[Synology] Coderingssleutel kwijt, geen toegang data

Pagina: 1
Acties:

Acties:
  • 0 Henk 'm!

  • Timmeah
  • Registratie: Maart 2004
  • Laatst online: 09-03 13:17
Ik heb een update gedraaid van mijn synology, van 5.0-4493 naar 5.1-5022

Ik had opeens geen toegang meer tot mijn shares. Blijkbaar stond daar encryptie op, heb ik blijkbaar ooit ingesteld.

Nu had ik daar een standaard wachtwoordje voor, maar dat werkt niet. Wellicht dat ik blijkbaar toch iets anders heb ingesteld, maar daar kom ik niet uit.

Ik ben nu al geruime tijd dingen aan het proberen, maar ik kom er niet uit.

Is er nog iets te redden zonder de sleutel? Kan ik de update terugdraaien wellicht?

Ik ben ten einde raad...

Acties:
  • 0 Henk 'm!

Verwijderd

Ben bang dat dat een harde reset wordt

Acties:
  • 0 Henk 'm!

  • Compizfox
  • Registratie: Januari 2009
  • Laatst online: 00:05

Compizfox

Bait for wenchmarks

Wat voor encryptie is er toegepast en hoe groot (hoeveel bits) is de gebruikte key?

Gewoon een heel grote verzameling snoertjes


Acties:
  • 0 Henk 'm!

  • Timmeah
  • Registratie: Maart 2004
  • Laatst online: 09-03 13:17
Dat weet ik niet, ik kom me eigenlijk helemaal niet herinneren dat ik er encryptie op had gezet. Maar goed, dat zit er dus blijkbaar wel op.

Acties:
  • 0 Henk 'm!

  • Viper®
  • Registratie: Februari 2001
  • Niet online
Open anders een ticket bij Synology, vaak genoeg op het forum gelezen dat de support best goed is bij eventuele data problemen.

Acties:
  • 0 Henk 'm!

  • AtleX
  • Registratie: Maart 2003
  • Niet online

AtleX

Tyrannosaurus Lex 🦖

Volgens verschillende pagina's op de Synology site1 wordt er gebruik gemaakt van symmetrische AES256 encryptie. Ik vond een artikel op Reddit met een mooie analogie & indicatie over het brute-forcen van deze encryptie. Een omweg, tenzij je bedreven bent in cryptografie en een zwakheid vind in de implementatie, lijkt me niet mogelijk. Mocht de Synology helpdesk je wel kunnen helpen met je data terugkrijgen hoor ik dat graag, want dat betekent dat je encryptie key in de handen van derden is wat security-technisch natuurlijk bijzonder gevaarlijk is.

Sole survivor of the Chicxulub asteroid impact.


Acties:
  • 0 Henk 'm!

  • SmiGueL
  • Registratie: September 2005
  • Laatst online: 16:04
Bij het aanmaken van de map werd er bij mij een herstelbestand gemaakt die ik kan gebruiken om hem te decoderen (dit werkt overigens perfect, zo hoef ik het wachtwoord nooit meer in te vullen^^)

De naam van dit bestand is [gedeeldemapnaam].key
In mijn geval heet het bijvoorbeeld: backups.key.

Wat ik hiermee wil zeggen is:
Zoek op (al) je PC's naar een bestand dat eindigt met .key.
Misschien dat je hem destijds ergens hebt opgeslagen en dat je hem hiermee kunt herstellen. :)

Delidded 4770K 4.7GHz @ H220 || Gigabyte Z87X-UD4H || 16GB @ 2400MHz || Gigabyte GTX 760 || 2x128GB Samsung 830 @ RAID-0 & WD 3 TB || Iiyama XB2483HSU-B1 || Synology DS916+ 3x6TB + 120GB SSD Cache || Synology DS213+ 6TB backup


Acties:
  • 0 Henk 'm!

  • AtleX
  • Registratie: Maart 2003
  • Niet online

AtleX

Tyrannosaurus Lex 🦖

SmiGueL schreef op woensdag 21 januari 2015 @ 13:56:
Bij het aanmaken van de map werd er bij mij een herstelbestand gemaakt die ik kan gebruiken om hem te decoderen (dit werkt overigens perfect, zo hoef ik het wachtwoord nooit meer in te vullen^^)
offtopic:
Als je een recovery file bewaard buiten secure storage, wat heeft het encrypten van je NAS nog voor nut?

