Synology Volumen Verschlüsselung Performance und Sicherheit

-

Mit DSM 7.2 bringt Synology ein spannendes Feature auf viele seiner NAS Systeme, die Möglichkeit komplette Speichervolumes zu verschlüsseln.

Bisher war es bei Synology NAS Systemen nur möglich einzelne Ordner zu verschlüsseln, aber nicht das ganze NAS. So war es auch nicht möglich beispielsweise Anwendungen wie die NoteStation oder Ähnliches verschlüsselt zu speichern, da diese ihre Daten außerhalb der verschlüsselbaren Ordner sicherten.

Dabei soll die Verschlüsselung kompletter Volumen sogar 48% schneller sein als die einzelner Ordner!

Klingt doch toll! Wollen wir uns mal ansehen, wie schnell die Volumen Verschlüsselung wirklich ist und was es hier zu beachten gibt.

 

Wie funktioniert die Volumen Verschlüsselung?

Wenn du nach dem Update auf DSM 7.2 ein neues Speicher Volumen auf deinem NAS erstellst, erhältst du die Wahl,  willst du ein normales oder ein verschlüsseltes Volumen erstellen.

Wählst du letzteres musst du einen Schlüssel erstellen, welcher für ein Auto Mount beim Hochfahren des NAS eingelesen wird. Dein Passwort für die Verschlüsselung brauchst du also nur, wenn du dein NAS wechseln oder zurücksetzen würdest.

Daher ist die Volumen Verschlüsselung sehr komfortabel.

 

Das Testsystem

Um die Leistung der Verschlüsselung zu Testen nutze ich das Synology DS1821+ in Kombination mit 3x 4TB Samsung 870 SSDs und einer 10Gbit Netzwerkkarte.

Die 3 SSDs sind in einem SHR Verbund (Raid 5).

 

Wie schnell ist die Volumen Verschlüsselung bei Synology?

Um die Leistung der Volumen Verschlüsselung zu testen, habe ich jeweils zwei Datenpakete auf das NAS kopiert bzw. heruntergeladen, via SMB.

  • Datenpaket 1 – 1x große 25GB Datei
  • Datenpaket 2 – 27K Dateien, 25K Ordner, 30GB

Datenpaket 1 ist so ziemlich der Optimalfall, mit einer großen Datei. Datenpaket 2 ist hingegen der absolute Worst Case mit 27.000 kleinen Dateien.

Dabei schauen wir uns vier Situationen an:

  1. Unverschlüsselt
  2. Volumen Verschlüsselung
  3. Ordner Verschlüsselung
  4. Volumen und Ordner Verschlüsselung kombiniert (ja das geht)

Werfen wir zuerst einen Blick auf den Optimalfall.

Spannend! Unverschlüsselt kommen wir lesend auf 1087 MB/s und schreibend auf 926 MB/s.

Mit der Volumen Verschlüsselung erreichen wir lesend fast das gleiche Ergebnis, sinken aber schreibend auf 676 MB/s. 1064 MB/s und 676 MB/s sind aber weiterhin sehr gut, gerade verglichen mit der Ordnerverschlüsselung.

Die Ordnerverschlüsselung senkt das Tempo um einiges mehr. So kommen wir hier lesend auf immer noch ordentliche 694 MB/s und schreibend auf schwächere 309 MB/s.

Interessanterweise senkt zwar die doppelte Verschlüsselung nochmals das Tempo, aber dies gar nicht so deutlich. Lesend kommen wir hier weiterhin auf 658 MB/s und schreibend auf 291 MB/s.

Bei vielen kleinen Dateien bricht das Tempo der Übertragung auf 40-50 MB/s ein. Hier sehen wir aber ein ähnliches Bild. Unverschlüsselt ist am schnellsten, aber die Volumen Verschlüsselung ist nicht viel langsamer.

Bei der Ordnerverschlüsselung bricht das Tempo etwas stärker ein.

