Anmelden mit
Registrieren | Anmelden

NAS, aber sicher: Verschlüsselung durchgetestet

NAS, aber sicher: Verschlüsselung durchgetestet
Von

Die NAS-Spezialisten Qnap, Synology und Thecus bieten allesamt komfortable NAS-Server auf Atom-Basis mit großem Funktionsumfang. Die Verschlüsselungsunterstützung variiert jedoch und zeigt Performance-Schwächen.

Netzwerkspeicher der gehobenen Geräteklasse bieten oftmals die Möglichkeit, gespeicherte Daten zu verschlüsseln. Je nach Hersteller werden hier unterschiedliche Ansätze verfolgt, die eine Verschlüsselung entweder auf Partitions- oder Dateiebene erlauben. Da eine solche Funktion das Interesse vieler geschäftlicher Anwender weckt, haben wir uns die Verschlüsselungsfunktionen auf den NAS-Geräten TS459 Pro von Qnap, DS1010+ von Synology und N4200 von Thecus angeschaut.


Beschleunigung durch dedizierte Kryptographie-Einheit?

Die in diesem Test verwendeten NAS-Geräte setzen alle auf das symmetrische Kryptosystem AES (Advanced Encryption Standard) mit einer Schlüssellänge von 256 Bit, das gemeinhin als sehr sicher gilt und sowohl industrieweit als auch von Behörden in verschiedenen Bereichen eingesetzt wird. So ist AES zum Beispiel in den USA für die Verschlüsselung staatlicher Dokumente zugelassen und auch USB-Sticks oder Festplatten verschiedener Hersteller können mit einer Verschlüsselung nach dem AES-Standard aufwarten. Da die Verschlüsselung von Daten einen hohen Rechenaufwand erfordert, finden sich in den letztgenannten Geräten häufig spezielle Prozessoren, die für den Ver- und Entschlüsselungsvorgang zuständig sind. Dies beschleunigt den Kryptographievorgang erheblich.

Wie stark sich eine solche in Hardware implementierte Kryptoraphie-Einheit auf die Geschwindigkeit des Ver- bzw. Entschlüsselungsvorgangs auswirkt demonstriert der Prozessorhersteller Intel eindrucksvoll mit der Prozessorerweiterung AES New Instructions (AES-NI), die unter anderem Einzug in die Core i5 Desktop-Prozessoren mit 32 nm Clarkdale-Kern sowie den überaus teuren Extreme Edition Prozessor Core i7 980X hielten. Nähere Informationen hierzu sowie zur AES-Verschlüsselung lassen sich dem Artikel »Core i5: Clarkdale AES-Verschlüsselung analysiert« entnehmen.

Intel Atom: Leistungseinbußen vorprogrammiert

An diesem Punkt, um wieder auf die NAS-Geräte zurückzukommen, offenbart sich auch einer der größten Nachteile bei der Verschlüsselung von Daten direkt auf dem Netzwerkspeicher. Keines der getesteten Geräte von Synology, Thecus und Qnap verfügt über eine dedizierte Hardware-Kryptographie-Eineit die sowohl für das Ver- als auch das Entschlüsseln zuständig ist. Diese Arbeitslast muss daher vom System-Prozessor erledigt werden, der bei allen drei Geräten in Form eines Intel Atom D510 präsent ist und nicht über die weiter oben erwähnten Intel AES-NI verfügt.

Dieser Dual-Core Prozessor leistet bei der Berechnung von XOR-Operationen für das RAID-System der Netzwerkspeicher zwar recht gute Dienste, was sich teilweise in Datenübertragungsraten im Gigabit-Netzwerk von 100 MB/s und mehr niederschlägt. Es dürfte aber auch klar sein, dass bei der zusätzlichen Durchführung von prozessorintensiven Kryptographie-Berechnungen die Netzwerkperformance leidet. Wie stark sich dies auswirkt und wie die Einrichtung der Verschlüsselung im Detail vorgenommen wird, lesen Sie auf den folgenden Seiten.

Experten im Forum befragen

Zu diesem Thema einen neuen Thread im Forum Artikel erstellen.