Sole survivor of the Chicxulub asteroid impact.


Acties:
  • 0 Henk 'm!

  • Timmeah
  • Registratie: Maart 2004
  • Laatst online: 09-03 13:17
Synology om een verzoek gestuurd. Op hoop van zegen.

Verder inderdaad maar zoeken naar dat .key bestand en al mijn notities aan het doorbladeren.

Acties:
  • 0 Henk 'm!

  • SeatRider
  • Registratie: November 2003
  • Laatst online: 15:12

SeatRider

Hips don't lie

AtleX schreef op woensdag 21 januari 2015 @ 13:59:
[...]

offtopic:
Als je een recovery file bewaard buiten secure storage, wat heeft het encrypten van je NAS nog voor nut?
En als je hem erbinnen bewaart is het wel nuttig? :+

Nederlands is makkelijker als je denkt


Acties:
  • 0 Henk 'm!

  • AtleX
  • Registratie: Maart 2003
  • Niet online

AtleX

Tyrannosaurus Lex 🦖

Ja, want je kan best secure storage buiten je Synology hebben. Zelf werk ik veel met Bitlocker-encrypted VHD's en keys & certificates sla ik op in een 1Password container.

Sole survivor of the Chicxulub asteroid impact.


Acties:
  • 0 Henk 'm!

  • Compizfox
  • Registratie: Januari 2009
  • Laatst online: 00:05

Compizfox

Bait for wenchmarks

Als je data inderdaad versleuteld is met AES-256 en je bent je key echt kwijt kun je wel vaarwel zeggen tegen je data. Ik denk niet dat je lang genoeg zult leven om dat te kunnen kraken.

Gewoon een heel grote verzameling snoertjes


Acties:
  • 0 Henk 'm!

  • Timmeah
  • Registratie: Maart 2004
  • Laatst online: 09-03 13:17
Wat ik een beetje apart vind, is dat ik niet kan herinneren encryptie op de mappen (en dus automatisch de backups) te hebben gezet. Het gaat om 4 shares, dus dan zou ik dat 4 keer moeten hebben ingevoerd. En dat zouden er automatisch 4 .key bestandjes gegenereerd moeten zijn, die ik ook nergens kan vinden. En dat een half jaar geleden.

Ik heb alle wachtwoorden geprobeerd die ik ingevoerd kan hebben. Ik hoop dat Synology mij toch nog kan helpen (ivm een bug of iets dergelijks). Maar ik ga bijna denken dat ik misschien toch de Synolocker ransomware er op had, en dat die niet actief is geworden of iets dergelijks.

Hoe dan ook, de meest waardeloze situatie die ik ooit heb meegemaakt mbt data. Ook frappant is dat ik backups maakte, en die dus nu ook waardeloos zijn.

Acties:
  • 0 Henk 'm!

  • qrious
  • Registratie: Mei 2009
  • Laatst online: 30-09-2016
Timmeah schreef op vrijdag 23 januari 2015 @ 11:25:
Wat ik een beetje apart vind, is dat ik niet kan herinneren encryptie op de mappen (en dus automatisch de backups) te hebben gezet. Het gaat om 4 shares, dus dan zou ik dat 4 keer moeten hebben ingevoerd. En dat zouden er automatisch 4 .key bestandjes gegenereerd moeten zijn, die ik ook nergens kan vinden. En dat een half jaar geleden.

Ik heb alle wachtwoorden geprobeerd die ik ingevoerd kan hebben. Ik hoop dat Synology mij toch nog kan helpen (ivm een bug of iets dergelijks). Maar ik ga bijna denken dat ik misschien toch de Synolocker ransomware er op had, en dat die niet actief is geworden of iets dergelijks.

