Szyfrowanie folderów współdzielonych vs klucz

ODPOWIEDZ
Awatar użytkownika
adjustin
Wtajemniczony
Posty: 211
Rejestracja: pn lip 11, 2016 5:21 pm
Lokalizacja: Żory/Rybnik/Katowice

Szyfrowanie folderów współdzielonych vs klucz

Post autor: adjustin »

Hej,
mam takie dziwne pytanie.
Zastanawia mnie od dłuższego czasu temat kluczy do szyfrowania folderów współdzielonych.
Może nie rozumiem, ale może ktoś mi wytłumaczyć ideę trzymania kluczy na pendrive'ie?
OK, jest plus, że folder automatycznie się odszyfrowuje z klucza trzymanego na nośniku zewnętrznym. Ale to szyfrowanie jest po to, żeby w sytuacji np. kradzieży serwera lub próby nieuprawnionego fizycznego dostępu dane były zaszyfrowane.
(Wiadomym jest, że ścieżka jest ograniczona, ale to osobny temat).
Więc jeśli dochodzi do kradzieży, to raczej serwera + włożonego do niego pendrive'a. Stąd nie kumam tej idei. Chyba, że można zaciągać klucze np. z innego serwera NAS.
DS120j (1 x WD Red 4 TB, Ext 4, 512 MB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
Awatar użytkownika
mikhnal
Darth Vader
Posty: 2758
Rejestracja: pt gru 11, 2015 8:55 am
Lokalizacja: Warszawa

Re: Szyfrowanie folderów współdzielonych vs klucz

Post autor: mikhnal »

A to nie jest tak, że klucz na penie służy do awaryjnego odszyfrowania folderu?
DS3018xs
DSM 7.2.1-69057 Update 5
32GB RAM 2x KSM24SED8/16ME DDR4 2400 CL17 ECC mod
6x 10TB WD Red WD100EFAX RAID5 btrfs
2x SNV3500-400G read/write SSD cache @ E10M20-T1 + 10GbE LAN
2x Noctua NF-A9 fan mod
RT6600ax + WRX560
SRM 1.3.1-9346 Update 9
krowka1978
Stały Bywalec
Posty: 334
Rejestracja: wt gru 15, 2015 6:42 pm

Re: Szyfrowanie folderów współdzielonych vs klucz

Post autor: krowka1978 »

Pendrive jest potrzebny przy uruchomieniu, żeby automatycznie podmontował zaszyfrowane udziały. Po zamontowaniu folderów usuwa się go z NAS-a, włączonego raczej złodziej niósł nie będzie :-) Po ponownym włączeniu NAS-a dane nie będą dostępne.
Jeżeli dane nie mogą być cały czas odszyfrowane podczas pracy NAS, to cóż, trzeba to robić na żądanie.
DS1513+
DSM 7.1.1
4GB RAM
5x 3TB WD RED WD30EFRX RAID 5 btrfs
DS1819+
DSM 7.2
32GB RAM ECC Kingston (2x KSM24SED8/16ME)
4x 8TB Seagate IronWolf ST8000VN004 RAID 6 btrfs
2x Seagate IronWolf 525 SSD M.2 1TB RW cache RAID 1 + E10M20T1
RT2600ac
SRM 1.3
2x MR2200ac (Mesh)
Awatar użytkownika
adjustin
Wtajemniczony
Posty: 211
Rejestracja: pn lip 11, 2016 5:21 pm
Lokalizacja: Żory/Rybnik/Katowice

Re: Szyfrowanie folderów współdzielonych vs klucz

Post autor: adjustin »

Dzięki bardzo.
Czyli jeżeli kolokuję serwer gdzieś w innym miejscu, to musze ręcznie podawać plik klucza (bądź hasło).
Nie wiem czemu ubzdurało mi się, że jest coś takiego jak zdalny serwer kluczy czy cos w tym stylu. Przez moment cos podobnego mi przemknęło przed oczami w Synology, ale raczej coś mylę.

A jakie macie doświadczenie z zapisywaniem klucza poprzez menedżer kluczy na dysku lokalnym? Ten klucz jest niedostępny gdy wkręcę dysk i spróbuję się dostać do struktury danych? niedostępny to dość ogólne stwierdzenie: zaszyfrowany, zahashowany z saltacją czy coś takiego?
DS120j (1 x WD Red 4 TB, Ext 4, 512 MB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
Awatar użytkownika
bebek
Amator
Posty: 51
Rejestracja: pn maja 29, 2023 10:18 am

Re: Szyfrowanie folderów współdzielonych vs klucz

Post autor: bebek »

adjustin pisze: sob maja 25, 2024 8:58 am A jakie macie doświadczenie z zapisywaniem klucza poprzez menedżer kluczy na dysku lokalnym? Ten klucz jest niedostępny gdy wkręcę dysk i spróbuję się dostać do struktury danych? niedostępny to dość ogólne stwierdzenie: zaszyfrowany, zahashowany z saltacją czy coś takiego?
KeePass - na systemy MS lub np. KeePassXC na Linux/MacOS.
Bez szans na otwarcie bazy haseł bez znajomości np. hasła głównego. Trochę więcej na ten temat tutaj.
look12
Zawsze On-Line
Posty: 527
Rejestracja: ndz sty 24, 2016 10:46 am

