Synology Volumen Verschlüsselung Performance und Sicherheit

-

Mit DSM 7.2 bringt Synology ein spannendes Feature auf viele seiner NAS Systeme, die Möglichkeit komplette Speichervolumes zu verschlüsseln.

Bisher war es bei Synology NAS Systemen nur möglich einzelne Ordner zu verschlüsseln, aber nicht das ganze NAS. So war es auch nicht möglich beispielsweise Anwendungen wie die NoteStation oder Ähnliches verschlüsselt zu speichern, da diese ihre Daten außerhalb der verschlüsselbaren Ordner sicherten.

Dabei soll die Verschlüsselung kompletter Volumen sogar 48% schneller sein als die einzelner Ordner!

Klingt doch toll! Wollen wir uns mal ansehen, wie schnell die Volumen Verschlüsselung wirklich ist und was es hier zu beachten gibt.

 

Wie funktioniert die Volumen Verschlüsselung?

Wenn du nach dem Update auf DSM 7.2 ein neues Speicher Volumen auf deinem NAS erstellst, erhältst du die Wahl,  willst du ein normales oder ein verschlüsseltes Volumen erstellen.

Wählst du letzteres musst du einen Schlüssel erstellen, welcher für ein Auto Mount beim Hochfahren des NAS eingelesen wird. Dein Passwort für die Verschlüsselung brauchst du also nur, wenn du dein NAS wechseln oder zurücksetzen würdest.

Daher ist die Volumen Verschlüsselung sehr komfortabel.

 

Das Testsystem

Um die Leistung der Verschlüsselung zu Testen nutze ich das Synology DS1821+ in Kombination mit 3x 4TB Samsung 870 SSDs und einer 10Gbit Netzwerkkarte.

Die 3 SSDs sind in einem SHR Verbund (Raid 5).

 

Wie schnell ist die Volumen Verschlüsselung bei Synology?

Um die Leistung der Volumen Verschlüsselung zu testen, habe ich jeweils zwei Datenpakete auf das NAS kopiert bzw. heruntergeladen, via SMB.

  • Datenpaket 1 – 1x große 25GB Datei
  • Datenpaket 2 – 27K Dateien, 25K Ordner, 30GB

Datenpaket 1 ist so ziemlich der Optimalfall, mit einer großen Datei. Datenpaket 2 ist hingegen der absolute Worst Case mit 27.000 kleinen Dateien.

Dabei schauen wir uns vier Situationen an:

  1. Unverschlüsselt
  2. Volumen Verschlüsselung
  3. Ordner Verschlüsselung
  4. Volumen und Ordner Verschlüsselung kombiniert (ja das geht)

Werfen wir zuerst einen Blick auf den Optimalfall.

Spannend! Unverschlüsselt kommen wir lesend auf 1087 MB/s und schreibend auf 926 MB/s.

Mit der Volumen Verschlüsselung erreichen wir lesend fast das gleiche Ergebnis, sinken aber schreibend auf 676 MB/s. 1064 MB/s und 676 MB/s sind aber weiterhin sehr gut, gerade verglichen mit der Ordnerverschlüsselung.

Die Ordnerverschlüsselung senkt das Tempo um einiges mehr. So kommen wir hier lesend auf immer noch ordentliche 694 MB/s und schreibend auf schwächere 309 MB/s.

Interessanterweise senkt zwar die doppelte Verschlüsselung nochmals das Tempo, aber dies gar nicht so deutlich. Lesend kommen wir hier weiterhin auf 658 MB/s und schreibend auf 291 MB/s.

Bei vielen kleinen Dateien bricht das Tempo der Übertragung auf 40-50 MB/s ein. Hier sehen wir aber ein ähnliches Bild. Unverschlüsselt ist am schnellsten, aber die Volumen Verschlüsselung ist nicht viel langsamer.

Bei der Ordnerverschlüsselung bricht das Tempo etwas stärker ein.