Hoe dan ook, de meest waardeloze situatie die ik ooit heb meegemaakt mbt data. Ook frappant is dat ik backups maakte, en die dus nu ook waardeloos zijn.
ik vrees dat je je data kwijt bent, als de encryptie op de disk zelf zit. dan heb je namelijk maar 1 encryptie sleutel nodig, ongeacht hoeveel shares er zijn.
Sysnology geeft een waarschuwing als je encryptie instelt. staat bij dat als je de sleutel kwijt raakt je de data niet meer kan benaderen. Oude versie terugzetten gaat ook geen zin hebben, sysnology zal gewoon weer om een key vragen.
succes ik hoop dat de Synology je nog kan helpen

.

They say that nobody is perfect. Then they tell you practice makes perfect. I wish they'd make up their minds.


Acties:
  • 0 Henk 'm!

  • Timmeah
  • Registratie: Maart 2004
  • Laatst online: 09-03 13:17
jorg5 schreef op vrijdag 23 januari 2015 @ 11:39:
[...]


ik vrees dat je je data kwijt bent, als de encryptie op de disk zelf zit. dan heb je namelijk maar 1 encryptie sleutel nodig, ongeacht hoeveel shares er zijn.
Sysnology geeft een waarschuwing als je encryptie instelt. staat bij dat als je de sleutel kwijt raakt je de data niet meer kan benaderen. Oude versie terugzetten gaat ook geen zin hebben, sysnology zal gewoon weer om een key vragen.
succes ik hoop dat de Synology je nog kan helpen

.
Stel, ik heb op de schijf encryptie gezet, moet ik hem dan ook op een andere manier koppelen?

Ik zit nu bij Gedeelde schijven, en zie daar de shares met een slotje ervoor. Dan moet ik toch met de rechtermuisknop een map hiervan aanklikken, en dan drukken op koppelen ? Dan vraagt hij om het wachtwoord.

Of is er een andere manier, als ik op de hele schijf encryptie gezet zou hebben?

Acties:
  • 0 Henk 'm!

  • nick_haak
  • Registratie: December 2004
  • Laatst online: 05-10 22:10
Uiteraard niet, de encryptie staat op de hdd zelf, niet tussen schijf en je pc waarmee je nu probeert bij je data te komen (bijvoorbeeld).

Het is dus niet zo dat je de hdd uit de NAS kan halen en in je pc kan proppen om het te omzeilen.
Ik hoop dat Synology iets voor je kan betekenen, dataverlies is altijd naar.

Acties:
  • 0 Henk 'm!

  • Wobblier
  • Registratie: Maart 2009
  • Laatst online: 03-10 14:00
Ik zou proberen op Synology zelf ook te zoeken naar de .key. Login met ssh op je NAS. (Gebruik putty)

Login als user root. Gebruik het admin wachtwoord. Tik dan het volgende commando:

code:
1
find / | grep ".key"


Wanneer je .key bestanden vind dan is dat misschien je encryptie key.

Acties:
  • 0 Henk 'm!

  • Compizfox
  • Registratie: Januari 2009
  • Laatst online: 00:05

Compizfox

Bait for wenchmarks

Ik heb geen ervaring met / verstand van Synology-NASen, maar encryptie heeft toch helemaal geen nut als je de key op het apparaat zelf staat?
Hoe dan ook, de meest waardeloze situatie die ik ooit heb meegemaakt mbt data. Ook frappant is dat ik backups maakte, en die dus nu ook waardeloos zijn.
Het is een beetje kut om het op deze manier te moeten leren, maar een backup die je bewaart op op dezelfde PC / NAS heeft natuurlijk niet echt veel nut. Als je het goed wilt doen moet je backup eigenlijk off-site zijn, dan heb je er zelfs nog wat aan als je hele huis afbrandt.

Gewoon een heel grote verzameling snoertjes


Acties:
  • 0 Henk 'm!

  • Fish
  • Registratie: Juli 2002
  • Niet online

Fish

How much is the fish

en iets van versioning hebben


Maar goed, data die maar op 1 plek staat is geen backup.

Iperf


Acties:
  • 0 Henk 'm!

  • Timmeah
  • Registratie: Maart 2004
  • Laatst online: 09-03 13:17
Contact gehad met Synology, die hebben op afstand ingelogd en gingen het wachtwoord proberen wat ik voor me admin had gebruikt. Had ik dus helaas niet zoveel aan.

