Aller au contenu

Cryptage de données sous DSM 6.1


Messages recommandés

Hello,

Avec DSM 6, lorsque lors de la creation d'un "share" on pouvait crypter ce dossier. il suffisait de rentrer une clef pour que le dossier soit créé et que l'on recupere le fichier de cryptage. Pour le connecter automatiquement au prochain demarrage, pas de soucis, il y avait une petite case a cocher.

Avec DSM 6.1, le meme processus exist toujours mais une nouveauté vient d'etre ajouté.

Lorsqu'un dossier est deja existant et que l'on souhait le crypté, c'est maintenant possible (genial, j'en ai beaucoup a faire). Sauf que la case pour monter le partage au prochain demarrage n'est plus presente... voici un extret de la doc officiel:

Citation

Crypter ce dossier partagé : Si vous souhaitez chiffrer le dossier partagé, procédez comme suit :

  1. Spécifiez et confirmez une nouvelle clé de chiffrement. La clé de chiffrement ne peut pas contenir des virgules (,) ou le signe égal (=).
  2. Si nécessaire, cochez la case Ajouter une clé de chiffrement au gestionnaire de clés pour monter le dossier chiffré automatiquement quand le système démarre. Si cette option n'est pas désactivée, le dossier crypté partagé sera déconnecté la prochaine fois que Synology Synology NAS redémarre. Pour afficher ou accéder à un dossier partagé déconnecté, vous devrez monter le dossier manuellement en important ou en entrant la clé de chiffrement.

Il est donc clairement ecrit qu'il n'est plus possible de monter automatiquement les partage sans le gestionnaire de clef.

Je n'ai pas encore tester, mais de ce que je vois, le gestionnaire necessite une clef USB (ou equivalent) de brancher sur le syno pour y stoquer les clefs. au passage, avouons le, mettre une clef USB sur chaque syno n'est pas des plus confortable je trouve.

Et la.... j'avoue ne pas comprendre l'interet de crypter des donnée si c'est pour laisser la clef a coté....quelqu'un a plus d'explication sur le fonctionnement?

Autre question. est ce que ca veut dire que le syno a toujours eu besoin de la clef en clair quelque part pour pouvoir monter un partage, et que du coup, meme avec DSM 6 il avait dans son systeme les clefs accessible a tous?

 

Modifié par nexius2
Lien vers le commentaire
Partager sur d’autres sites

apres un essai avec le key manager sur une clef USB, mes partages crypté ne monte pas au boot.

quelqu'un utilise se system avec succes?

quelqu'un crypte ces dossiers?

autre question, un clef crypté est lisible dans un fichier sur la clef USB, mais elle est codé. est ce que c'est tout de meme utilisable sans avoir le code ou pas?

Modifié par nexius2
Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...

Petit up.

je viens d'avoir une reponse sympa de syno.

pour tout ceux qui utilise une clef USB pour le key manager afin de crypter les partages.

si jamais le nas vient a etre volé (c'est la l'interet du cryptage) normalement, le voleur ne pourra acceder au données.

sauf si vous utilisé le key manager. et oui, les clef de decryptage sont presentes, et globalement, si le nas est volé, la clef usb branché dessus le sera aussi.

voila une merveilleuse fonction de synology.....

Lien vers le commentaire
Partager sur d’autres sites

lorsque l'on créer un partage, il y a la possibilité de crypter le dossier sans "Key manager" et dans ce cas, si le NAS est volé, pas de soucis, ca reste crypté (enfin a voir si on ne trouve pas la clef quelque part en claire sur le disque en non crypté)

lorsque l'on crypte un dossier deja créer, on a pas d'autre choix que d'uitlisé le "Key manager".

 

bref, je continu de parler avec eu pour savoir si autre chose est prevu, mais leur conseil est de deconnecter la clef apres avoir demarrer le NAS.

j'attend leur reponse quand au bon fonctionnement du bordel apres un mise a jour avec reboot automatique....

Lien vers le commentaire
Partager sur d’autres sites

  • 6 mois après...
  • 2 mois après...

Hello,

Je découvre cette mauvaise blague de Synology grâce à ton post.

Quelle bande d'idiot, c'est vraiment des abrutis, comment quelqu'un a pu penser qu'il a allait nous rendre service en nous obligeant à utiliser un support USB pour chiffrer ces disques, c'est complètement stupide, si en plus l'information est en clair sur le support en question, c'est encore pire.

Ayant déjà un Syno avant la migration 6.1, je constate que l'option est restée disponible dans l'interface, je vais donc repartir de 0 sur le nouveau Syno que je viens d'acheter pour mettre une version inférieur au DSM 6.1 pour arriver à garder cette option post mise à jour du Synology.

Franchement c'est n'importe quoi !!!

