Mit DSM 7.2 bringt Synology ein spannendes Feature auf viele seiner NAS Systeme, die Möglichkeit komplette Speichervolumes zu verschlüsseln.
Bisher war es bei Synology NAS Systemen nur möglich einzelne Ordner zu verschlüsseln, aber nicht das ganze NAS. So war es auch nicht möglich beispielsweise Anwendungen wie die NoteStation oder Ähnliches verschlüsselt zu speichern, da diese ihre Daten außerhalb der verschlüsselbaren Ordner sicherten.
Dabei soll die Verschlüsselung kompletter Volumen sogar 48% schneller sein als die einzelner Ordner!
Klingt doch toll! Wollen wir uns mal ansehen, wie schnell die Volumen Verschlüsselung wirklich ist und was es hier zu beachten gibt.
Wie funktioniert die Volumen Verschlüsselung?
Wenn du nach dem Update auf DSM 7.2 ein neues Speicher Volumen auf deinem NAS erstellst, erhältst du die Wahl, willst du ein normales oder ein verschlüsseltes Volumen erstellen.
Wählst du letzteres musst du einen Schlüssel erstellen, welcher für ein Auto Mount beim Hochfahren des NAS eingelesen wird. Dein Passwort für die Verschlüsselung brauchst du also nur, wenn du dein NAS wechseln oder zurücksetzen würdest.
Daher ist die Volumen Verschlüsselung sehr komfortabel.
Das Testsystem
Um die Leistung der Verschlüsselung zu Testen nutze ich das Synology DS1821+ in Kombination mit 3x 4TB Samsung 870 SSDs und einer 10Gbit Netzwerkkarte.
Die 3 SSDs sind in einem SHR Verbund (Raid 5).
Wie schnell ist die Volumen Verschlüsselung bei Synology?
Um die Leistung der Volumen Verschlüsselung zu testen, habe ich jeweils zwei Datenpakete auf das NAS kopiert bzw. heruntergeladen, via SMB.
- Datenpaket 1 – 1x große 25GB Datei
- Datenpaket 2 – 27K Dateien, 25K Ordner, 30GB
Datenpaket 1 ist so ziemlich der Optimalfall, mit einer großen Datei. Datenpaket 2 ist hingegen der absolute Worst Case mit 27.000 kleinen Dateien.
Dabei schauen wir uns vier Situationen an:
- Unverschlüsselt
- Volumen Verschlüsselung
- Ordner Verschlüsselung
- Volumen und Ordner Verschlüsselung kombiniert (ja das geht)
Werfen wir zuerst einen Blick auf den Optimalfall.
Spannend! Unverschlüsselt kommen wir lesend auf 1087 MB/s und schreibend auf 926 MB/s.
Mit der Volumen Verschlüsselung erreichen wir lesend fast das gleiche Ergebnis, sinken aber schreibend auf 676 MB/s. 1064 MB/s und 676 MB/s sind aber weiterhin sehr gut, gerade verglichen mit der Ordnerverschlüsselung.
Die Ordnerverschlüsselung senkt das Tempo um einiges mehr. So kommen wir hier lesend auf immer noch ordentliche 694 MB/s und schreibend auf schwächere 309 MB/s.
Interessanterweise senkt zwar die doppelte Verschlüsselung nochmals das Tempo, aber dies gar nicht so deutlich. Lesend kommen wir hier weiterhin auf 658 MB/s und schreibend auf 291 MB/s.
Bei vielen kleinen Dateien bricht das Tempo der Übertragung auf 40-50 MB/s ein. Hier sehen wir aber ein ähnliches Bild. Unverschlüsselt ist am schnellsten, aber die Volumen Verschlüsselung ist nicht viel langsamer.
Bei der Ordnerverschlüsselung bricht das Tempo etwas stärker ein.
Wie sicher ist die Volumen Verschlüsselung? (jein)
Vielleicht ist dir bei meiner Beschreibung, wie die Volumen Verschlüsselung eingerichtet wird, etwas aufgefallen.