Ik zit nu te kijken of ik met brute force attack iets kan doen. Als ik een wachtwoord heb ingesteld, dan heb ik het een paar mogelijkheden met wat cijfers en een combinatie van sterretje of hashtag. (als ik dat daar nou ergens in kan stellen dat ie ze allemaal af gaat, zou dat wel sneller gaan, is daar iets voor Backtrackcd ofzo?)

Acties:
  • 0 Henk 'm!

  • AtleX
  • Registratie: Maart 2003
  • Niet online

AtleX

Tyrannosaurus Lex 🦖

Timmeah schreef op donderdag 29 januari 2015 @ 13:47:
Ik zit nu te kijken of ik met brute force attack iets kan doen.
Een brute force tegen AES256? Succes. Als je over een eeuw of 50 even je voortgang post hebben onze nazaten enig idee over de haalbaarheid daarvan. Zie ook de link die ik eerder postte. :)
With each character having two possibilities (1 or 0), there are 2256 possible combinations. Typically, only 50% of these need to be exhausted to yield the correct key, so only 2255 need to be guessed. How long would it take to flip through each of the possible keys?
...
Tianhe-2 Supercomputer @ 33.86 petaflops (quadrillion flops)
=33 860 000 000 000 000 keys per second (33.86 quadrilion)

3.386e16 * 31556952 seconds in a year
2255 possible keys
2^255 / 1.0685184e24

=1.0685184e24 keys per year (~1 septillion, 1 yottaflop)

=5.4183479e52 years
That's just for 1 machine. Reducing the time by just one power would require 10 more basketball court-sized supercomputers. To reduce the time by x power, we would require 10x basketball court-sized supercomputers. It would take 1038 Tianhe-2 Supercomputers running for the entirety of the existence of everything to exhaust half of the keyspace of a AES-256 key.
toon volledige bericht

Sole survivor of the Chicxulub asteroid impact.


Acties:
  • 0 Henk 'm!

  • Timmeah
  • Registratie: Maart 2004
  • Laatst online: 09-03 13:17
Ik zit nu handmatig in DSM wat mogelijkheden af te gaan, die geeft me steeds aan dat het fout is. Dus daar zit een check.

Het moet toch mogelijk zijn dat te automatiseren?

Het hele verhaal dat AES256 encryptie zowat onkraakbaar is bruteforce dat begrijp ik wel, maar ik heb misschien een 200-tal mogelijkheden (variaties op wachtwoorden die ik vaak gebruikt)

Acties:
  • 0 Henk 'm!

  • Xavier
  • Registratie: November 2000
  • Niet online
Voordat dit met mijn synology gebeurd, waar kan ik zie of de optie met encryptie aan of uit staan?

Acties:
  • 0 Henk 'm!

  • SeatRider
  • Registratie: November 2003
  • Laatst online: 15:12

SeatRider

Hips don't lie

Wie zegt dat je sleutel zelf ingesteld is? Meestal is zo'n AES key behoorlijk groot (256 bits in dit geval) en gewoon random gegenereerd. Verdiep je eens in cryptografie anders.

Nederlands is makkelijker als je denkt


Acties:
  • 0 Henk 'm!

  • Timmeah
  • Registratie: Maart 2004
  • Laatst online: 09-03 13:17
SeatRider schreef op donderdag 29 januari 2015 @ 13:57:
Wie zegt dat je sleutel zelf ingesteld is? Meestal is zo'n AES key behoorlijk groot (256 bits in dit geval) en gewoon random gegenereerd. Verdiep je eens in cryptografie anders.
Wie zou hem anders ingesteld moeten hebben? Je doelt op een hacker?

Acties:
  • 0 Henk 'm!

  • AtleX
  • Registratie: Maart 2003
  • Niet online

AtleX

Tyrannosaurus Lex 🦖

Nee, je AES256 key is een afgeleide van je password. Je wachtwoord wordt gebruikt als IV voor AES. Daarmee wordt een 256 bits lange key gegenereerd die vervolgens gebruikt wordt om je data te encrypten. Zie ook Advanced Encryption Standard - Description of the cipher.

