Opties voor Veilige Encryptie van NAS: encryption key. - Opslag en back-up

dinsdag 23 april 2024 10:15

Acties:

0 Henk 'm!

Topicstarter

NAS versleutelen of niet?

Ik ben fotograaf en videograaf en bewaar mijn mediabestanden op versleutelde externe harde schijven voor extra beveiliging tegen diefstal. Recentelijk heb ik een Synology NAS (DS1522+) aangeschaft om als grote opslag voor back-ups en archivering te dienen. Dit is mijn eerste NAS. Ik wil de gegevens van de NAS zowel op externe versleutelde harde schijven back-uppen als (deels) in een versleutelde cloudomgeving, om gegevensverlies te voorkomen (3-2-1-methode).

Op de NAS heb ik de optie om het gehele volume of specifieke mappen te versleutelen. Hierbij wordt een 'encryption key'-bestand gegenereerd dat vereist is om de schijven later te kunnen ontsleutelen. Ik maak me zorgen over het risico dat dit bestand verloren gaat of beschadigd raakt, wat zou leiden tot verlies van alle gegevens op die schijven. Bij mijn externe HDD’s gebruik ik VeraCrypt, waarbij alleen een wachtwoord nodig is, wat mij veiliger lijkt omdat een wachtwoord minder snel verloren gaat (ik gebruik een WW manager).

Vraag: Is het gebruik van een 'encryption key'-bestand noodzakelijk voor de versleuteling van een NAS, of bestaan er andere, mogelijk veiligere methoden om NAS- en HDD-opslag te versleutelen zonder afhankelijk te zijn van een dergelijk bestand?

Ik heb nu alles onversleuteld opgeslagen, maar dat voelt ook niet helemaal veilig.

Hoe gaan jullie hiermee om?

Specs van pc

dinsdag 23 april 2024 13:01

Acties:

0 Henk 'm!

Room42

Sowieso, als dat 'encryption key'-bestand op de NAS staat, reist ie gezellig met de dief mee, dus dat schiet weinig op. En als de disks online zijn, is alle data decrypted en dus alleen maar beveiligd tegen offline diefstal.

Hoe dan ook kun je dat 'encryption key'-bestand toch ook gewoon in je password manager opslaan?

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

dinsdag 23 april 2024 13:10

Acties:

0 Henk 'm!

Cyphax

Moderator LNX

Ik denk bij diefstal van data eigenlijk met name aan digitale inbraak als gevolg van slechte netwerkconfiguratie of ongeautoriseerde toegang tot je wifi, maar bij fysieke inbraak zou het me echt verbazen als ze mijn servertje mee zouden nemen. Die staat niet voor het grijpen (voornamelijk omdat het een rommeltje is

) en ik betwijfel of het echt waarde heeft.
Ik heb mijn storage niet versleuteld, maar de toegang vanaf het netwerk is wel beveiligd.

Saved by the buoyancy of citrus

dinsdag 23 april 2024 13:51

Acties:

0 Henk 'm!

honey

Topicstarter

Room42 schreef op dinsdag 23 april 2024 @ 13:01:
Sowieso, als dat 'encryption key'-bestand op de NAS staat, reist ie gezellig met de dief mee, dus dat schiet weinig op. En als de disks online zijn, is alle data decrypted en dus alleen maar beveiligd tegen offline diefstal.

Hoe dan ook kun je dat 'encryption key'-bestand toch ook gewoon in je password manager opslaan?

Het gaat om offline diefstal. Als we op vakantie zijn, bijvoorbeeld. Bij een vriendin is er in de laatste zes maanden al twee keer ingebroken. Dus, dan ga je wel even nadenken.

Ik heb nu de sleutel opgeslagen in 1Password, maar het idee dat een bestand ook corrupt kan raken is erg eng. Ik ben door bitrot al vaker bestanden kwijtgeraakt.

Cyphax schreef op dinsdag 23 april 2024 @ 13:10:
Ik denk bij diefstal van data eigenlijk met name aan digitale inbraak als gevolg van slechte netwerkconfiguratie of ongeautoriseerde toegang tot je wifi, maar bij fysieke inbraak zou het me echt verbazen als ze mijn servertje mee zouden nemen. Die staat niet voor het grijpen (voornamelijk omdat het een rommeltje is ) en ik betwijfel of het echt waarde heeft.
Ik heb mijn storage niet versleuteld, maar de toegang vanaf het netwerk is wel beveiligd.

