TestsNetzwerk EquipmentTipps und Wissenswertes

Synology Volumen Verschlüsselung Performance und Sicherheit

-

TestsNetzwerk EquipmentTipps und Wissenswertes

Mit DSM 7.2 bringt Synology ein spannendes Feature auf viele seiner NAS Systeme, die Möglichkeit komplette Speichervolumes zu verschlüsseln.

Bisher war es bei Synology NAS Systemen nur möglich einzelne Ordner zu verschlüsseln, aber nicht das ganze NAS. So war es auch nicht möglich beispielsweise Anwendungen wie die NoteStation oder Ähnliches verschlüsselt zu speichern, da diese ihre Daten außerhalb der verschlüsselbaren Ordner sicherten.

Dabei soll die Verschlüsselung kompletter Volumen sogar 48% schneller sein als die einzelner Ordner!

Klingt doch toll! Wollen wir uns mal ansehen, wie schnell die Volumen Verschlüsselung wirklich ist und was es hier zu beachten gibt.

 

Wie funktioniert die Volumen Verschlüsselung?

Wenn du nach dem Update auf DSM 7.2 ein neues Speicher Volumen auf deinem NAS erstellst, erhältst du die Wahl,  willst du ein normales oder ein verschlüsseltes Volumen erstellen.

Wählst du letzteres musst du einen Schlüssel erstellen, welcher für ein Auto Mount beim Hochfahren des NAS eingelesen wird. Dein Passwort für die Verschlüsselung brauchst du also nur, wenn du dein NAS wechseln oder zurücksetzen würdest.

Daher ist die Volumen Verschlüsselung sehr komfortabel.

 

Das Testsystem

Um die Leistung der Verschlüsselung zu Testen nutze ich das Synology DS1821+ in Kombination mit 3x 4TB Samsung 870 SSDs und einer 10Gbit Netzwerkkarte.

Die 3 SSDs sind in einem SHR Verbund (Raid 5).

 

Wie schnell ist die Volumen Verschlüsselung bei Synology?

Um die Leistung der Volumen Verschlüsselung zu testen, habe ich jeweils zwei Datenpakete auf das NAS kopiert bzw. heruntergeladen, via SMB.

  • Datenpaket 1 – 1x große 25GB Datei
  • Datenpaket 2 – 27K Dateien, 25K Ordner, 30GB

Datenpaket 1 ist so ziemlich der Optimalfall, mit einer großen Datei. Datenpaket 2 ist hingegen der absolute Worst Case mit 27.000 kleinen Dateien.

Dabei schauen wir uns vier Situationen an:

  1. Unverschlüsselt
  2. Volumen Verschlüsselung
  3. Ordner Verschlüsselung
  4. Volumen und Ordner Verschlüsselung kombiniert (ja das geht)

Werfen wir zuerst einen Blick auf den Optimalfall.

Spannend! Unverschlüsselt kommen wir lesend auf 1087 MB/s und schreibend auf 926 MB/s.

Mit der Volumen Verschlüsselung erreichen wir lesend fast das gleiche Ergebnis, sinken aber schreibend auf 676 MB/s. 1064 MB/s und 676 MB/s sind aber weiterhin sehr gut, gerade verglichen mit der Ordnerverschlüsselung.

Die Ordnerverschlüsselung senkt das Tempo um einiges mehr. So kommen wir hier lesend auf immer noch ordentliche 694 MB/s und schreibend auf schwächere 309 MB/s.

Interessanterweise senkt zwar die doppelte Verschlüsselung nochmals das Tempo, aber dies gar nicht so deutlich. Lesend kommen wir hier weiterhin auf 658 MB/s und schreibend auf 291 MB/s.

Bei vielen kleinen Dateien bricht das Tempo der Übertragung auf 40-50 MB/s ein. Hier sehen wir aber ein ähnliches Bild. Unverschlüsselt ist am schnellsten, aber die Volumen Verschlüsselung ist nicht viel langsamer.

Bei der Ordnerverschlüsselung bricht das Tempo etwas stärker ein.