Modifié par Elrick
Lien vers le commentaire
Partager sur d’autres sites

Le 23/12/2017 à 09:00, Elrick a dit :

nous obligeant à utiliser un support USB pour chiffrer ces disques

Ce n'est pas une obligation, c'est uniquement nécessaire si tu souhaites que les partages soient automatiquement déchiffrés en cas de reboot du nas, ce qui est une mauvaise idée du point de vu sécurité, donc Synology a ajouté une fonction permettant de limiter les risques.

=> tu n'es pas obligé d'utiliser le gestionnaire de clefs

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Au final, je vais chiffré les données et utilisé la clé pour montée les données, c'est à mon sens, la seule solution pour éviter que les données soient compromises avec un simple "bouton reset"

Exit la clé USB...

 

Finalement, c'est la seule solution que j'ai trouvé pour éviter l'utilisation du bouton reset pour accéder aux données, c'est quand même lamentable la sécurité made in Synology

Modifié par Elrick
Lien vers le commentaire
Partager sur d’autres sites

  • 3 mois après...

Bonjour,

Pourquoi mon ancien NAS DS215+ monte automatiquement mes dossiers cryptés sans utiliser de magasin de clé bien que que j'ai mis à jour en DSM 6.1.6 ?

Pour ce dossier créé avec l'ancien DSM, je precise que l'option monter au demarrage n'est pas active ! Par contre , avec le nouveau ce nouveau DSM 6.1, si je crée un dossier partagé crypté, l'option monter au démarrage ne semble pas activable tant que l'on a pas une clé USB pour stocker les clé, comme vous le précisez.

Peut on revenir à l'ancien systeme qui ne semble pas totalement disparu dans DSM 6.1.6 puisque cela marche avec mes anciens dossiers cryptés ?

 

 

Modifié par jeugregg
ajout informattion
Lien vers le commentaire
Partager sur d’autres sites

  • 5 mois après...

En fait, je crois que meme si un voleur dérobe le NAS avec le disque à l'interieur et la clé USB avec les clé de decryptage, il aura tout de meme besoin de se connecter à un compte du NAS pour acceder aux données en claire, quelque soit le moyen d’accès : SMB, WEB interface, FTP, SSH...

Donc la solution est encore possible en laissant la clé USB. Ça n'apporte rien au voleur sans login/MDP d'un compte du NAS.

SVP Dites moi si j'ai dit une bêtise ?

 

Lien vers le commentaire
Partager sur d’autres sites

Oui, c'est pas top.

Mais la documentation dit ca :

Citation

 

2. Mode 1 : Réinitialiser les identifiants de connexion de l'administrateur et les paramètres réseau

Cette section vous guidera tout au long des étapes pour réinitialiser le mot de passe administrator et les paramètress réseau. Une fois votre Synology NAS réinitialisé, la configuration système sera dans les conditions suivantes :

La valeur par défaut du compte admin sera rétablie.

Le port de gestion de l'IU sera réinitialisé sur 5000/5001.

L'IP, le DNS, la passerelle et les autres interfaces réseau seront réinitialisées sur DHCP.

PPPoE sera désactivé.

Le blocage automatique sera désactivé.

Les règles du pare-feu seront désactivées.

Les dossiers chiffrés seront démontés et la fonctionnalité Monter automatiquement au démarrage sera désactivée.

Le cluster high-avalability sera supprimé.

 

Mais, s'il vole la clé USB avec de magasin de clés, seront ils remontés automatiquement ou bien faut il tout de meme un MDP pour les réactiver ?

Si Synology a bien protégé le systeme, ils ont surement prevu de bloquer aussi le remontage automatique par le magasin des clès sur la clé USB. 

Le magasin est protégé par un MDP. J'imagine que pour réactiver le magasin sur le systeme, il faut retaper le MDP.

Donc on est peut etre protégé par ce MDP ? NON ?

 

 

 

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...
  • 2 mois après...

Bonjour à tous,

J'ai un problème sur le chiffrement des dossiers et fichiers un peu particulier que j'aimerai vous soumettre.

J'ai un DS218Play avec 2 HDD WD NasDrive de 4To en RAID 1, le tout acheté il y a environ 1 an.

Ma config sécu était :

authentification forte à la console web manager via google authenticator sur mon mobile

- chiffrement du dossier partagé racine de mon arborescence Volume1/Racine/... (autant dire que toutes mes données sont chiffrées)

- clé de chiffrement symétrique stockée sur support USB collée au cul du NAS pour déchiffrement à la volée au reboot.

 

Le problème que j'ai rencontré a évolué crescendo. Tout a commencé par le formatage de mon mobile et donc du google authenticator. Suite à ca, impossible de retrouver d'une manière ou d'une autre mes tokens, ni sous google/gmail, nul part.

Je pouvais toujours accéder à mon NAS via le partage réseau ou le lecteur réseau que j'avais monté au préalable sur mon Windows 10. Mais ca me faisais quand même bien chié car je n'avais plus accès au manager, alors j'ai décidé de réinitialiser le compte admin via un reset hardware (maintient du bouton reset 2 fois 4 secondes).

