a-nagy-nas-titkositasi-osszehasonlitas

A nagy NAS-titkosítási összehasonlítás

2023. február 12. Fenes Kristóf Adattárolás

Mivel az elmúlt időszakokban egyre több NAS-márka terméke fordult meg nálunk, úgy éreztük, érdemes egy kicsit utánajárni az egyes márkák titkosítási hatékonyságának. Ebben a cikkben a QNAP, az Asustor és a Synology titkosításimegoldásait fogjuk összevetni.

Titkosítási típusok

Még mielőtt összehasonlítanánk az egyes márkák képességeit, érdemes megvizsgálni azt, hogy milyen titkosítási lehetőségek érhetők el az egyes gyártóknál, valamint azt, hogy milyen formában kerülnek tárolásra a titkosítási kulcsok. Mindhárom márkában közös, hogy AES-256 titkosítást ígérnek, azonban annak implementálása jelentősen eltérhet. A NAS-oknál általánosságban 3 különböző típusú titkosítást használnak:

  • Önmagukat titkosító meghajtók (SED): A SED-titkosítás csak bizonyos NAS-modelleken elérhető, ráadásul csak kevés gyártó támogatja azokat. A SED hardveres titkosítást biztosít a támogatott meghajtókhoz. Egyaránt lehet használni külön meghajtókhoz, valamint tárolókészletekhez is, így lehetővé teszi a teljesen titkosított tárolókészletek létrehozását is. A SED-titkosítás egy gyengébb védelmi réteget hoz létre a támogatott meghajtóknál, nincs negatív hatással a teljesítményre, azonban a biztonsági szempontból erősen limitált, főleg akkor, ha a titkosítási kulcsok a NAS-on kerülnek tárolásra.
  • Teljes tárolólemezes vagy kötetes titkosítás: Ez a legtöbb QNAP NAS-modellben elérhető, továbbá az Asustor My Archive lemezek is támogatják. A titkosítás szoftveres alapú, külön meghajtókra is alkalmazható. Az eljárás lemezeket vagy statikus köteteket (Asustor My Archive) tud titkosítani, de QNAP NAS-ok esetén a többlemezes tárolókészletekben található kötetek titkosítására is alkalmas. A hátránya az, hogy negatívan befolyásolja a teljesítményt, azonban a lassulás nem olyan mértékű, mint a mappa-alapú titkosításnál.
  • Mappa alapú titkosítás: Ezt a megoldást elsősorban a Synologynál figyeltük meg először, azonban az Asustor és néhány QNAP NAS is használja. A megoldás alapja minden esetben az eCryptFS, azonban a titkosítókulcs tárolásának módja gyártónként változik.

Titkosítókulcsok

A legtöbb NAS gyártó lehetővé teszi, hogy a NAS-ok titkosítókulcsait az eszközön tárolhasd, így az automatikusan a boot során fel tudja oldani a titkosított adatokat (vagy olyan esemény során, mint egy USB-meghajtó csatlakoztatása vagy eltávolítása). A titkosítókulcsok többféleképp menedzselhetők:

1. Interaktív

    A legegyszerűbb és legbiztonságosabb megoldás. A titkosítókulcsok ebben az esetben nem a készüléken kerülnek tárolásra, továbbá minden alkalommal, amikor a felhasználó titkosított lemezt vagy kötetet szeretne használni, a feloldókulcsot manuálisan kell megadnia. Ezt a megoldást mindhárom gyártó támogatja.

    2. Bináris kulcs

      (Más néven helyreállítási kulcs) A legtöbb gyártó lehetővé teszi azt, hogy a bináris titkosítókulcsot egy fájl tartalmaként exportálhasd. A titkosítást manuálisan lehet feloldani a fájl feltöltését és kiválasztását követően.