Als je zeker weet dat je wachtwoord in die lijst van 200 mogelijkheden staat maak je een kans, want je kan dan de 200 bijbehorende AES keys genereren en daarmee proberen je disks te decrypten. Erg tof werk zal dat niet worden, maar het is op zich wel te scripten. Waar je alleen dan nog meer zit is de RAID/DFS oplossing van Synology en hoe ze de encryptie precies geimplementeerd hebben. Al met al zal het enorm veel werk worden, als het al lukt, veel meer werk dan gewoon een factory reset te doen en backups terug te zetten.

[edit]
Nog een mogelijkheid, geen idee wat voor filesharing e.d. je/Synology je gebruikt maar even een PS file of shell script maken die met die 200 mogelijke passwords je share probeert te mounten is natuurlijk ook nog een (waarschijnlijk snellere en slimmere) oplossing.

[edit2]
Eenzelfde truc zou je kunnen gebruiken om HTTP(S) requests tegen DSM aan te gooien. Even met Fiddler kijken hoe die requests bij het invullen van je password eruit zien, met FiddlerScript 200 requests maken die hetzelfde eruit zien maar dan met elk een ander wachtwoord, requests uitvoeren en kijken wat het resultaat van elk ervan is. :)

[ Voor 66% gewijzigd door AtleX op 29-01-2015 15:35 ]

Sole survivor of the Chicxulub asteroid impact.


Acties:
  • 0 Henk 'm!

  • SmiGueL
  • Registratie: September 2005
  • Laatst online: 16:04
SeatRider schreef op donderdag 29 januari 2015 @ 13:57:
Wie zegt dat je sleutel zelf ingesteld is? Meestal is zo'n AES key behoorlijk groot (256 bits in dit geval) en gewoon random gegenereerd. Verdiep je eens in cryptografie anders.
Bij het versleutelen van mappen moet je zelf de sleutel 2x ingeven (als tekst)
Hij genereerd aan de hand dáárvan een decryptiesleutel (mogelijk dus een 256 bit decryption key)
Maar bij het invoeren in de NAS is de plain tekst voldoende.


Als jij (TS) denkt dat je er met 200 mogelijkheden bent, dan had ik die gewoon allemaal even
geprobeerd. ;) met 5 seconden per 'gok' ben je er binnen 20 min mee klaar.. :+

[ Voor 17% gewijzigd door SmiGueL op 29-01-2015 14:12 ]

Delidded 4770K 4.7GHz @ H220 || Gigabyte Z87X-UD4H || 16GB @ 2400MHz || Gigabyte GTX 760 || 2x128GB Samsung 830 @ RAID-0 & WD 3 TB || Iiyama XB2483HSU-B1 || Synology DS916+ 3x6TB + 120GB SSD Cache || Synology DS213+ 6TB backup


Acties:
  • 0 Henk 'm!

  • swampy
  • Registratie: Maart 2003
  • Laatst online: 18-09 17:39

swampy

Coconut + Swallow = ?

Is het niet zo dat jou wachtwoord een key bestand zou openen met de ECHTE sleutel. In die zin is jou wachtwoord niet het echte versleutel wachtwoord maar opent het alleen maar de container waarin het echte wachtwoord zit. [key-derivation function] In die zin kun je dus een zwakker wachtwoord gebruiken het encryptie systeem maakt zijn eigen sterkere encryptie sleutel.

Als dit zo is dan zou je de container van het wachtwoord kunnen vinden en heb je gelijk maar een klein bestandje om te kraken. Maar ja.. de vraag is waar wordt het opgeslagen? En ja als je weet wat voor soort wachtwoorden je gebruikt kun je het zo scripten dat die sleutels en combinatie sleutels het eerste geprobeerd worden.

[ Voor 27% gewijzigd door swampy op 29-01-2015 14:16 . Reden: opzoeken key-derivation function ]

There is no place like ::1


Acties:
  • 0 Henk 'm!

  • SeatRider
  • Registratie: November 2003
  • Laatst online: 15:12

SeatRider

Hips don't lie

Timmeah schreef op donderdag 29 januari 2015 @ 13:59:
[...]