Mijn NAS staat niet online, maar alleen een thuisnetwerk.

Specs van pc

dinsdag 23 april 2024 14:11

Acties:

0 Henk 'm!

Tweakert2020

honey schreef op dinsdag 23 april 2024 @ 10:15:
NAS versleutelen of niet?

Ik ben fotograaf en videograaf en bewaar mijn mediabestanden op versleutelde externe harde schijven voor extra beveiliging tegen diefstal. Recentelijk heb ik een Synology NAS (DS1522+) aangeschaft om als grote opslag voor back-ups en archivering te dienen. Dit is mijn eerste NAS. Ik wil de gegevens van de NAS zowel op externe versleutelde harde schijven back-uppen als (deels) in een versleutelde cloudomgeving, om gegevensverlies te voorkomen (3-2-1-methode).

Op de NAS heb ik de optie om het gehele volume of specifieke mappen te versleutelen. Hierbij wordt een 'encryption key'-bestand gegenereerd dat vereist is om de schijven later te kunnen ontsleutelen. Ik maak me zorgen over het risico dat dit bestand verloren gaat of beschadigd raakt, wat zou leiden tot verlies van alle gegevens op die schijven. Bij mijn externe HDD’s gebruik ik VeraCrypt, waarbij alleen een wachtwoord nodig is, wat mij veiliger lijkt omdat een wachtwoord minder snel verloren gaat (ik gebruik een WW manager).

Vraag: Is het gebruik van een 'encryption key'-bestand noodzakelijk voor de versleuteling van een NAS, of bestaan er andere, mogelijk veiligere methoden om NAS- en HDD-opslag te versleutelen zonder afhankelijk te zijn van een dergelijk bestand?

Ik heb nu alles onversleuteld opgeslagen, maar dat voelt ook niet helemaal veilig.

Hoe gaan jullie hiermee om?

Voor je het jezelf moeilijk gaat maken; wat zijn de verplichtingen omtrent het bewaren van je media bestanden?
Je hebt het over opslaan in een cloudomgeving, wellicht dat je dan formeel een verwerkersovereenkomst nodig hebt bijvoorbeeld.

[ Voor 3% gewijzigd door Tweakert2020 op 23-04-2024 14:15 ]

dinsdag 23 april 2024 14:51

Acties:

0 Henk 'm!

honey

Topicstarter

Tweakert2020 schreef op dinsdag 23 april 2024 @ 14:11:
[...]

Voor je het jezelf moeilijk gaat maken; wat zijn de verplichtingen omtrent het bewaren van je media bestanden?
Je hebt het over opslaan in een cloudomgeving, wellicht dat je dan formeel een verwerkersovereenkomst nodig hebt bijvoorbeeld.

Goeie vraag. Ik hoop dat ik je vraag ook goed begrijp.

Momenteel heb ik geen specifieke verplichtingen voor het bewaren van media omdat ik niet voor externe bedrijven werk die specifieke eisen stellen voor dataopslag. Maar, aangezien mijn media vaak herkenbare personen bevatten, sla ik alles altijd versleuteld op door de gehele HDD te versleutelen met VeraCrypt.

Voor mijn cloudopslag overweeg ik Mega te gebruiken vanwege hun zero-knowledge, end-to-end encryptieaanbod. Ik heb er eerlijk gezegd nooit over nagedacht dat een DPA nodig zou zijn, maar in deze situatie denk ik dat het ook niet nodig is, aangezien ik geen bruikbare data zal uploaden naar Mega.

Ik heb momenteel zo'n 20 losse HDD's, maar vanwege de groeiende organisatorische complexiteit en kans op fouten ben ik nu overgestapt naar een NAS. Deze overstap bracht een nieuwe uitdaging met zich mee in de vorm van een andere encryptiemethode die gebruikmaakt van een encryption-key. Het idee dat je afhankelijk bent van een los sleutelbestand vind ik oncomfortabel.