 

Wie sicher ist die Volumen Verschlüsselung? (jein)

Vielleicht ist dir bei meiner Beschreibung, wie die Volumen Verschlüsselung eingerichtet wird, etwas aufgefallen.

Richtig, das Passwort für die Verschlüsselung muss auf dem NAS (oder auf einem gesonderten “Key” Synology NAS) gespeichert werden. Zudem wird das verschlüsselte Laufwerk automatisch eingebunden.

Ich denke du erkennst das Problem, wo wird das Passwort gespeichert?

Richtig, das Passwort für die Verschlüsselung wird auf einer Partition auf dem entsprechenden Laufwerk gesichert.

Hier auf Reddit findest du eine komplette Anleitung den Key auszulesen

https://www.reddit.com/r/synology/comments/13pxzqm/contest_for_ds923_i_have_heard_a_bunch_of_people/

Alternativ hier auch: https://forums.spacerex.co/t/bounty-first-person-to-share-how-to-break-into-dsm-7-2-encryption-keys-stored-on-box-gets-a-ds923/641/6

Derzeit ist hierfür allerdings zusätzlich das Synology NAS nötig, keine sonstigen Passwörter. Das Verschlüsselungspasswort wird anscheinend über dein Benutzerpasswort gesichert (welches sich bei physischem Zugriff auf das NAS zurücksetzen lässt). Dieses wird allerdings auch irgendwo gespeichert.

Theoretisch ist also alles, was zur vollständigen Entschlüsselung der verschlüsselten Volumen nötig ist, auf den jeweiligen Laufwerken vorhanden.

Bisher ist es aber wohl noch niemandem gelungen, alles ohne Hilfe des originalen NAS zu entflechten.

Theoretisch ist die Volumen Verschlüsselung aber nach allen Informationen die mir vorliegen entsprechend absolut angreifbar! Wenn jemand weiß was er vor sich hat, wäre es mit ausreichend Mühe möglich Dinge auslesbar zu machen.

Die Volumen Verschlüsselung erschwert aber den Zugriff auf die Daten und macht prinzipiell Sinn, wenn du beispielsweise Laufwerke mit besserem Gewissen zur Reparatur/Austausch zum Hersteller zurücksendest.

 

Fazit

Grundsätzlich freut es mich, dass Synology endlich eine vollständige Verschlüsselung von Volumen anbietet. So war es bisher nicht möglich, einige Anwendungen wie die NoteStation usw. effektiv zu verschlüsseln.

Dabei ist die Volumen Verschlüsselung schnell und bringt kaum Nachteile mit! In meinem Test kostete diese lesend praktisch keine Leistung. Lediglich schreibend brach die Datenrate von 926 MB/s (unverschlüsselt) auf 676 MB/s ein, was aber immer noch deutlich schneller ist als die 309 MB/s der klassischen Ordnerverschlüsselung.

Kurzum, ich sehe nichts, was gegen die Volumen Verschlüsselung spricht. Diese kannst du einfach anmachen, sie bringt ein Plus an Sicherheit und “kostet” nichts.

Wie viel mehr Sicherheit die Volumen Verschlüsselung bringt, ist aber streitbar. Sofern du nicht ein zusätzliches Synology NAS als “Key-Server” nutzt, wird das Passwort zum Entschlüsseln etwas versteckt auf dem verschlüsselten Laufwerk abgelegt.

Mit Zugriff auf das NAS ist es daher recht problemlos möglich, den Key auszulesen. Aber auch ohne Zugriff auf das NAS gibt es nach meiner Auffassung theoretische Angriffsmöglichkeiten. Hierfür muss aber jemand schon ziemlich genau wissen, was er tut.

Geht es dir also primär darum deine Daten zu schützen falls du deine Laufwerke in die Reperatur/Austausch gibst, dann taugt die Volume-Verschlüsselung sicher.