Wie zou hem anders ingesteld moeten hebben? Je doelt op een hacker?
Neuh, hijzelf, door op de knop "Encrypt!" te drukken, de Synology een key te laten genereren, en deze vervolgens ergens op te slaan als "vergeetmij.key".

Nederlands is makkelijker als je denkt


Acties:
  • 0 Henk 'm!

  • Timmeah
  • Registratie: Maart 2004
  • Laatst online: 09-03 13:17
swampy schreef op donderdag 29 januari 2015 @ 14:12:
Is het niet zo dat jou wachtwoord een key bestand zou openen met de ECHTE sleutel. In die zin is jou wachtwoord niet het echte versleutel wachtwoord maar opent het alleen maar de container waarin het echte wachtwoord zit. [key-derivation function] In die zin kun je dus een zwakker wachtwoord gebruiken het encryptie systeem maakt zijn eigen sterkere encryptie sleutel.

Als dit zo is dan zou je de container van het wachtwoord kunnen vinden en heb je gelijk maar een klein bestandje om te kraken. Maar ja.. de vraag is waar wordt het opgeslagen? En ja als je weet wat voor soort wachtwoorden je gebruikt kun je het zo scripten dat die sleutels en combinatie sleutels het eerste geprobeerd worden.
Dit is in wezen volgens mij wel het hoe het werkt. Je geeft een wachtwoord in, dan laadt het een paar seconden, en geeft hij aan dat het wachtwoord incorrect is. Ik ben nu al een uur bezig met mogelijke wachtwoorden...

Ik heb ook al even gekeken met SSH in de Synology, in de usr/syno/etc/ dir zit wel lege .ecrypt map, maar ook een .tpyrcne map. Daar staan de 4 shares met een nummer. bijv. Data@1421830340
geen extensie. allen 32B

Zou dat de container zijn?

Acties:
  • 0 Henk 'm!

  • swampy
  • Registratie: Maart 2003
  • Laatst online: 18-09 17:39

swampy

Coconut + Swallow = ?

Het lijkt me bijna zeker dat de versleuteling gebruikt maakt van de 32B data bestandjes.
Nu ja helaas maakt dat het niet makkelijker. AES 256 is zoals al gezegt behoorlijk sterk. Ik hoop voor je dat je snel je wachtwoord vindt anders ben je een tijdje bezig.

There is no place like ::1


Acties:
  • 0 Henk 'm!

  • Timmeah
  • Registratie: Maart 2004
  • Laatst online: 09-03 13:17
Ik heb meerdere malen contact gehad met Synology. Vervolgens werd mijn case doorgestuurd naar developers.

Plotseling was alles weer toegankelijk, en deed alles het weer. De reactie van Synology was dat er toch encryptie was ingesteld met de automount functie, en dat ze een backup key hebben gebruikt.

Uiteraard nu alles zsm gekopieerd naar mappen zonder encryptie, backups gemaakt etc. Dit nooit weer.

Hoe dan ook, ze hebben dus blijkbaar bij Synology een backup key. (dat doet mij een beetje denken over het nut van de encryptie)

Acties:
  • 0 Henk 'm!

  • mhoogendam
  • Registratie: Oktober 2002
  • Laatst online: 18:07
Dat ze een backdoor hebben vind ik erg apart, kan je eens vragen waar ze deze backup key vandaan hebben gehaald? Misschien stond deze toch nog ergens op je NAS.

Acties:
  • 0 Henk 'm!

  • Viper®
  • Registratie: Februari 2001
  • Niet online
Ik vermoed dat ze de backup key uit de NAS hebben gehaald via toegang verleend door TS zelf

Acties:
  • 0 Henk 'm!

  • Wim-Bart
  • Registratie: Mei 2004
  • Laatst online: 10-01-2021

Wim-Bart

Zie signature voor een baan.

En wat zijn de leer momenten:
1. Password goed bewaren op een veilige plaats en niet op het device zelf;
2. Altijd een kopie veilig stellen van een Encryptie key;
3. Nooit een Backup van data op het zelfde device.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.


Acties:
  • 0 Henk 'm!

Verwijderd

Ik snap er echt niets meer van.
Als je de optie 'Automatisch koppelen bij start' aanzet, kan je toch net zo goed geen encryptie gebruiken?
Pagina: 1