 

Wie sicher ist die Volumen Verschlüsselung? (jein)

Vielleicht ist dir bei meiner Beschreibung, wie die Volumen Verschlüsselung eingerichtet wird, etwas aufgefallen.

Richtig, das Passwort für die Verschlüsselung muss auf dem NAS (oder auf einem gesonderten “Key” Synology NAS) gespeichert werden. Zudem wird das verschlüsselte Laufwerk automatisch eingebunden.

Ich denke du erkennst das Problem, wo wird das Passwort gespeichert?

Richtig, das Passwort für die Verschlüsselung wird auf einer Partition auf dem entsprechenden Laufwerk gesichert.

Hier auf Reddit findest du eine komplette Anleitung den Key auszulesen

https://www.reddit.com/r/synology/comments/13pxzqm/contest_for_ds923_i_have_heard_a_bunch_of_people/

Alternativ hier auch: https://forums.spacerex.co/t/bounty-first-person-to-share-how-to-break-into-dsm-7-2-encryption-keys-stored-on-box-gets-a-ds923/641/6

Derzeit ist hierfür allerdings zusätzlich das Synology NAS nötig, keine sonstigen Passwörter. Das Verschlüsselungspasswort wird anscheinend über dein Benutzerpasswort gesichert (welches sich bei physischem Zugriff auf das NAS zurücksetzen lässt). Dieses wird allerdings auch irgendwo gespeichert.

Theoretisch ist also alles, was zur vollständigen Entschlüsselung der verschlüsselten Volumen nötig ist, auf den jeweiligen Laufwerken vorhanden.

Bisher ist es aber wohl noch niemandem gelungen, alles ohne Hilfe des originalen NAS zu entflechten.

Theoretisch ist die Volumen Verschlüsselung aber nach allen Informationen die mir vorliegen entsprechend absolut angreifbar! Wenn jemand weiß was er vor sich hat, wäre es mit ausreichend Mühe möglich Dinge auslesbar zu machen.

Die Volumen Verschlüsselung erschwert aber den Zugriff auf die Daten und macht prinzipiell Sinn, wenn du beispielsweise Laufwerke mit besserem Gewissen zur Reparatur/Austausch zum Hersteller zurücksendest.

 

Fazit

Grundsätzlich freut es mich, dass Synology endlich eine vollständige Verschlüsselung von Volumen anbietet. So war es bisher nicht möglich, einige Anwendungen wie die NoteStation usw. effektiv zu verschlüsseln.

Dabei ist die Volumen Verschlüsselung schnell und bringt kaum Nachteile mit! In meinem Test kostete diese lesend praktisch keine Leistung. Lediglich schreibend brach die Datenrate von 926 MB/s (unverschlüsselt) auf 676 MB/s ein, was aber immer noch deutlich schneller ist als die 309 MB/s der klassischen Ordnerverschlüsselung.

Kurzum, ich sehe nichts, was gegen die Volumen Verschlüsselung spricht. Diese kannst du einfach anmachen, sie bringt ein Plus an Sicherheit und “kostet” nichts.

Wie viel mehr Sicherheit die Volumen Verschlüsselung bringt, ist aber streitbar. Sofern du nicht ein zusätzliches Synology NAS als “Key-Server” nutzt, wird das Passwort zum Entschlüsseln etwas versteckt auf dem verschlüsselten Laufwerk abgelegt.

Mit Zugriff auf das NAS ist es daher recht problemlos möglich, den Key auszulesen. Aber auch ohne Zugriff auf das NAS gibt es nach meiner Auffassung theoretische Angriffsmöglichkeiten. Hierfür muss aber jemand schon ziemlich genau wissen, was er tut.

Geht es dir also primär darum deine Daten zu schützen falls du deine Laufwerke in die Reperatur/Austausch gibst, dann taugt die Volume-Verschlüsselung sicher.

Willst du wirkliche Datensicherheit, dann musst du aber weiterhin zur Ordnerverschlüsselung ohne dem automatischen Mounten nach Neustart greifen. Du kannst aber Volume Verschlüsselung und Ordnerverschlüsselung mit minimalen Performance Unterschied kombinieren.

