HDDs verschlüsseln oder nicht?

  • Hallo und guten Morgen zusammen,

    wie vor einiger zeit in der Shoutbox angekündigt... hier der "Diskussionsthread" dazu... :)
    Kurz zum abholen,
    ich hatte in der Shoutbox gefragt, wie es sich mit der XFS Verschlüsseung in Unraid verhält, dann wurde mir eher "abgeraten", oder eben "nicht empfohlen" die HDDs zu verschlüsseln...
    Also, wird beim Starten des Arrays dann nach einem Passwort gefargt, wie ist es nach dem Standby, und wie ist es nach einem Server-Neustart?

    Dann hatte ich irgendwo einen, ich glaube reddit, link gefunden, der zumindest geklärt hatte,
    welche Verschlüsselung genutzt wird...
    Was ich in der 10 minütigen Google-Suche erfahren habe
    Es wird in Unraid, bei XFS mit "LUKS" verrschlüsselt, im Endeffekt, um es knapp zu halten, und hoffentlich keine Falsch-Information, Funktioniert es wie BITLOCKER (das dürften die meisten kennen) unter Linux.
    Sprich, es wird auf das XFS Dateisystem einfach eine Verschlüsselung (Passphrase, oder Keyfile) drüber gelegt...

    Nun würde ich gerne bissl "schnabulieren" darüber...


    Wozu das ganze?
    naja, ich habe mir gedacht, da sich langsam die alten Unraid HDDs türmen, auf Grund von Aufrüstungen....
    Wenn die verschlüsselt gewesen wären, könnte man sie trotz "privater Datennutzung" verkaufen.
    Da, selbst wenn die Daten wiederhergestellt werden würde, derjenige nichts mit anfangen könnte, da verschlüsselt...

    So ne 10 TB Festplatte die im Schrank vergammelt, nutzt keinem was.
    Und im Bekanntenkreis verteilen ist auch "doof", da die dann vielleicht doch irgendwann irgendwo im Müll (oder eBay) landet, und wie es der Zufall will (so einer bin ich auch), schaut der Käufer erstmal, was war denn vorher drauf...


    Also, legt los...
    Warum nicht verschlüsseln?
    Angst vor Datenverlust wenn was schief geht?
    Ich denke, LUKS, oder LUKS2 (welches genutzt wird, keine Ahnung), sollte stabil genug sein...
    Zumindest bin ich ja nicht der einzige der seine Dateien verschlüsseln möchte... ;)
    Passwort oder so vergessen, naja... Selbstschuld :D

  • Es kann zuviel schief gehen, es braucht Performance und damit Strom, es ist im privaten Umfeld bei Stationären Geräten schlicht unnötig.

    Wenn es dir nur darum geht HDD's weiterzuverkaufen dann lass Sie einmal nullen. Das geht an nem SATA Anschluss recht schnell und ist vollkommen ausreichend damit niemand den Inhalt der HDD's wiederherstellen kann.

    Und wenn es darum geht das die Polizei bei einer Durchsuchung nichts findet: Bei nem normalen Menschen braucht es sicher keine Wochenlangen Beugehaft bis er das Passwort raus gibt.

  • Fuer mich war der GAU halt die Platte mit allen privaten Daten, also alle finanzdaten, emails, passwoerter babyphotos, etc. pp. SSD. Und die ist innerhalb der Garantiezeit kaputtgegangen. Und zwar auf Read-Only gesprungen. Habe auch mit allen Arten von SCSI Kommandos nicht hinbekommen, das die sich nullt. UNd selbst wenn. Wer vertraut einem Nullen von SSD Firmware die kaputt ist ?

    Wenn ich die jetzt zum Austausch zum Hersteller zurueckgeschickt haette, dann waere das nicht so abwegig gewesen (IMHO) zu vermuten, das der Hersteller die ganzen zurueckgeschickten Platten zu einem Schrottverwerter weitergibt, und dort jemand so eine Platte zufaellig an die Heise Redaktion schickt, damit dann meine Babyphotos in einer c't Geschichte landen.

    Aka: einmal 100 Euro verloren, weil ich halt die Platte nicht zurueckgeschickt habe, und deswegen auch keinen Ersatz bekommen habe.

    Keine Ahnung, was da bei UnRaid empfehlbar ist, weil ich das nicht einsetze. Ich wuerde aber auf jeden Fall nur was nehmen, was ein separater verschluesselungslayer ist, unabhaengig vom filesystem. Das sollte stabil, alt, bekannt sein. also ext4 oder NTFS. Ich hab halt immer truecrypt genommen, jetzt halt veracrypt. Geht das mit UnRaid ?

  • Veracrypt Container kannste auf jeder Platte erstellen. Vollverschlüsselung mit Veracrypt geht soweit ich weiss unter unRaid nicht.

    Ist aber auch nicht so das LUKS ein neues Projekt ist, das ist inzwischen auch 18 Jahre alt und kann als weithin getestet und Stabil angesehen werden.
    Ich würde trotzdem nur die wirklich wichtigen Dateien (statt das ganze RAID) verschlüsseln und von denen ggf. auch unverschlüsselte Backups an sicheren orten hinterlegen.

    Die RAID Vollverschlüsselung ist mMn eher etwas für Unternehmen die es sich auch leisten können das gesamte RAID zu backuppen oder für Leute die so paranoid sind und denken jederzeit könnte die Staatsmacht bei Ihnen vor der Tür stehen, wegen was auch immer.

  • Also ich habe mein Array seit 2 oder 3 Jahren verschlüsselt und habe NULL Probleme.

    Da CPU´s heutzutage die Verschlüsselung hardwareseitig unterstützen, kann ich auch nicht über Performanceeinbrüche klagen. ;)

    95% aller Computerfehler sitzen vor dem Bildschirm!

  • Hast du btrfs (oder wie das heißt) oder XFS?

    und ist es so wie beschrieben?
    Passwort Eingabe nach dem server start?
    Also, man muss dann das Array manuell starten nach einem server Neustart?
    Oder ist das Passwort irgendwie gespeichert und er startet das Array dann automatisch neu?


    Edit: erst einmal danke an die bisherigen Antworten!

  • Hast du btrfs (oder wie das heißt) oder XFS?

    XFS

    Passwort Eingabe nach dem server start?

    Yep

    Also, man muss dann das Array manuell starten nach einem server Neustart?

    Yep

    Oder ist das Passwort irgendwie gespeichert und er startet das Array dann automatisch neu?

    Kannst wohl auch ein Keyfile hinterlegen, was dann vermutlich auch nach dem Start geladen wird. Meine Kiste geht aber eh nur in den Standby. ;)

    Afaik ist Luks das drunterliegende FS egal. Ich würde aber XFS nehmen da es gereifter ist.

    So ist es. ;)

    95% aller Computerfehler sitzen vor dem Bildschirm!

  • mein Server geht auch in den Standby, nur falls mal Stromausfall war, geht er dann wieder automatisch an.
    Muss ich dann nur wissen, dass dann erstmal nichts an Aufnahmen gehen würde, weil das Array nicht gestartet ist.

    gut zu wissen.


    Jetzt nur die Frage, ja oder nein :D
    Also, machen oder nicht machen …
    Nutze aktuell einen i5 7400… denke der sollte das auch stemmen können oder Performance Einbußen…


    Umändern von nicht verschlüsselt auf verschlüsselt, naja, ist halt ne kopiererei und ich bräuchte mindestens eine leere HDD um dann die Daten nacheinander zu kopieren und die HDDs dann verschlüsselt einzubinden… :D

  • Nutze aktuell einen i5 7400… denke der sollte das auch stemmen können oder Performance Einbußen…

    Also bei mir werkelt ein popeliger 4Kern-Celeron und der hat damit überhaupt keine Probleme.

    Der Migrationsprozess ist natürlich etwas auffwendiger, da Du alle Daten erst in Sicherheit bringen musst, dann das Array plattmachen und die Verschlüsselung aktiveren und anschließend alle Daten zurückschreiben muss.

    Da ging das mit der Bitlocker Verschlüsselung auf meinem Notebook während des laufenden Betriebs einfacher. ;)

    95% aller Computerfehler sitzen vor dem Bildschirm!

  • Meine 10 Platten sind alle mit LUKS/DM-Crypt verschlüsselt und mittels LVM zu einem Riesen-Laufwerk zusammengefaßt.
    Es besteht die Möglichkeit, das Paßwort auf einem USB-Stick zu hinterlegen, dann erspart man sich das lästige Eintippen.
    Ich habe es noch genialer gelöst: [ag]
    Mittels https://github.com/stupidpupil/https-keyscript ist das Paßwort bzw. die notwendige Datei auf einem Webserver hinterlegt. Beim Start der NAS stellt diese die Verbindung her, ruft das Paßwort ab, entschlüsselt die Festplatten und setzt dann den Boot-Prozeß fort.
    Falls also die Staatsmacht den Rechner beschlagnahmt, kann ich zwischenzeitlich von meiner Internet-Seite das Paßwort löschen, so daß die NAS im Leeren sucht [ap]
    Ich bin halt voll der Fuchs... ;) [cz] [cd] [ca]
    (Performance-Probleme kann ich übrigens trotz Celeron-Prozessors nicht feststellen).

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!