      3. Tárolás eszközön

        Ezzel az eljárással a titkosítási kulcsok magán azközön kerülnek tárolásra (nem a lemeztárolókon vagy az eltávolítható meghajtókon). Erre általában az integrált DOM-vezérlőt (egy SATA chip az alaplapon) használják. A QNAP például ezt a megoldást használja, az Asustor esetén viszont ebben nem vagyunk teljesen meggyőződve. Ennél a megoldásnál, ha a tárolókat egy másik NAS-ba helyezzük, azokon az üzembe helyezés során újból be kell írni a feloldókulcsot.

        4. Tárolás lemezeken

          Ezt a módszert elsősorban a Synology használja (a rendszerpartícióra menti a kulcsot, amelyet az összes többi másik lemezre is átmásol), az Asustor esetén nem tudtunk utánajárni, hogy használják ezt. Ebben az esetben, ha a titkosított lemezeket egy másik NAS-ba (akár másik modellbe) helyezzük át, az adatokat továbbra is fel lehet oldani anélkül, hogy mesterjelszót vagy feloldókulcsot igényelnének. Ebből adódóan ez a legkevésbé biztonságos eljárás.

          5. Tárolás USB-eszközön

            A titkosítókulcsok ebben az esetben egy USB-eszközön is tárolhatók, például egy pendriveon. A Synology DSM ennél a megoldásnál egy extra jelszót kér a feloldáshoz a kulcsok további védelme érdekében. Ez az extra jelszó opcionálisan a merevlemezeken is eltárolható a titkosított adatok automatikus feloldásához. Azonban ilyen esetben mind a lemezeknek, mind pedig az USB-eszköznek jelszó használata nélkül is hozzá kell férnie az adatokhoz. Az Asustor a My Archive kötetek feloldását az USB-eszköz S/N-azonosítójához tudja kötni (így nincs szükség semmilyen adat tárolására a lemezeken vagy az USB-eszközön.)

            Összehasonlítás

            • FDE – teljes tárolólemezes vagy kötetes titkosítás
            • FBE – mappa alapú titkosítás
            • SED – önmagukat titkosító meghatók

            Synology

            QNAP

            Asustor kötetek

            Asustor My Archive

            FDE

            -

            LUKS

            -

            LUKS

            FBE

            eCryptFS

            eCryptFS

            eCryptFS

            -

            SED

            -

            +

            -

            -

            Meglévő adatok titkosítása

            +

            FBE
            SED

            +

            -

            Meglévő titkosított adatok feloldása

            +

            FBE

            +

            -

            Jelszócsere

            -

            FDE
            SED

            -

            ext4: +
            btrfs: -

            Feloldási lehetőségek

            Interaktív

            +

            +

            +

            +

            Bináris kulcs

            +

            +

            +

            +

            Eszközalapú

            -

            +

            ?

            -

            Lemezalapú

            +

            -

            ?

            -

            USB-alapú

            +

            -

            -

            +
            S/N társítással

            Sebezhetőségek

            Kulcsok a lemezeken fix társított azonosítóval

            Kulcsok a DOM vezérlőben

            Tárolt kulcsok

            A társítás az USB-eszköz S/N száma alapján történik (támadások esetén könnyebb feltörni a az S/N fix hossza miatt)

            Megjegyzések:

            1. A DSM Key Manager jelszava (az készülékkulcsokhoz, amelyek az USB-eszközön kerülnek tárolásra) megváltoztatható.
            2. Az Asustor a My Archive köteteket USB-eszközökhöz tudja társítani. Amint az USB-eszköz csatlakoztatásra kerül, a NAS automatikusan feloldja a társított My Archive köteteket. A kötetek addig hozzáférhetők, amíg az USB-eszköz csatlakoztatva van. Ha az USB-eszköz eltávolításra kerül, a kötetek zárolják magukat.
            3. Az Asustor csak az ext4 fájlrendszerbe formázott My Archive kötetek esetén engedi megváltoztatni a jelszót. Btrfs esetén erre nincs lehetőség.


            Összegzés

            3 gyártó termékeit vizsgáltuk meg, és mindnél eltérő megoldásokat fedeztünk fel.