Transparenz / Info: In diesem Artikel sind Affiliate /Werbe Links enthalten. Solltest Du diese nutzen, dann wird Techtest am Verkaufserlös beteiligt, ohne das sich für Dich der Preis verändert. Als Amazon-Partner verdiene ich an qualifizierten Verkäufen. Dies ist eine wichtige Hilfe das hier auch in Zukunft neue Artikel entstehen können. 

Michael Barton
Michael Barton
Hi, hier schreibt der Gründer und einzige Redakteur von Techtest.org. Vielen Dank für das Lesen des Beitrags, ich hoffe dieser konnte dir weiterhelfen. Mehr Informationen über den Autor

Weitere spannende Artikel

Aktueller denn je, Fake Powerbanks! Ekrist, Trswyop, VOOE, kilponen und Co. im Test. Taugen die günstigen 26800mAh Powerbanks etwas? (nein)

Wenn Ihr aktuell bei Amazon nach Powerbanks sucht, dann werdet Ihr über diverse Hersteller mit sehr kryptischen Namen stolpern. Hierzu gehört Ekrist oder auch Trswyop....
Weiterlesen

Die besten leichten Powerbanks, ideal fürs Wandern! 2024

Gerade wenn du viel unterwegs bist, ist leichtes Gepäck etwas sehr wichtiges und angenehmes. So konzentrieren wir uns bei techtest in der Regel eher...
Weiterlesen

Verwirrende mAh und Wh Angabe bei Powerbanks (3,7V oder 5V)

Ich glaube das verwirrendste Thema im Bereich der Powerbanks und Akkus ist sicherlich die Kapazitätsangabe. 99,9% aller Hersteller geben die Kapazität einer Powerbank in...
Weiterlesen

Neuste Beiträge

Ein Mini-PC und NAS in einem, der T-bao R1 im Test

T-bao bietet mit dem R1 einen sehr außergewöhnlichen “Mini-PC” an. Hierbei handelt es sich um eine Art Hybrid aus Mini-PC mit Intel N100 und...
Weiterlesen

Die sparsamsten SSDs für Notebooks, wie groß ist der Verbrauch auf die Laufzeit? Welche SSD ist am besten?

In einem normalen Desktop-PC spielt der Stromverbrauch einer SSD praktisch keine Rolle. Allerdings kann in einem Notebook die Welt völlig anders aussehen. Hier können...
Weiterlesen

DJI Power 1000 im Test, 1024Wh + 2400W Leistung und 140W USB C

DJI hat mit der Power 1000 seine erste Powerstation auf den Markt gebracht. Diese bietet eine Kapazität von 1024 Wh und eine Ausgangsleistung von...
Weiterlesen

Wissenswert

Die besten leichten Powerbanks, ideal fürs Wandern! 2024

Gerade wenn du viel unterwegs bist, ist leichtes Gepäck etwas sehr wichtiges und angenehmes. So konzentrieren wir uns bei techtest in der Regel eher...
Weiterlesen

Erfahrungsbericht: kommt der ECOVACS GOAT G1-2000 mit komplexen Gärten klar?

Mähroboter haben seit vielen Jahren nach einem einfachen Prinzip funktioniert. Du legst um deinen Garten und Hindernisse ein Begrenzungskabel und der Mähroboter fährt den...
Weiterlesen

DC Geräte an USB Power Delivery Ladegeräten und Powerbanks betreiben

USB Power Delivery Ladegeräte und Powerbanks bieten verschiedene Spannungsstufen. Im Optimalfall beim regulären USB PD Standard 5V, 9V, 12V, 15V und 20V. Allerdings im Gegensatz...
Weiterlesen
Vorheriger Artikel
Wie gut sind MINI 100Ah LiFePO4 Akkus? Die LiTime 12V 100Ah MINI LiFePO4 Batterie im Test
Nächster Artikel
NP-FZ100 Akku mit USB C Ladeport? Der Patona NP-FZ100 Akku mit USB C im Test

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Techtest ist eine unabhängige Technik-Test-Webseite, welche es seit 2015 gibt und mittlerweile über 3.000 Tests veröffentlicht hat.

Fragen, Probleme oder andere Anregungen? Dann kontaktiere mich: kontakt@techtest.org