Specs van pc

dinsdag 23 april 2024 16:08

Acties:

0 Henk 'm!

DataGhost

iPL dev

Je hebt het wel steeds over backups maar op de een of andere manier leg je die link niet voor je key?

dinsdag 23 april 2024 16:17

Acties:

0 Henk 'm!

Tweakert2020

Ik denk dat we elkaar redelijk goed begrijpen

Wat voor fotografie doe je, evenementen of iets anders. Overigens is het volgens mij niet zo omdat het externe bedrijf geen eisen stelt dat die er voor jou niet zijn.

Maar wat betreft encryptie en cloudopslag heb ik zelf geen goed gevoel bij Mega, maar dat is denk ik ongefundeerd.

Hoe wil je de backup van je bestanden naar Mega gaan doen?
Ben zelf wel redelijk fan van Synology C2 Backup (of OneDrive als een goede 2e) omdat deze een goede integratie hebben met Synology zelf.

Voor zover ik heb kunnen achterhalen is de volume encryptie van Synology een beetje een wassen neus wanneer je NAS wordt gestolen. Je volume decrypt automatisch zodra je je NAS aanzet omdat de key in een local Encryption Key Vault staat.

Maar los daarvan download je de recovery key welke je dus ergens moet bewaren mocht je hem nodig hebben om te decrypten.

Maar voor mijn gevoel heb je ondanks dat het foto's zijn niet echt gevoelige data wat encryptie "rechtvaardigt".

dinsdag 23 april 2024 16:35

Acties:

0 Henk 'm!

honey

Topicstarter

DataGhost schreef op dinsdag 23 april 2024 @ 16:08:
Je hebt het wel steeds over backups maar op de een of andere manier leg je die link niet voor je key?

Je bedoeld de mogelijkheid om deze encryptiesleutel ook meerdere keren op te slaan?

Ik zou deze sleutel kunnen opslaan in mijn 1Password en vervolgens uploaden naar Proton Cloud en Google Drive. Opslag is niet het probleem. De kwetsbaarheid ligt in het risico dat een bestand onleesbaar wordt. Dit baseer ik op mijn ervaringen met het verlies van bestanden door bitrot, waarbij al mijn back-ups dit corrupte bestand ook bleek te bevatten. Dus uiteindelijk waren mijn back-ups waardeloos. Bovendien benadrukken alle tutorials op YouTube sterk het risico van het verliezen van deze encryptiesleutel. Ze adviseren dit alleen te doen als je absoluut en heel heel erg zeker zeker bent van je zaak. Dit alles geeft mij geen gerust gevoel.

Mijn vraag is of encryptie, ondanks de 'grote' risico's, vaak wordt toegepast. Ik zou denken dat encryptie tegenwoordig steeds meer als vanzelfsprekend wordt beschouwd. Daarnaast vraag ik me af hoe men omgaat met het risico van dataverlies door het verlies van de encryptiesleutel, en of er mogelijk betere, voor mij onbekende, tools bestaan om je gegevens te beschermen op een NAS.

Specs van pc

dinsdag 23 april 2024 16:48

Acties:

0 Henk 'm!

DataGhost

iPL dev

Een backup is geen backup zonder regelmatige tests of deze nog werkt. Dat geldt net zo hard voor je bestanden. Maar dus ook voor je encryptiesleutel. Daarom zullen die tutorials er zo op hameren gok ik. Een encryptiesleutel of een password-database is trouwens dermate klein dat je deze nooit overschrijft in je backup, maar elke keer dat deze gebackupt wordt een nieuwe kopie maakt. Dan zal elke opgeslagen versie op elke locatie corrupt moeten zijn voordat je er niks meer mee kan.

Encryptie zou ik persoonlijk altijd toepassen op alle data die je huis verlaat, en dat doe ik tegenwoordig ook voor alle data binnenshuis. Zo heb je bijvoorbeeld geen issues als je een opslagmedium voor garantie moet opsturen en het niet meer overschrijfbaar blijkt.

dinsdag 23 april 2024 16:51

Acties:

0 Henk 'm!

honey

Topicstarter

Tweakert2020 schreef op dinsdag 23 april 2024 @ 16:17:
Ik denk dat we elkaar redelijk goed begrijpen

Wat voor fotografie doe je, evenementen of iets anders. Overigens is het volgens mij niet zo omdat het externe bedrijf geen eisen stelt dat die er voor jou niet zijn.