Willst du wirkliche Datensicherheit, dann musst du aber weiterhin zur Ordnerverschlüsselung ohne dem automatischen Mounten nach Neustart greifen. Du kannst aber Volume Verschlüsselung und Ordnerverschlüsselung mit minimalen Performance Unterschied kombinieren.

Transparenz / Info: In diesem Artikel sind Affiliate /Werbe Links enthalten. Solltest Du diese nutzen, dann wird Techtest am Verkaufserlös beteiligt, ohne das sich für Dich der Preis verändert. Als Amazon-Partner verdiene ich an qualifizierten Verkäufen. Dies ist eine wichtige Hilfe das hier auch in Zukunft neue Artikel entstehen können. 

Michael Barton
Michael Barton
Hi, hier schreibt der Gründer und einzige Redakteur von Techtest.org. Vielen Dank für das Lesen des Beitrags, ich hoffe dieser konnte dir weiterhelfen. Mehr Informationen über den Autor

Weitere spannende Artikel

Was ist PPS und AVS? USB Power Delivery Ladegeräte mit PPS, Übersicht und Info

USB Power Delivery Ladegeräte sind nichts Neues mehr. Es gibt hunderte Modelle auf dem Markt, und diese sind mittlerweile der de-facto-Standard. Auch fast alle Smartphone-Hersteller...

Powerbanks für den Blackout? Eine gute Idee? Welche Modelle sind empfehlenswert?

Die Gefahr eines längeren Stromausfalls nimmt zunehmend zu. Entsprechend gibt es immer mehr Vorsorge- Tipps und auch die Industrie und die Händler stürzen sich...

Hat eine Hülle eine (negativen) Einfluss auf das kabellose Laden? Mit Messwerten!

Kabelloses Laden ist sehr komfortabel und angenehm. Leider ist kabelloses Laden aber auch deutlich langsamer und ineffizienter. Mehr dazu im Artikel “Welche Stromkosten verursachen...

Neuste Beiträge

MT7927: So gut ist die neue MediaTek WLAN 7 Karte

MediaTek WLAN-Karten haben keinen besonders guten Ruf. Dies auch zu Teilen zurecht, beispielsweise ist die MT7922/AMD RZ616 höchstens okay. Allerdings sind die neuen MediaTek-Chips wie...

iPhone 16 Pro Max Hülle aus Leder: BANDWERK Sport Case im Test

Eine Hülle kann ein Smartphone komplett transformieren, zum Guten oder auch zum Schlechten. So kann aus einem eleganten Smartphone ein grober Klotz werden –...

Welche ist die beste INIU 10.000 mAh Powerbank?

INIU ist derzeit einer der besten Hersteller im Powerbank-Bereich und bietet gleich mehrere interessante Modelle an. Allein in der 10.000-mAh-Kategorie gibt es vier verschiedene...

Wissenswert

Was ist PPS und AVS? USB Power Delivery Ladegeräte mit PPS, Übersicht und Info

USB Power Delivery Ladegeräte sind nichts Neues mehr. Es gibt hunderte Modelle auf dem Markt, und diese sind mittlerweile der de-facto-Standard. Auch fast alle Smartphone-Hersteller...

Stromsparender und Leistungsstarker Desktop für Office, Foto und Video-Bearbeitung (Ryzen 8000)

Aufgrund der aktuellen Strompreise und Umweltbedenken ist der Stromverbrauch von Computern ein zunehmend wichtiger Faktor. Gerade dann, wenn der PC über viele Stunden im Leerlauf...

Die besten leichten Powerbanks, ideal fürs Wandern! 2024

Gerade wenn du viel unterwegs bist, ist leichtes Gepäck etwas sehr wichtiges und angenehmes. So konzentrieren wir uns bei techtest in der Regel eher...

1 Kommentar

  1. Wie sieht das mit einer nvme aus, die als Cache genutzt wird, wenn eine Volume-Verschlüsselung und / oder Ordner-Verschlüsselung vorliegt? Sind die Cache-Daten auch geschützt?

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.