Aller au contenu

Chiffrement des volumes


condorino

Messages recommandés

Bonjour,

 

Petite question. J'ai chiffré la plupart de mes volumes...

A chaque mise à jour automatique de mon Syno, il faut que je retape les mots de passe pour remonter les volumes chiffrés.

Il y aurait bien la solution de laissé ma clé USB contenant les clés liées aux gestionnaire de mot de passe branché sur mon Syno, mais en cas de vol de mon Syno, celui qui le redémarre aura les volumes chiffrés qui seront automatiquement monté? Meme s'il doit faire un reset du syno pour dévérrouiller le mot de passe d'accès au Syno?

 

Merci pour vos lanternes...

Serge.

Modifié par condorino
Lien vers le commentaire
Partager sur d’autres sites

Bon alors je viens de faire quelques test, moi j’ai encore mes dossiers en montage automatique de dsm 5...

Alors le magasin en lui même est protégé par un password, il sert à y stocké les clés des dossiers (le petit fichier que l’on télécharger avant dsm 6 en bref), son utilisation n’est donc utile que pour 2 usages, ceux qui gardent ses fichiers et ceux qui veulent le montage automatique, ce posera alors 2 choix concernant le stockage de ses clés dans le magasin :

- Un cryptage via une clé machine propre au synology.

- Un password.

Il faut choisir la première méthode pour le montage automatique, qui sera alors cochable dans le gestionnaire, sinon grisé.

Maintenant ce pose la question en cas de vol... et bien en faites c’est tout con, il te suffit de mettre la cle sur le nas avant chaque reboot et dans les options du gestionnaire de clé, si tu coche « éjecter le peri après reboot », une fois le reboot, tu peux directement viré la clé usb sans te connecté à l’interface du synology pour l’ejecter, c’est aussi simple que ça.

Si tu oublies de mettre la clé avant reboot, alors il faudra le faire manuellement en tapant la clé du dossier ou du gestionnaire, mais cela ne casse pas les futurs montage automatique.

Au passage cela ne format pas la clé, un dossier @keystore y trouvera juste le jour.

Finalement je vais y migré, cela évitera d’avoir les clés sur le nas...

Lien vers le commentaire
Partager sur d’autres sites

  • 10 mois après...

Bonjour,

Enlever la clé usb est vraiment inutile, car en cas de vol la personne n'a pas le mot de passe du NAS. Donc cette personne va le réinitialiser (bouton reset). Par ce reset les dossiers resteront démontés.

En revanche j'ai une question concernant la clé machine. Synology indique "Les clés chiffrées par une clé machine ne peuvent être déchiffrées que par le Synology NAS lié".

Si le NAS tombe en panne (pas les disques) est ce que le fait de les remonter sur un nouveau NAS d'un autre modèle va compromettre le montage des dossiers avec la "clé machine"??

Si oui y a t-il une solution?

Merci de vos réponses

Lien vers le commentaire
Partager sur d’autres sites

  • 2 mois après...
Le 20/07/2017 à 16:22, Einsteinium a dit :

Bon alors je viens de faire quelques test, moi j’ai encore mes dossiers en montage automatique de dsm 5...

Alors le magasin en lui même est protégé par un password, il sert à y stocké les clés des dossiers (le petit fichier que l’on télécharger avant dsm 6 en bref), son utilisation n’est donc utile que pour 2 usages, ceux qui gardent ses fichiers et ceux qui veulent le montage automatique, ce posera alors 2 choix concernant le stockage de ses clés dans le magasin :

- Un cryptage via une clé machine propre au synology.

- Un password.

Il faut choisir la première méthode pour le montage automatique, qui sera alors cochable dans le gestionnaire, sinon grisé.

Maintenant ce pose la question en cas de vol... et bien en faites c’est tout con, il te suffit de mettre la cle sur le nas avant chaque reboot et dans les options du gestionnaire de clé, si tu coche « éjecter le peri après reboot », une fois le reboot, tu peux directement viré la clé usb sans te connecté à l’interface du synology pour l’ejecter, c’est aussi simple que ça.

Si tu oublies de mettre la clé avant reboot, alors il faudra le faire manuellement en tapant la clé du dossier ou du gestionnaire, mais cela ne casse pas les futurs montage automatique.