Maar wat betreft encryptie en cloudopslag heb ik zelf geen goed gevoel bij Mega, maar dat is denk ik ongefundeerd.

Hoe wil je de backup van je bestanden naar Mega gaan doen?
Ben zelf wel redelijk fan van Synology C2 Backup (of OneDrive als een goede 2e) omdat deze een goede integratie hebben met Synology zelf.

Voor zover ik heb kunnen achterhalen is de volume encryptie van Synology een beetje een wassen neus wanneer je NAS wordt gestolen. Je volume decrypt automatisch zodra je je NAS aanzet omdat de key in een local Encryption Key Vault staat.

Maar los daarvan download je de recovery key welke je dus ergens moet bewaren mocht je hem nodig hebben om te decrypten.

Maar voor mijn gevoel heb je ondanks dat het foto's zijn niet echt gevoelige data wat encryptie "rechtvaardigt".

Het gaat ook om foto's en films van modellen, variërend van portret en fashion tot glamour en naakt. Grotendeels ook in opdracht gemaakt. Dit zijn wel gevoelige gegevens voor de personen die in de media verschijnen.

Ik heb me verdiept in de geschiedenis van Mega, dat is waar veel mensen over vallen geloof ik, maar over het algemeen lijken ze verder wel betrouwbaar en bieden gunstige opties voor grote hoeveelheden data. Je kunt nooit volledig zeker zijn. Helaas is het voor klanten niet mogelijk om betrouwbaarheid zelf te controleren.

Wat Synology C2 Backup betreft, moet ik hier nog verder naar kijken. Het zou handig zijn als zij zero-knowledge, end-to-end encryptie bieden, maar ik zal dit nog moeten nakijken.

De volume decrypt automatisch zodra je je NAS aanzet omdat de key in een local Encryption Key Vault staat.

Ik gebruik de Encryption Key Vault-optie voor zover ik weet niet. Ik heb het in ieder geval niet geactiveerd onder CMS. Je kunt dus als je de NAS zou stelen het zonder problemen aansluiten op een andere PC?
Eerlijk gezegd begrijp ik dit deel nog onvoldoende, aangezien het mijn eerste NAS is en ik nog veel moet uitzoeken.

Specs van pc

dinsdag 23 april 2024 17:00

Acties:

0 Henk 'm!

honey

Topicstarter

DataGhost schreef op dinsdag 23 april 2024 @ 16:48:
Een backup is geen backup zonder regelmatige tests of deze nog werkt. Dat geldt net zo hard voor je bestanden. Maar dus ook voor je encryptiesleutel. Daarom zullen die tutorials er zo op hameren gok ik. Een encryptiesleutel of een password-database is trouwens dermate klein dat je deze nooit overschrijft in je backup, maar elke keer dat deze gebackupt wordt een nieuwe kopie maakt. Dan zal elke opgeslagen versie op elke locatie corrupt moeten zijn voordat je er niks meer mee kan.

Encryptie zou ik persoonlijk altijd toepassen op alle data die je huis verlaat, en dat doe ik tegenwoordig ook voor alle data binnenshuis. Zo heb je bijvoorbeeld geen issues als je een opslagmedium voor garantie moet opsturen en het niet meer overschrijfbaar blijkt.

Dat klopt helemaal. Ik heb dit nooit goed gedaan en weet eerlijk gezegd ook niet goed hoe ik de data op de HDD's kan controleren. Daarom kon bitrot ook ongemerkt insluipen. Recentelijk heb ik geprobeerd een hash-database te creëren met SyncBackPro, maar zelfs een simpele controle kost meerdere dagen als je veel data hebt. Dat is ook niet ideaal.

De NAS pakt dit slimmer aan met 'Data Scrubbing' en checksum-controle, geloof ik.

Specs van pc

dinsdag 23 april 2024 19:19

Acties:

0 Henk 'm!

Tweakert2020

honey schreef op dinsdag 23 april 2024 @ 16:51:
[...]