            A QNAP a legátfogóbb védelmi megoldásokat nyújtja mind közül. Néhány kiválasztott modell (beleértve néhány középkategóriás rendszert is) hozzáférést nyújt mind a SED-hez, a kötetek titkosításához (LUKS) és a mappa alapú titkosításhoz (eCryptFS) az összes elképzelhető kombinációban, beleértve ezek rétegzését is. Azonban azt a gyártónál továbbra is homály fedi, hogy miként tárolják a feloldókulcsokat a titkosított adatok automata feloldásához, nincs minden részletesen dokumentálva, valamint azt is meg kell említenünk, hogy a NAS-ok rendkívül lassan kezeli a titkosított köteteket (5 perc a kötetek leválasztása és csatlakoztatása, 10 perc a jelszócsere). Mindezek ellenére akárhogy nézzük mivel a különböző megoldások rétegezhetők egymással, valamint az, hogy a feloldókulcsok biztonságos helyen kerülnek tárolásra talán a legbiztonságosabbá teszi a QNAP NAS-okat a 3 márka közül.

            Az Asustor támogatja a teljes tárolólemezes titkosítást (LUKS) a My Archive köteteken, valamint a mappa alapú titkosítást (eCryptFS) a normál köteteken. A dokumentáció sajnos eléggé szegényes, pláne ha arra vagyunk kíváncsiak, hogyan tárolja a rendszer az automata feloldáshoz a titkosítókulcsokat: lemezalapú vagy eszközalapú tárolás elérhető-e a normál köteteknél? A My Archive USB-eszközös S/N-hez társított feloldókulcsainál szintén fennáll annak a veszélye, hogy a szériaszámok meghatározott hosszából és kombinációjából adódva talán könnyebb azt feltörni, mint egy saját, egyedi jelszót, ennek ellenére meglehetősen praktikus megoldás. Persze a feltöréshez tudni kell először, hol tárolja az automata feloldást engedélyező kulcsokat, aiket szerencsénkre elég jól elrejtettek. A megosztott mappáknál elérhető (eCryptFS) önmagában szintén nem a legcombosabb védelmi megoldás az érzékeny adatok védelméhez, továbbá a jelszóváltoztatás hiánya, valamint a kiszivárgott feloldókulcsok visszahívásának hiánya a normál köteteken enyhén szólva kellemetlen. A My Archive köteteknél legalább elérhető a LUKS titkosítás, ami egy meglehetősen biztonságos eljárásnak számít. Itt viszont továbbra is gyengeségnek számít az USB-eszköz S/N-azonosítójának feltörése, ugyanis az ki tudja kapcsolni a LUKS-titkosítást.

            A Synology kapta a legnagyobb figyelmet a cikk készítése során, ugyanis nekik volt a legátfogóbb (azonban még mindig hiányos) a dokumentációjuk a titkosításhoz. Azonban itt is elég sok dolgot homály fed: hogyan rejti el a titkosítási kulcsokat a rendszer, ha azokat a köteten tárolják, miért fix „$1$5YN01o9y” mesterfeloldót használnak a titkosítási fájloknál, amit egy bizonyos parancsban megadva az illetéktelen behatolók akár a feloldókulcsokat is megszerezhetik. Az ilyeneket megfelelően dokumentálni kellene, ráadásul ez egy rendkívül veszélyes gyengeség, aminek sosem kellett volna, hogy a rendszerbe kerüljön. Az önmagában eCryptFS-re való támaszkodás szintén nem elég biztonsági szempontból, ráadásul itt sem lehet sem jelszót változtatni, sem pedig a kiszivárgott kulcsokat semlegesíteni. Akárhogy nézzük, biztonsági szempontból ezt a Synology sajnos nagyon elszúrta.

            Ha valaki szeretné részletesebben megismerni a titkosítási eljárásokat, az alábbi dokumentumokból tájékozódhat:

            Írta: Fenes Kristóf

            Hasonló bejegyzések: