This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

 

Si nous utilisons des cookies et retenons des données anonymes, c’est pour nous aider à mieux gérer notre mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent.

 

Grâce à ces cookies, le forum est en mesure de savoir qui écrit un message et utile pour le système d'authentification.

 

En cliquant sur « J'accepte », vous acceptez l'utilisation par NAS-Forum de cookies publicitaires et de mesure d'audience fine.

Chiffrement des volumes


Messages recommandés

Bonjour,

 

Petite question. J'ai chiffré la plupart de mes volumes...

A chaque mise à jour automatique de mon Syno, il faut que je retape les mots de passe pour remonter les volumes chiffrés.

Il y aurait bien la solution de laissé ma clé USB contenant les clés liées aux gestionnaire de mot de passe branché sur mon Syno, mais en cas de vol de mon Syno, celui qui le redémarre aura les volumes chiffrés qui seront automatiquement monté? Meme s'il doit faire un reset du syno pour dévérrouiller le mot de passe d'accès au Syno?

 

Merci pour vos lanternes...

Serge.

Modifié par condorino
Lien à poster
Partager sur d’autres sites

Bon alors je viens de faire quelques test, moi j’ai encore mes dossiers en montage automatique de dsm 5...

Alors le magasin en lui même est protégé par un password, il sert à y stocké les clés des dossiers (le petit fichier que l’on télécharger avant dsm 6 en bref), son utilisation n’est donc utile que pour 2 usages, ceux qui gardent ses fichiers et ceux qui veulent le montage automatique, ce posera alors 2 choix concernant le stockage de ses clés dans le magasin :

- Un cryptage via une clé machine propre au synology.

- Un password.

Il faut choisir la première méthode pour le montage automatique, qui sera alors cochable dans le gestionnaire, sinon grisé.

Maintenant ce pose la question en cas de vol... et bien en faites c’est tout con, il te suffit de mettre la cle sur le nas avant chaque reboot et dans les options du gestionnaire de clé, si tu coche « éjecter le peri après reboot », une fois le reboot, tu peux directement viré la clé usb sans te connecté à l’interface du synology pour l’ejecter, c’est aussi simple que ça.

Si tu oublies de mettre la clé avant reboot, alors il faudra le faire manuellement en tapant la clé du dossier ou du gestionnaire, mais cela ne casse pas les futurs montage automatique.

Au passage cela ne format pas la clé, un dossier @keystore y trouvera juste le jour.

Finalement je vais y migré, cela évitera d’avoir les clés sur le nas...

Lien à poster
Partager sur d’autres sites
  • 10 months later...

Bonjour,

Enlever la clé usb est vraiment inutile, car en cas de vol la personne n'a pas le mot de passe du NAS. Donc cette personne va le réinitialiser (bouton reset). Par ce reset les dossiers resteront démontés.

En revanche j'ai une question concernant la clé machine. Synology indique "Les clés chiffrées par une clé machine ne peuvent être déchiffrées que par le Synology NAS lié".

Si le NAS tombe en panne (pas les disques) est ce que le fait de les remonter sur un nouveau NAS d'un autre modèle va compromettre le montage des dossiers avec la "clé machine"??

Si oui y a t-il une solution?

Merci de vos réponses

Lien à poster
Partager sur d’autres sites
  • 2 months later...
Le 20/07/2017 à 16:22, Einsteinium a dit :

Bon alors je viens de faire quelques test, moi j’ai encore mes dossiers en montage automatique de dsm 5...

Alors le magasin en lui même est protégé par un password, il sert à y stocké les clés des dossiers (le petit fichier que l’on télécharger avant dsm 6 en bref), son utilisation n’est donc utile que pour 2 usages, ceux qui gardent ses fichiers et ceux qui veulent le montage automatique, ce posera alors 2 choix concernant le stockage de ses clés dans le magasin :

- Un cryptage via une clé machine propre au synology.

- Un password.

Il faut choisir la première méthode pour le montage automatique, qui sera alors cochable dans le gestionnaire, sinon grisé.

Maintenant ce pose la question en cas de vol... et bien en faites c’est tout con, il te suffit de mettre la cle sur le nas avant chaque reboot et dans les options du gestionnaire de clé, si tu coche « éjecter le peri après reboot », une fois le reboot, tu peux directement viré la clé usb sans te connecté à l’interface du synology pour l’ejecter, c’est aussi simple que ça.

Si tu oublies de mettre la clé avant reboot, alors il faudra le faire manuellement en tapant la clé du dossier ou du gestionnaire, mais cela ne casse pas les futurs montage automatique.

Au passage cela ne format pas la clé, un dossier @keystore y trouvera juste le jour.

Finalement je vais y migré, cela évitera d’avoir les clés sur le nas...

Salut,

Est-ce que tous les NAS Synology supportent l'enregistrement des clés de chiffrement sur le NAS directement ?

J'aimerais aussi faire en sorte qu'après chaque reboot les dossiers soient montés automatiquement afin d'éviter toute intervention humaine.

Pour cette raison et pour des raison de sécurité je ne souhaite pas utiliser de clés USB.

Il me reste donc la seconde option, la clé machine. Par contre comment fait-on pour activer cette fonctionnalité ? Sur mon DS918 il n'y a aucun problème mais sur mon autre NAS il n'y a pas moyen et on me demande d'insérer une clé USB... ce que je souhaiterais éviter.

Merci d'avance 

Modifié par Johnson
Lien à poster
Partager sur d’autres sites
  • 1 year later...

@TuringFan

La clé machine sert pour le montage automatique (voir les message ci-dessus)

En cas de migration, il suffit par exemple de rentrer la "clé de chiffrement" utilisé pour chiffrer le dossier à l'origine ou d'importer le fichier contenant la clé créer lors du chiffrement du dossier.

Lien à poster
Partager sur d’autres sites

Bonjour @maxou56 et merci pour ton retour.

Pardon pour le retour tardif, voici ce que j'ai noté :supert

  • Je lis qu'il est conseillé de stocker le magasin de clés sur un support externe : pour quelle raison ?
  • En choisissant un stockage externe on peut opter pour éjecter le périphérique après démarrage.
  • On peut aussi choisir le montage au démarrage du dossier chiffré.

Or dans le cas d'un vol, le voleur sans mdp admin devra faire un reset du NAS ce qui supprimera le montage au démarrage des dossiers et ceux-ci ne pourront être montés que si le voleur entre les clés de déchiffrement des dossiers (soit en saisie directe, soit en import de fichier soit via le gestionnaire de clés). Est-ce bien cela ? 

Je comprends ensuite que le gestionnaire de clés stocke les clefs en les chiffrant (les clés de chiffrage des dossiers sont mêmes chiffrées) : ce chiffrage de clés peut alors se faire par (i) phrase ou (ii) par clé machine. Il est conseillé d'utiliser une clé machine qui imposera le déchiffrement des dossiers avec ce NAS et que c'est un prérequis pour le montage automatique des dossiers.

In fine Synology préconise donc l'utilisation d'un gestionnaire de clé stocké sur un support externe utilisant une clé machine pour le chiffrage des clés des dossiers et configuré avec un montage automatique au démarrage et une éjection automatique du support après démarrage. Dans cette configuration, (i) un voleur serait incapable d’accéder aux dossiers car le reset désactiverait le montage automatique et que ce voleur ne pourrait pas lire les clefs sur le support physique externe et (ii) en cas de panne il faudrait remonter les dossiers sur un autre NAS sans utiliser le gestionnaire de clés mais en rentrant une par une les clés de chaque dossier.  Est-ce bien correct ?

En revanche il reste des choses que je ne comprends pas dans cette configuration :

  • Pour prévenir une impossibilité de déchiffrer les dossiers en cas de panne que dois-je conserver les clés que j'ai initialement rentré et/ou les exports (qui changent dans le temps) ?
  • Si je choisis la clé machine je n'ai donc pas besoin d'une phrase pour le gestionnaire (comme une sorte de master mot de passe) ?
  • En exportant les clés des dossiers chiffrés je me rends compte que (i) l'export est différent de la que j'ai entrée et (ii)si je fais N exports je vais avoir N valeurs différentes : pourquoi ?
  • Il ne faut surtout pas chiffrer le dossier ui celui du gestionnaire de clés sans quoi le NAS ne pourrait plus le lire ?

Merci d'avance pour vos aides,

Lien à poster
Partager sur d’autres sites
il y a 9 minutes, TuringFan a dit :

On peut aussi choisir le montage au démarrage du dossier chiffré.

Bonsoir,

Oui c'est ce que je fais.

il y a 9 minutes, TuringFan a dit :

Or dans le cas d'un vol, le voleur sans mdp admin devra faire un reset du NAS ce qui supprimera le montage au démarrage des dossiers et ceux-ci ne pourront être montés que si le voleur entre les clés de déchiffrement des dossiers (soit en saisie directe, soit en import de fichier soit via le gestionnaire de clés). Est-ce bien cela ? 

Oui, si il y reset du NAS ou si il y a migration il faut connaitre la clé de chiffrement des différents dossier.

Le chiffrement sert à ça, empêcher quelqu'un qui à accès physique à la machine ou aux disques d'accéder aux données chiffré.

il y a 11 minutes, TuringFan a dit :

Pour prévenir une impossibilité de déchiffrer les dossiers en cas de panne que dois-je conserver les clés que j'ai initialement rentré et/ou les exports (qui changent dans le temps) ?

Oui il faut garder la/les clés, non elles ne changent pas dans le temps.

Lien à poster
Partager sur d’autres sites
Il y a 17 heures, maxou56 a dit :
Oui il faut garder la/les clés, non elles ne changent pas dans le temps.


Bonjour @maxou56 et merci pour ton retour rapide et clair.

Dernier point puis j’arrête mais j’ai bien constaté qu’en exportant 2 fois de suite la clé d’un même dossier que (i) celle-ci était différente que celle que moi j’ai entré (mais je comprends que c’est car la clé est elle même est chiffrée par la clé machine du gestionnaire) et (ii) que les deux téléchargements contenaient deux chaînes de caractères différents (pour le même dossier) et ça je ne le comprends pas ?

Ex : pour chiffrer le dossier « Test » je rentre la clé de chiffrement « MDP#toto0 » et en exportant la clé de « Test » la première fois je lis dans le fichier texte téléchargé « azertY&89 » puis en exportant de nouveau cette même clé je lis dans le nouveau fichier texte « 12poiut@a ».

Sais tu pourquoi j’observe ce comportement ? Est-ce que l’heure de la machine rentre en compte comme pour la double authentification ? Si oui comment le NAS fait pour déchiffrer le dossier en important la clé puisqu’il ne connaît pas l’heure de sa génération. Dsl je n’ai aucune base en cryptographie symétrique.

Merci d’avance,

Modifié par TuringFan
Lien à poster
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.