Het gaat ook om foto's en films van modellen, variërend van portret en fashion tot glamour en naakt. Grotendeels ook in opdracht gemaakt. Dit zijn wel gevoelige gegevens voor de personen die in de media verschijnen.

Ik heb me verdiept in de geschiedenis van Mega, dat is waar veel mensen over vallen geloof ik, maar over het algemeen lijken ze verder wel betrouwbaar en bieden gunstige opties voor grote hoeveelheden data. Je kunt nooit volledig zeker zijn. Helaas is het voor klanten niet mogelijk om betrouwbaarheid zelf te controleren.

Wat Synology C2 Backup betreft, moet ik hier nog verder naar kijken. Het zou handig zijn als zij zero-knowledge, end-to-end encryptie bieden, maar ik zal dit nog moeten nakijken.

[...]

Ik gebruik de Encryption Key Vault-optie voor zover ik weet niet. Ik heb het in ieder geval niet geactiveerd onder CMS. Je kunt dus als je de NAS zou stelen het zonder problemen aansluiten op een andere PC?
Eerlijk gezegd begrijp ik dit deel nog onvoldoende, aangezien het mijn eerste NAS is en ik nog veel moet uitzoeken.

Ik snap je reden om te encrypten, zeker je externe backups. Je backup wordt ge-encrypt op je NAS voordat het verstuurd wordt, dus dat zit qua veiligheid wel snor.

Hyper Backup performs client-side encryption during backup, making data unreadable before they leave the server or network. Synology employs the AES-256 encryption standard for data transmission and storage.

Een lokale Encryption Key Vault gebruik je sowieso als je encryptie gebruikt.
Deze video is denk ik wel interessant voor je: YouTube: Full Volume Encryption - The MOST Exciting Feature on Synology DSM 7.2

Wat betreft het stelen; ja dit kan in, dit wordt ook nog in bovenstaande video besproken. Of het waarschijnlijk is dat dit gebeurt is een tweede.

Heb je trouwens rechtstreeks met de modellen of de opdrachtgevers besproken wat er met de foto's moet gebeuren? Hoe lang je ze moet bewaren etc? Zijn hun in principe eigenaar of jij?

[ Voor 8% gewijzigd door Tweakert2020 op 23-04-2024 19:24 ]

dinsdag 23 april 2024 20:11

Acties:

+1 Henk 'm!

honey

Topicstarter

Tweakert2020 schreef op dinsdag 23 april 2024 @ 19:19:
[...]

Heb je trouwens rechtstreeks met de modellen of de opdrachtgevers besproken wat er met de foto's moet gebeuren? Hoe lang je ze moet bewaren etc? Zijn hun in principe eigenaar of jij?

Dank voor de links. Zal het bekijken.

Wanneer ik werk 'in opdracht', heb ik meestal direct contact met de modellen zelf. Slechts af en toe is er een bureau of bedrijf betrokken en maken we duidelijke afspraken over het eigendom. Van het meeste materiaal bezit ik de auteursrechten. Ik bewaar alles tot ik er zelf niet meer ben.

maar, geen afspraken over gemaakt. Beelden die in opdracht zijn gemaakt, publiceer ik niet, omdat de portretrechten bij de modellen liggen, en stukje vertrouwen.

Specs van pc

dinsdag 23 april 2024 21:20

Acties:

+1 Henk 'm!

Tweakert2020

honey schreef op dinsdag 23 april 2024 @ 20:11:
[...]

Dank voor de links. Zal het bekijken.

Wanneer ik werk 'in opdracht', heb ik meestal direct contact met de modellen zelf. Slechts af en toe is er een bureau of bedrijf betrokken en maken we duidelijke afspraken over het eigendom. Van het meeste materiaal bezit ik de auteursrechten. Ik bewaar alles tot ik er zelf niet meer ben. maar, geen afspraken over gemaakt. Beelden die in opdracht zijn gemaakt, publiceer ik niet, omdat de portretrechten bij de modellen liggen, en stukje vertrouwen.

Ik heb je trouwens een PB gestuurd

Pagina: 1

Reageer