Vragen over encryptie

[Snipes]

Ik heb onlangs mijn DS212+ vervangen door een DS218+.

Nu had ik op de oude geen encryptie en heb ik op de nieuwe een nieuwe shared folder aangemaakt die ik encrypt heb. Ik had voor Machine Key gekozen, omdat ik dacht dat auto mounten handig was.
Heb gelezen dat dat dus niet zo veilig is. Nu heb ik auto mounten uitgezet.
Maar de Machine Key staat nog steeds in de key manager.

Is het mogelijk om deze Machine Key om te zetten naar een Passphrase? Of moet ik de map verwijderen, opnieuw aanmaken en opnieuw encrypten?
Ik zie alleen een optie om de key te verwijderen. Maar als ik dat doe, dan kan ik de schijf toch niet meer decrypten?

En als ik dan eenmaal een Passphrase heb, is er ergens een handleiding hoe ik de data kan decrypten zonder een Synology NAS of DSM?
Heb deze gevonden
https://robertcastle.com/2012/10/howto-recover-synology-encrypted-folders-in-linux/
maar niet getest of dit werkt. Zodra mijn encryptie goed is ingesteld, ga ik een backup maken naar USB disk en proberen om die te decrypten.

Ik werk op een Linux (Manjaro)  laptop, maar heb ook Windows 10 beschikbaar.

Heb op Tweakers.net, de Synology site en dit forum gekeken, maar kom er nog niet uit.

[Birdy]

Is het mogelijk om deze Machine Key om te zetten naar een Passphrase?

Die optie zie ik niet.

Ik heb even een testje gedaan, encrypted map "effe"gemaakt:

Ik zie alleen een optie om de key te verwijderen. Maar als ik dat doe, dan kan ik de schijf toch niet meer decrypten?

Bedoel je hier de key verwijderen ?



Zo ja, ik heb "effe" verwijderd, m.b.t.:

Maar de Machine Key staat nog steeds in de key manager.

De map is nog steeds encrypted en kan deze unmounten en mounten met het encryption key:

[Snipes]

Thanks voor het uitproberen.

Ik dacht dat de key dus op de schijf zelf (voor automount) of op een USB stick moest staan (die je dan elke keer er in moet doen om te mounten). En dat de export functie was om de key ergens anders op te slaan (USB stick of andere machine).

En dat als je de key van de schijf af gooit de schijf niet meer gedecrypt kon worden, omdat je de key niet meer hebt (daarvoor is toch een sleutel?). Daarom durfde ik hem niet weg te halen.
Of is de key nodig om de schijf op een andere machine (bijvoorbeeld een laptop) te decrypten?

Ik heb de key nu weggegooid. En alles lijkt te werken.
Ik begrijp het gebruik van de key niet helemaal.

Trouwens:
Bij het toevoegen van een key kan je bij Cypher alleen voor Machine Key kiezen. Maar bij het vraagteken naast de key staat dat je met Machine Key de key alleen op deze NAS kan decrypten, terwijl je met een Passphrase de key overal kan decrypten. Maar Machine Key is de enige optie.
Is dat een bewuste keuze van Synology geweest?

[Birdy]

En dat als je de key van de schijf af gooit de schijf niet meer gedecrypt kon worden, omdat je de key niet meer hebt (daarvoor is toch een sleutel?)

Als je de key niet meer weet, dus het password, dan kan je de <map>.key importeren.

Is dat een bewuste keuze van Synology geweest?

Misschien wel, je zou dit kunnen vragen.

[Snipes]

Als je de key niet meer weet, dus het password, dan kan je de <map>.key importeren.

Aha, nu snap ik de relatie tussen het password en de key.
Hartstikke bedankt voor de info.
Ik ga dan maar de key opslaan op een andere machine en ze allemaal van de NAS af halen.

Als ik van de week tijd over heb, dan ga ik proberen om met Hyper Backup een 1 op 1 backup te maken en dan zonder NAS en DSM mijn encrypted folder te decrypten met de key. Als ik daar niet uitkom, dan zien jullie mij weer hier terug

[Briolet]

Normaal wordt een wachtwoord in een hash omgezet. Een hash is een asymetrische encryptie die maar 1 kant op werkt zodat het heel veel rekenkracht kost om de hash terug te vertalen naar een wachtwoord.

Voor een auto opstart is het dus goed dat er geen wachtwoord op de nas hoeft te staan, maar alleen de hash. (Dat gebeurd ook met alle gebruikers wachtwoorden)

De key-file is dus de hash van je wachtwoord. Als die in verkeerde handen valt, kunnen ze er nog niet uit afleiden welk wachtwoord je gebruikt. (ze kunnen bij het mounten wel direct de hash zelf gebruiken, maar als je hier voor toevallig ook je inlog wachtwoord voor DSM gebruikt, loop je net iets minder risico. Beter is het om hier echt een ander wachtwoord te gebruiken dan je inlog wachtwoord.