Les bips du NAS ainsi que la diode orange clignotante m'indiquaient que le DSM n'était plus installé. Parfait je vais pouvoir le réinstaller, seulement lors de l'installation (.pat) ca foire à l'étape 2 (formatage de la partition...) lecteurs introuvables.

Je me suis arrété la pour le NAS.

 

J'ai décidé dans un premier temps de sauvegarder mes données avant d'aller plus loin, j'ai donc sorti mes 2 WD et j'en ai mis un dans un rack externe 3"5 et avec DiskInternals Linux Reader j'ai pu extraire mes données CHIFFREES. J'ai tout déposé dans un DD externe en attendant de pouvoir les déchiffrer.

 

Vous l'aurez bien compris, j'aimerai savoir comment faire pour déchiffrer mes données sachant que les 2 WD ne sont plus dans le NAS et que je bénéficie de la clé de déchiffrement ?

J'ai tenté avec PGP Kleopatra mais impossible de faire le taf.

 

Merci la communauté.

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...
Le 05/02/2019 à 17:05, julot a dit :

- clé de chiffrement symétrique stockée sur support USB collée au cul du NAS pour déchiffrement à la volée au reboot.

Le problème que j'ai rencontré a évolué crescendo. Tout a commencé par le formatage de mon mobile et donc du google authenticator. Suite à ca, impossible de retrouver d'une manière ou d'une autre mes tokens, ni sous google/gmail, nul part.

Je pouvais toujours accéder à mon NAS via le partage réseau ou le lecteur réseau que j'avais monté au préalable sur mon Windows 10. Mais ca me faisais quand même bien chié car je n'avais plus accès au manager, alors j'ai décidé de réinitialiser le compte admin via un reset hardware (maintient du bouton reset 2 fois 4 secondes).

Vous l'aurez bien compris, j'aimerai savoir comment faire pour déchiffrer mes données sachant que les 2 WD ne sont plus dans le NAS et que je bénéficie de la clé de déchiffrement ? 

Alors, je cherche aussi quelque réponse sur le sujet.

Ma compréhension du systeme mis en place par Synology est que si tu utilises un support USB (magasin de clé) pour stoker tes clés de dossier partagé, alors tu as du être obligé de choisir le mode "clé machine".

Dans ce mode, le dossier partagé crypté aurait besoin de la clé machine que tu as, mais pas uniquement,  en plus il faut une "clé systeme NAS" hebergé sur le NAS ou bien un identifiant du hardware NAS. je sais pas trop quoi, qui ferait que le dossier partagé crypté par une clé machine ne pourrait être décrypté que s'il est monter sur le HARDWARE où il a était crypté !

Donc tu ne peux pas décrypter sur ton PC.

Alors, je trouve cela bien pour la sécurité, mais dans le cas où le Hardware NAS est endomagé, comment on fait pour recuperer les données ??

Je pense, mais je ne suis pas sur, que le support Synology doit avoir une solution dans ce cas, avec le numero de serie de ton NAS peut etre?

 

Sinon, ton cas n'est pas exactement celui la puisque tu n'arrive pas a reinstaller le systeme, et la je ne peut pas t'aider... mais cela y resemble. Plus d'acces à l'interface...

Par contre une chose que tu peux faire, c'est y acceder en SSH ? en ligne de commande et monter les dossiers manuellement  si tu remets les disques dans le NAS ?

Est ce que l'acces SSH est activé chez toi ?

 

 

Lien vers le commentaire
Partager sur d’autres sites

  • 3 mois après...

Bonjour à tous.

Je rebondis sur le problème des fichiers chiffrés.

J'ai un nas secondaire sur un site distant, en dehors de chez moi.
Je compte m'en servir pour sauvegarder les dossiers et fichiers importants de mon nas principale, celui qui est chez moi.
> Au cas ou je me fais cambrioler, ou si j'ai un dégats des eaux, électriques etc ...

Pour faire des économies d'énergie, et pour la planète, (et éviter le bruit que fait le nas sur le site distant, qui peux gêner son hôte s'il est allumé H24), je ne compte allumer mon nas secondaire que quelques heures par nuit, pour permettre la copie, donc programmer un allumage et extinction automatique.

Du coup, je suis obligé d'utiliser le système avec une clé usb pour pouvoir '' remount'' le dossier crypter automatiquement chaque jour.

Et donc, mon nas secondaire n'est pas protégé contre le vol .... Parce que le voleur disposera de la clé usb+le nas et n'aura plus qu'a faire un reset pour effacer les log/mdp...

J'ai bon ????

La seule solution, pour le coup, pour faire des sauvegarde distante sécurisé, c'est de payer des offres cloud ? Et encore, il faut avoir confiance au fournisseur.

Merci de votre aide.

 

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.