 

Wie sicher ist die Volumen Verschlüsselung? (jein)

Vielleicht ist dir bei meiner Beschreibung, wie die Volumen Verschlüsselung eingerichtet wird, etwas aufgefallen.

Richtig, das Passwort für die Verschlüsselung muss auf dem NAS (oder auf einem gesonderten “Key” Synology NAS) gespeichert werden. Zudem wird das verschlüsselte Laufwerk automatisch eingebunden.

Ich denke du erkennst das Problem, wo wird das Passwort gespeichert?

Richtig, das Passwort für die Verschlüsselung wird auf einer Partition auf dem entsprechenden Laufwerk gesichert.

Hier auf Reddit findest du eine komplette Anleitung den Key auszulesen

https://www.reddit.com/r/synology/comments/13pxzqm/contest_for_ds923_i_have_heard_a_bunch_of_people/

Alternativ hier auch: https://forums.spacerex.co/t/bounty-first-person-to-share-how-to-break-into-dsm-7-2-encryption-keys-stored-on-box-gets-a-ds923/641/6

Derzeit ist hierfür allerdings zusätzlich das Synology NAS nötig, keine sonstigen Passwörter. Das Verschlüsselungspasswort wird anscheinend über dein Benutzerpasswort gesichert (welches sich bei physischem Zugriff auf das NAS zurücksetzen lässt). Dieses wird allerdings auch irgendwo gespeichert.

Theoretisch ist also alles, was zur vollständigen Entschlüsselung der verschlüsselten Volumen nötig ist, auf den jeweiligen Laufwerken vorhanden.

Bisher ist es aber wohl noch niemandem gelungen, alles ohne Hilfe des originalen NAS zu entflechten.

Theoretisch ist die Volumen Verschlüsselung aber nach allen Informationen die mir vorliegen entsprechend absolut angreifbar! Wenn jemand weiß was er vor sich hat, wäre es mit ausreichend Mühe möglich Dinge auslesbar zu machen.

Die Volumen Verschlüsselung erschwert aber den Zugriff auf die Daten und macht prinzipiell Sinn, wenn du beispielsweise Laufwerke mit besserem Gewissen zur Reparatur/Austausch zum Hersteller zurücksendest.

 

Fazit

Grundsätzlich freut es mich, dass Synology endlich eine vollständige Verschlüsselung von Volumen anbietet. So war es bisher nicht möglich, einige Anwendungen wie die NoteStation usw. effektiv zu verschlüsseln.

Dabei ist die Volumen Verschlüsselung schnell und bringt kaum Nachteile mit! In meinem Test kostete diese lesend praktisch keine Leistung. Lediglich schreibend brach die Datenrate von 926 MB/s (unverschlüsselt) auf 676 MB/s ein, was aber immer noch deutlich schneller ist als die 309 MB/s der klassischen Ordnerverschlüsselung.

Kurzum, ich sehe nichts, was gegen die Volumen Verschlüsselung spricht. Diese kannst du einfach anmachen, sie bringt ein Plus an Sicherheit und “kostet” nichts.

Wie viel mehr Sicherheit die Volumen Verschlüsselung bringt, ist aber streitbar. Sofern du nicht ein zusätzliches Synology NAS als “Key-Server” nutzt, wird das Passwort zum Entschlüsseln etwas versteckt auf dem verschlüsselten Laufwerk abgelegt.

Mit Zugriff auf das NAS ist es daher recht problemlos möglich, den Key auszulesen. Aber auch ohne Zugriff auf das NAS gibt es nach meiner Auffassung theoretische Angriffsmöglichkeiten. Hierfür muss aber jemand schon ziemlich genau wissen, was er tut.

Geht es dir also primär darum deine Daten zu schützen falls du deine Laufwerke in die Reperatur/Austausch gibst, dann taugt die Volume-Verschlüsselung sicher.

Willst du wirkliche Datensicherheit, dann musst du aber weiterhin zur Ordnerverschlüsselung ohne dem automatischen Mounten nach Neustart greifen. Du kannst aber Volume Verschlüsselung und Ordnerverschlüsselung mit minimalen Performance Unterschied kombinieren.

Transparenz / Info: In diesem Artikel sind Affiliate /Werbe Links enthalten. Solltest Du diese nutzen, dann wird Techtest am Verkaufserlös beteiligt, ohne das sich für Dich der Preis verändert. Als Amazon-Partner verdiene ich an qualifizierten Verkäufen. Dies ist eine wichtige Hilfe das hier auch in Zukunft neue Artikel entstehen können. 

Michael Barton
Michael Barton
Hi, hier schreibt der Gründer und einzige Redakteur von Techtest.org. Vielen Dank für das Lesen des Beitrags, ich hoffe dieser konnte dir weiterhelfen. Mehr Informationen über den Autor

Weitere spannende Artikel

Welche Powerbank Ende 2023 kaufen? Empfehlung und Vergleich

Powerbanks sind etwas extrem Praktisches und mittlerweile auch sehr universell einsetzbar. So können immer mehr Geräte via USB C laden, nicht nur Smartphones, Tablets,...

Immer noch aktuell! Eine Flut an fake Speicherkarten mit Versand durch Amazon? 256GB microSD Speicherkarten von Dawell, Karenon, Adamdsy im Test

Ich war bei Amazon auf der Suche nach einer günstigen 256GB microSD Speicherkarte. Hier bin ich auf Modelle von Dawell, Karenon und Adamdsy gestoßen. Während...

Wie haltbar sind Powerbanks? Kapazitätsmessung nach 7 Jahren

Du hast dir gerade eine frische neue Powerbank gekauft und fragst dich nun, wie lange diese wohl halten wird. Genau dieser Frage versuchen wir...

Neuste Beiträge

Ein WLAN-Wasserkocher? AENO EK7S im Test

Es gibt die verrücktesten Smart-Home-Produkte. In diese Kategorie fällt auch der AENO EK7S. Beim AENO EK7S handelt es sich um einen Wasserkocher mit WLAN...

Egretech Sonic 1200 im Test: Leistung, Ladegeschwindigkeit und mehr im Detail

Egretech bietet mit der Sonic 1200 eine recht günstige, aber attraktive Powerstation mit 999 Wh Kapazität und einer Ausgangsleistung von bis zu 1200 W...

Test: Sonnenrepublik Wing12 und Wing6 – Leistungsstarke USB-Solarmodule für unterwegs

Solarenergie ist etwas Tolles, ob nun im Großen oder im Kleinen. So bieten auch diverse Hersteller portable USB-Solarmodule an, die gedacht sind, Smartphones und...

Wissenswert

Stromsparender und Leistungsstarker Desktop für Office, Foto und Video-Bearbeitung (Ryzen 8000)

Aufgrund der aktuellen Strompreise und Umweltbedenken ist der Stromverbrauch von Computern ein zunehmend wichtiger Faktor. Gerade dann, wenn der PC über viele Stunden im Leerlauf...

Die besten leichten Powerbanks, ideal fürs Wandern! 2024

Gerade wenn du viel unterwegs bist, ist leichtes Gepäck etwas sehr wichtiges und angenehmes. So konzentrieren wir uns bei techtest in der Regel eher...

Erfahrungsbericht: kommt der ECOVACS GOAT G1-2000 mit komplexen Gärten klar?

Mähroboter haben seit vielen Jahren nach einem einfachen Prinzip funktioniert. Du legst um deinen Garten und Hindernisse ein Begrenzungskabel und der Mähroboter fährt den...

1 Kommentar

  1. Wie sieht das mit einer nvme aus, die als Cache genutzt wird, wenn eine Volume-Verschlüsselung und / oder Ordner-Verschlüsselung vorliegt? Sind die Cache-Daten auch geschützt?

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.