Ordner erstellen

Die Art und Weise der Integration dieses Features ist recht simpel gelöst. Um einen verschlüsselten Ordner zu erstellen, erstellt man einfach einen neuen gemeinsamen Ordner. Beim Erstellvorgang habt Ihr nun die Option "Diesen gemeinsamen Ordner verschlüsseln". Wird diese aktiviert ist zwingend die Eingabe eines Passwortes notwendig. Dieses wird benötigt um das Laufwerk später wieder in das System einzubinden. Desweiteren dient es als Variable für die Verschlüsselung selbst und wird somit fester Bestandteil dieser.

Automount oder manueller Mount

Der User wird nun vor die Wahl gestellt, ob der verschlüsselte Ordner bei jedem Systemstart eingebunden und damit in der Netzwerkumgebung sichtbar gemacht werden soll, oder ob das Einbinden manuell vorgenommen werden muss (Option "Beim Start automatisch anhängen"). Es handelt sich dabei um eine reine Sicherheitsmaßnahme. Wird der Ordner nämlich automatisch gemountet, ist die Eingabe des Schlüssels nicht mehr notwendig. Sollte die DS also wirklich einmal gestohlen werden, ist ein sofortiger Zugriff auf alle - selbst die verschlüsselten - Daten gewährt.

Es empfiehlt sich daher die Standardeinstellung beizubehalten (manueller Mount). In diesem Fall muss nach jedem Neustart der DS der DSM-Manager aufgerufen werden und der jeweilige Ordner durch Eingabe des Passworts oder importieren des Schlüssels in das System eingebunden werden.

Passwort und Import-Schlüssel

Synology stellt dem User zwei Möglichkeiten des Einbindens eines kryptischen Ordners zur Verfügung.

Bei der Erstellung bekommt man nach erfolgreichem Abschluss einen Download angeboten. Dieser enthält einen von der DS generierten Key, der zur Sicherheit auf einem anderen Rechner gespeichert werden kann. Dieser kann beim einbinden des Ordner der DS übergeben werden. Eine Passworteingabe ist somit nicht mehr notwendig.

Die Zweite Variante ist logischerweise die Passwort-Methode. Bei ihr wird anstatt des Importschlüssels (Key-Datei) einfach das vergebene Passwort eingetragen und die Aktion abgeschlossen.

Es empfiehlt sich daher immer den Importschlüssel irgendwo zu hinterlegen, für den Fall, dass man das Passwort einfach vergessen hat. Andernfalls wird es ziemlich schwierig an die verschlüsselten Daten heranzukommen.

Achtung: Das Passwort für die Verschlüsselung hat nichts mit dem Passwort vom Admin zu tun. Es ist für jeden kryptischen Ordner individuell und frei wählbar!