Re: Szyfrowanie folderów współdzielonych vs klucz

Post autor: look12 »

adjustin pisze: Nie wiem czemu ubzdurało mi się, że jest coś takiego jak zdalny serwer kluczy czy cos w tym stylu. Przez moment cos podobnego mi przemknęło przed oczami w Synology, ale raczej coś mylę.
Zdalny serwer kluczy można wskazać przy szyfrowaniu woluminów.
https://kb.synology.com/pl-pl/DSM/help ... ?version=7
DS916+ /7.1-42661/
DS112+ /6.2.4-25556/
RT2600ac /SRM 1.3-9193/
Awatar użytkownika
adjustin
Wtajemniczony
Posty: 211
Rejestracja: pn lip 11, 2016 5:21 pm
Lokalizacja: Żory/Rybnik/Katowice

Re: Szyfrowanie folderów współdzielonych vs klucz

Post autor: adjustin »

bebek pisze: ndz maja 26, 2024 7:53 am KeePass - na systemy MS lub np. KeePassXC na Linux/MacOS.
Bez szans na otwarcie bazy haseł bez znajomości np. hasła głównego. Trochę więcej na ten temat tutaj.
Przepraszam za złe sfomułowanie. Chodziło mi o lokalny dysk w NASie. W opcjach jest możliwość zapisu klucza w serwerze NAS. KeePassXC używam od lat i nie zamieniłbym na nic innego :) (z różnych powodów :))
DS120j (1 x WD Red 4 TB, Ext 4, 512 MB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
Awatar użytkownika
adjustin
Wtajemniczony
Posty: 211
Rejestracja: pn lip 11, 2016 5:21 pm
Lokalizacja: Żory/Rybnik/Katowice

Re: Szyfrowanie folderów współdzielonych vs klucz

Post autor: adjustin »

look12 pisze: ndz maja 26, 2024 8:58 pm Zdalny serwer kluczy można wskazać przy szyfrowaniu woluminów.
https://kb.synology.com/pl-pl/DSM/help ... ?version=7
Chyba o to mi chodziło. Ale muszę się bardziej zagłębić w temat. Jeśli dobrze rozumiem, to w przypadku, gdy klucz zostanie zapisany w serwerze, to "w przypadku" kradzieży serwera (np. kolokowanego) serwer będzie działał i bazował na swoich wewnętrznych blokadach typu poświadczenia dostępowe itd... Gdyby ktoś próbował wykręcić dyski, to już się do nich nie dostanie. Widzę, że opiera się to o LKS, jak to bywa w większości Linuxów. Zastanawia mnie, gdzie jest przechowywany klucz i w jakiej formie. Bo przykładowo w kompach jest to w TPMie.
Fakt że w przypadku TPMów jest wiele teorii i sprawdzonych metod włamu, ale przy nowszych to raczej niewykonywalne (jak dotąd).
Ale wracając, zastanawia mnie, inna sprawa. Jest tam możliwość zdalnego klucza na innym urządzeniu. No jeśli mato być ograniczone do sieci lokalnej, to trochę bez sensu (przykleję karteczkę: "Jak kradniesz to pamiętaj też o drugim serwerze obok :))". No chyba, że zdalnie się da.
Ale musze się w to wczytać, jednakże bardzo ogólne są informacje na stronie Synology.

Pytam, gdyż mam styczność z sytuacją, gdzie serwer musi być serwerem NAS (w tym przypadku Synology) i musi być kolokowany w innej lokalizacji (miasto) do kopii i innych rzeczy. Przy czym wewnętrzne procedury organizacji wymagają szyfrowanej kolokacji (nie mówię o transmisji).
DS120j (1 x WD Red 4 TB, Ext 4, 512 MB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
Awatar użytkownika
bebek
Amator
Posty: 51
Rejestracja: pn maja 29, 2023 10:18 am

Re: Szyfrowanie folderów współdzielonych vs klucz

Post autor: bebek »

adjustin pisze: ndz maja 26, 2024 9:18 pm Przepraszam za złe sfomułowanie. Chodziło mi o lokalny dysk w NASie. W opcjach jest możliwość zapisu klucza w serwerze NAS. KeePassXC używam od lat i nie zamieniłbym na nic innego :) (z różnych powodów :))
To zmienia postać rzeczy ;)
adjustin pisze: ndz maja 26, 2024 9:34 pm Zastanawia mnie, gdzie jest przechowywany klucz i w jakiej formie.
Na początku woluminu który jest szyfrowany znajduje się nagłówek przechowujący 8 slotów (miejsc na klucze). W przypadku użycia LUKS2 tych slotów jest 32. Opisów jak to działa jest naprawde sporo w sieci.
Awatar użytkownika
BWaliszewski
Stały Bywalec
Posty: 372
Rejestracja: pt gru 18, 2015 2:55 pm
Lokalizacja: Poznań
Kontakt:

Re: Szyfrowanie folderów współdzielonych vs klucz

Post autor: BWaliszewski »

Nie zauważyłem wątku - a akurat też "gryzę" temat.

Dla mnie idea kluczy przetrzymywanych na Pendrive była spoko. Klucze mam zapisane i ja i klient. Ja mam postać plików i numerów [tak w razie czego], a klient ma Pendriva, który jest przechowywany w "pewnym" miejscu, którego nikt nie zna. Użył go kilka razy po utracie napięcia i wyłączeniu serwera przez UPS [ponowny restart po włożeniu pendriva].

Natomiast bardzo mnie interesuje kwestia zdalnego magazynu, na innym serwerze - w innej lokalizacji, poza firmą. Wszystko super - póki nie dojdę do certyfikatów. Może to głupie - ale to mnie pokonało ;-)
RT6600ax / SRM 1.3.1-9346 Update 8
DS923+ DSM 7.2.1-69057 Update 4 / 16GB RAM / 4x WDRed 3TB
APC Back-UPS ES 700G
ODPOWIEDZ

Wróć do „DSM 7.x”