Au passage cela ne format pas la clé, un dossier @keystore y trouvera juste le jour.

Finalement je vais y migré, cela évitera d’avoir les clés sur le nas...

Salut,

Est-ce que tous les NAS Synology supportent l'enregistrement des clés de chiffrement sur le NAS directement ?

J'aimerais aussi faire en sorte qu'après chaque reboot les dossiers soient montés automatiquement afin d'éviter toute intervention humaine.

Pour cette raison et pour des raison de sécurité je ne souhaite pas utiliser de clés USB.

Il me reste donc la seconde option, la clé machine. Par contre comment fait-on pour activer cette fonctionnalité ? Sur mon DS918 il n'y a aucun problème mais sur mon autre NAS il n'y a pas moyen et on me demande d'insérer une clé USB... ce que je souhaiterais éviter.

Merci d'avance 

Modifié par Johnson
Lien vers le commentaire
Partager sur d’autres sites

  • 1 an après...

@TuringFan

La clé machine sert pour le montage automatique (voir les message ci-dessus)

En cas de migration, il suffit par exemple de rentrer la "clé de chiffrement" utilisé pour chiffrer le dossier à l'origine ou d'importer le fichier contenant la clé créer lors du chiffrement du dossier.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @maxou56 et merci pour ton retour.

Pardon pour le retour tardif, voici ce que j'ai noté :supert

  • Je lis qu'il est conseillé de stocker le magasin de clés sur un support externe : pour quelle raison ?
  • En choisissant un stockage externe on peut opter pour éjecter le périphérique après démarrage.
  • On peut aussi choisir le montage au démarrage du dossier chiffré.

Or dans le cas d'un vol, le voleur sans mdp admin devra faire un reset du NAS ce qui supprimera le montage au démarrage des dossiers et ceux-ci ne pourront être montés que si le voleur entre les clés de déchiffrement des dossiers (soit en saisie directe, soit en import de fichier soit via le gestionnaire de clés). Est-ce bien cela ? 

Je comprends ensuite que le gestionnaire de clés stocke les clefs en les chiffrant (les clés de chiffrage des dossiers sont mêmes chiffrées) : ce chiffrage de clés peut alors se faire par (i) phrase ou (ii) par clé machine. Il est conseillé d'utiliser une clé machine qui imposera le déchiffrement des dossiers avec ce NAS et que c'est un prérequis pour le montage automatique des dossiers.

In fine Synology préconise donc l'utilisation d'un gestionnaire de clé stocké sur un support externe utilisant une clé machine pour le chiffrage des clés des dossiers et configuré avec un montage automatique au démarrage et une éjection automatique du support après démarrage. Dans cette configuration, (i) un voleur serait incapable d’accéder aux dossiers car le reset désactiverait le montage automatique et que ce voleur ne pourrait pas lire les clefs sur le support physique externe et (ii) en cas de panne il faudrait remonter les dossiers sur un autre NAS sans utiliser le gestionnaire de clés mais en rentrant une par une les clés de chaque dossier.  Est-ce bien correct ?

En revanche il reste des choses que je ne comprends pas dans cette configuration :

  • Pour prévenir une impossibilité de déchiffrer les dossiers en cas de panne que dois-je conserver les clés que j'ai initialement rentré et/ou les exports (qui changent dans le temps) ?
  • Si je choisis la clé machine je n'ai donc pas besoin d'une phrase pour le gestionnaire (comme une sorte de master mot de passe) ?
  • En exportant les clés des dossiers chiffrés je me rends compte que (i) l'export est différent de la que j'ai entrée et (ii)si je fais N exports je vais avoir N valeurs différentes : pourquoi ?
  • Il ne faut surtout pas chiffrer le dossier ui celui du gestionnaire de clés sans quoi le NAS ne pourrait plus le lire ?

Merci d'avance pour vos aides,

Lien vers le commentaire
Partager sur d’autres sites

il y a 9 minutes, TuringFan a dit :

On peut aussi choisir le montage au démarrage du dossier chiffré.

Bonsoir,

Oui c'est ce que je fais.

il y a 9 minutes, TuringFan a dit :

Or dans le cas d'un vol, le voleur sans mdp admin devra faire un reset du NAS ce qui supprimera le montage au démarrage des dossiers et ceux-ci ne pourront être montés que si le voleur entre les clés de déchiffrement des dossiers (soit en saisie directe, soit en import de fichier soit via le gestionnaire de clés). Est-ce bien cela ? 

Oui, si il y reset du NAS ou si il y a migration il faut connaitre la clé de chiffrement des différents dossier.

Le chiffrement sert à ça, empêcher quelqu'un qui à accès physique à la machine ou aux disques d'accéder aux données chiffré.

il y a 11 minutes, TuringFan a dit :

Pour prévenir une impossibilité de déchiffrer les dossiers en cas de panne que dois-je conserver les clés que j'ai initialement rentré et/ou les exports (qui changent dans le temps) ?

Oui il faut garder la/les clés, non elles ne changent pas dans le temps.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 17 heures, maxou56 a dit :
Oui il faut garder la/les clés, non elles ne changent pas dans le temps.


Bonjour @maxou56 et merci pour ton retour rapide et clair.

Dernier point puis j’arrête mais j’ai bien constaté qu’en exportant 2 fois de suite la clé d’un même dossier que (i) celle-ci était différente que celle que moi j’ai entré (mais je comprends que c’est car la clé est elle même est chiffrée par la clé machine du gestionnaire) et (ii) que les deux téléchargements contenaient deux chaînes de caractères différents (pour le même dossier) et ça je ne le comprends pas ?

Ex : pour chiffrer le dossier « Test » je rentre la clé de chiffrement « MDP#toto0 » et en exportant la clé de « Test » la première fois je lis dans le fichier texte téléchargé « azertY&89 » puis en exportant de nouveau cette même clé je lis dans le nouveau fichier texte « 12poiut@a ».

Sais tu pourquoi j’observe ce comportement ? Est-ce que l’heure de la machine rentre en compte comme pour la double authentification ? Si oui comment le NAS fait pour déchiffrer le dossier en important la clé puisqu’il ne connaît pas l’heure de sa génération. Dsl je n’ai aucune base en cryptographie symétrique.

Merci d’avance,

Modifié par TuringFan
Lien vers le commentaire
Partager sur d’autres sites

  • 4 mois après...

Bonjour @Einsteinium, @guadeloupedom et @maxou56,

Joyeuses fêtes à tous,

Je me permets de vous citer et de compléter par mes échanges avec le support synology :

Le 28/07/2020 à 21:34, maxou56 a dit :

La clé machine sert pour le montage automatique (voir les message ci-dessus)

En cas de migration, il suffit par exemple de rentrer la "clé de chiffrement" utilisé pour chiffrer le dossier à l'origine ou d'importer le fichier contenant la clé créer lors du chiffrement du dossier.

-

Le 04/08/2020 à 00:01, maxou56 a dit :
Le 03/08/2020 à 23:45, TuringFan a dit :

Or dans le cas d'un vol, le voleur sans mdp admin devra faire un reset du NAS ce qui supprimera le montage au démarrage des dossiers et ceux-ci ne pourront être montés que si le voleur entre les clés de déchiffrement des dossiers (soit en saisie directe, soit en import de fichier soit via le gestionnaire de clés). Est-ce bien cela ? 

Oui, si il y reset du NAS ou si il y a migration il faut connaitre la clé de chiffrement des différents dossier.

Le chiffrement sert à ça, empêcher quelqu'un qui à accès physique à la machine ou aux disques d'accéder aux données chiffré.

Le 03/08/2020 à 23:45, TuringFan a dit :

Pour prévenir une impossibilité de déchiffrer les dossiers en cas de panne que dois-je conserver les clés que j'ai initialement rentré et/ou les exports (qui changent dans le temps) ?

Oui il faut garder la/les clés, non elles ne changent pas dans le temps.

-

Le 23/05/2018 à 15:24, guadeloupedom a dit :

En revanche j'ai une question concernant la clé machine. Synology indique "Les clés chiffrées par une clé machine ne peuvent être déchiffrées que par le Synology NAS lié".

Si le NAS tombe en panne (pas les disques) est ce que le fait de les remonter sur un nouveau NAS d'un autre modèle va compromettre le montage des dossiers avec la "clé machine"??

Si oui y a t-il une solution?

Voici mes questions envoyés au support Synology :

  1. L'utilisation d'une clé machine est elle obligatoire pour un montage automatique des dossier ?
  2. Dans le cas d'une utilisation clé machine, comment accéder à ses données si le NAS tombe en panne et que l'on doit le changer ? Sera-t-il toujours possible de déchiffrer un dossier sur un autre NAS (avec une clé exportée lors de la création du dossier ou plus tard) ?
  3. Pourquoi différents exports de clés conduisent à différentes clés exportées ? Les clefs sont-elles elles mêmes chiffrées ? Si oui, et dans le cas d'un chiffrement des clés fait par la clé machine, la réponse à ma seconde question est d'autant plus importante.

Voici les réponses du support Synology :

1/ Oui

2/ Il sera possible d'accéder aux données à l'aide d'une procédure ardue de récupération de données à partir d'un système sous linux.

3/Je ne dispose de détails précis sur le pourquoi et le comment à ce niveau désolé.

Pour info j'ai également remarqué que le dossier Mail semblait non chiffrable (ce qui veut dire qu'un accès à ce dossier permet une lecture en clair de l’exhaustivité des e-mails des différentes boites e-mail si je comprends bien) et après question au support, voici la réponse :

Vous pouvez procéder au chiffrement de vos email dans Mail server en utilisant OpenPGP, consultez l'article suivant pour plus de détails: Paramètres de Synology MailPlus Server | Synology Inc.

Preneur d'explications, notamment sur la question  car je confirme j'obtiens une chaine de caractre différente à chaque nouvel export de clef d'un dossier spécifique.

Bonne journée à tous,

Lien vers le commentaire
Partager sur d’autres sites

@Einsteinium,

Je pense qu'il n'y a pas de solution parfaite.

De mon côté j'envisage de sauvegarder unilatéralement mon NAS principal vers un second NAS de backup distant en chiffrant sur celui là aussi les dossiers via clé machine et remontage automatique. Dans ce cas e me dis qu'il est peu probable d'avoir une panne (et donc de devoir recourir à la fameuse manipulation ardue sous linux) sur les deux NAS en même temps.

En revanche petite question : lors d'une t elle sauvegarde les fichiers provenant de dossiers chiffrés mais montés sont ils copiés chiffrés ou clairs ? S'ils sont copiés chiffrés le problème est d'autant plus vrai car il faudrait la clef machine du NAS principal pour déchiffrer les fichiers du NAS de backup. S'ils sont copiés en clair comment protéger la copie ? Le transfert peut il se faire de façon sécurisé (protocole VPN, SSL, etc.) ? 

Lien vers le commentaire
Partager sur d’autres sites

Le 29/12/2020 à 18:17, TuringFan a dit :

Le transfert peut il se faire de façon sécurisé (protocole VPN, SSL, etc.) ? 

Bonsoir,

Si tu utilises Hyper Backup.

Oui on peut chiffrer le transfert. Il y a une option à cocher.

 

Le 29/12/2020 à 18:17, TuringFan a dit :

De mon côté j'envisage de sauvegarder unilatéralement mon NAS principal vers un second NAS de backup distant en chiffrant sur celui là aussi les dossiers via clé machine et remontage automatique.

Pas besoin de chiffrer le dossier partagé de destination (je crois que Synology le déconseille), tu peux chiffrer la sauvegarde.

 

Et il y a même un logiciel pour lires les sauvegardes.

Citation

Synology Hyper Backup Explorer

Description:
Un outil de bureau pour parcourir, déchiffrer et extraire différentes versions des données de sauvegarde dans les référentiels Hyper Backup.

System Requirements:
Supported operation systems:
Windows 7 and Windows 10
Mac OS X 10.12 and onward
Ubuntu or Fedora (officially supported versions)

 

Le 29/12/2020 à 18:17, TuringFan a dit :

lors d'une t elle sauvegarde les fichiers provenant de dossiers chiffrés mais montés sont ils copiés chiffrés ou clairs ?

Si tu fais une sauvegarde local/USB mono version elles seront chiffrés.

Mais en cas de multi-version, sa dépend de la sauvegarde (si tu chiffres la sauvegarde, tous est chiffré, sinon rien n'est chiffré, mais ce n'est pas directement lisible, il faut passer par Hyper Backup ou le logiciel ci-dessus)

 

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.