Richtig, das Passwort für die Verschlüsselung muss auf dem NAS (oder auf einem gesonderten “Key” Synology NAS) gespeichert werden. Zudem wird das verschlüsselte Laufwerk automatisch eingebunden.
Ich denke du erkennst das Problem, wo wird das Passwort gespeichert?
Richtig, das Passwort für die Verschlüsselung wird auf einer Partition auf dem entsprechenden Laufwerk gesichert.
Hier auf Reddit findest du eine komplette Anleitung den Key auszulesen
https://www.reddit.com/r/synology/comments/13pxzqm/contest_for_ds923_i_have_heard_a_bunch_of_people/
Alternativ hier auch: https://forums.spacerex.co/t/bounty-first-person-to-share-how-to-break-into-dsm-7-2-encryption-keys-stored-on-box-gets-a-ds923/641/6
Derzeit ist hierfür allerdings zusätzlich das Synology NAS nötig, keine sonstigen Passwörter. Das Verschlüsselungspasswort wird anscheinend über dein Benutzerpasswort gesichert (welches sich bei physischem Zugriff auf das NAS zurücksetzen lässt). Dieses wird allerdings auch irgendwo gespeichert.
Theoretisch ist also alles, was zur vollständigen Entschlüsselung der verschlüsselten Volumen nötig ist, auf den jeweiligen Laufwerken vorhanden.
Bisher ist es aber wohl noch niemandem gelungen, alles ohne Hilfe des originalen NAS zu entflechten.
Theoretisch ist die Volumen Verschlüsselung aber nach allen Informationen die mir vorliegen entsprechend absolut angreifbar! Wenn jemand weiß was er vor sich hat, wäre es mit ausreichend Mühe möglich Dinge auslesbar zu machen.
Die Volumen Verschlüsselung erschwert aber den Zugriff auf die Daten und macht prinzipiell Sinn, wenn du beispielsweise Laufwerke mit besserem Gewissen zur Reparatur/Austausch zum Hersteller zurücksendest.
Fazit
Grundsätzlich freut es mich, dass Synology endlich eine vollständige Verschlüsselung von Volumen anbietet. So war es bisher nicht möglich, einige Anwendungen wie die NoteStation usw. effektiv zu verschlüsseln.
Dabei ist die Volumen Verschlüsselung schnell und bringt kaum Nachteile mit! In meinem Test kostete diese lesend praktisch keine Leistung. Lediglich schreibend brach die Datenrate von 926 MB/s (unverschlüsselt) auf 676 MB/s ein, was aber immer noch deutlich schneller ist als die 309 MB/s der klassischen Ordnerverschlüsselung.
Kurzum, ich sehe nichts, was gegen die Volumen Verschlüsselung spricht. Diese kannst du einfach anmachen, sie bringt ein Plus an Sicherheit und “kostet” nichts.
Wie viel mehr Sicherheit die Volumen Verschlüsselung bringt, ist aber streitbar. Sofern du nicht ein zusätzliches Synology NAS als “Key-Server” nutzt, wird das Passwort zum Entschlüsseln etwas versteckt auf dem verschlüsselten Laufwerk abgelegt.
Mit Zugriff auf das NAS ist es daher recht problemlos möglich, den Key auszulesen. Aber auch ohne Zugriff auf das NAS gibt es nach meiner Auffassung theoretische Angriffsmöglichkeiten. Hierfür muss aber jemand schon ziemlich genau wissen, was er tut.
Geht es dir also primär darum deine Daten zu schützen falls du deine Laufwerke in die Reperatur/Austausch gibst, dann taugt die Volume-Verschlüsselung sicher.
Willst du wirkliche Datensicherheit, dann musst du aber weiterhin zur Ordnerverschlüsselung ohne dem automatischen Mounten nach Neustart greifen. Du kannst aber Volume Verschlüsselung und Ordnerverschlüsselung mit minimalen Performance Unterschied kombinieren.
Wie sieht das mit einer nvme aus, die als Cache genutzt wird, wenn eine Volume-Verschlüsselung und / oder Ordner-Verschlüsselung vorliegt? Sind die Cache-Daten auch geschützt?