Beispiel: Notebook, Festplatte, Speicher

Alle 8 Kommentare anzeigen.
Auf dieser Seiten können keine Kommentare mehr abgegeben werden
Sortieren nach: Neueste zuerst | Älteste zuerst
  • marcolb , 8. Juli 2010 08:28
    Mit Sicherheit langsam ;-)
  • lrlr , 8. Juli 2010 09:31
    nicht vergessen sollte man, dass durch verschlüsseltes speichern, die daten nicht automatisch "sicher" sind...

    sondern nur gegen (physikalischen) Diebstahl geschützt..

    über das netzwerk (samba, ftp usw. ) werden die daten weiterhin unverschlüsselt gesendet...

    die frage ist dann noch, ob man das backup von diesen daten auch verschlüsselt speichert (vorteil: "sicher", nachteil: sicher weg, wenn man den key verliert oder derjenige der in weiß, z.b. stirbt...)

  • Anonymous , 8. Juli 2010 11:45
    Hmmm komisch... Da liefert mein Sambaserver aber bessere Werte und das bei einem P3 800 Mhz und 512 MB Ram. Eingebunden ist eine 1 TB Platte Platte (ohne Raid) mit AES-256 Bit Verschlüsselung, 64 stelligem PW und einem 512 Byte großem Keyfile erstellt mit Truecrypt und ich komme im schnitt über die 25 MB/s. Als OS dient Debian Sarge. Vermutlich liegen die Performance-Einbrüche an dem "Fake Raid". Ist auch sehr schön den Graphiken zu entnehmen. Danke für den Test
  • Anonymous , 9. Juli 2010 11:34
    Schöner und sachlicher Test. Vielen Dank.

    "Die Implementierung einer dedizierten Hardware-Crypto-Einheit kann sich auf die Datenübertragungsraten nur positiv auswirken."

    Testet doch mal von Synology die DS210+, denn die hat genau den Crypto-Chip der die Sache hoffentlich schneller macht.
  • Anonymous , 2. August 2010 14:35
    Hi
    Ich hab ein Improvisiertes NAS win7 mit truecrypt verschlüsselt auf Einem POV Intel d510 Mainboard und 2gb ram.
    und komme beim Truecrypt benchmark schon auf 65MB/s
    Das Mainbord und der Ram kosteten bloß 125€ gehäuse, Netzteil und FP hatte ich schon.

    Ich denke das bei diesen fertig Nas noch n wurm in der verschlüsselung ist. Und ichso wesentlich leistungsfähiger bin.
  • nureinleser , 29. Januar 2012 21:05
    Der in TrueCrypt eingebaute Benchmark liefert doch nur die Performance des Algorithmus... alles im RAM... da bleibt die Disk-Performance komplett außen vor.
    Somit glaube ich, dass die 65MB/s nicht besonders gut mit den Testergebnissen hier vergleichbar sind.
    (nichtsdestotrotz finde ich die Rate der NAS Geräte auch leider ein bissel lahm...)
  • jk-concept , 7. Februar 2012 10:03
    Meiner Meinung nach sollte der Artikel auch auf softwarebasierte Lösungen hinweisen.
    Der Einsatz einer Containerverschlüsselung (so wie bspw. Truecrypt) ist oft unpraktisch, da stets nur ein Nutzer gleichzeitig auf den Container zugreifen kann.
    Abhilfe schaffen Verschlüsselungstechnologien, die transparent einzelne Dateien auf Netzlaufwerksebene verschlüsseln. Auf dem Weg vom Client zum Server (in diesem Falle NAS) sind die Daten dabei bereits verschlüsselt.

    Ich weiße auf diese Möglichkeit der Verschlüsselung hin, da wir einige Lösung getestet haben. In vielen Fällen sind sie praktischer als Container oder komplette Festplattenverschlüsselungen.

    Ein weiterer Vorteil ist, dass der Systemadministrator nicht zwingend in der Lage sein muss die Dateien zu entschlüsseln. Jedoch kann er weiterhin seinen Dienst tun: Die Daten verwalten und sichern. Die Verwaltung des Zugriffs auf die verschlüsselten Dateien verbleibt beim "Eigentümer" (Bspw. Vorstand usw.). Weiterhin lassen sich einige Lösungen mit Cryptotoken oder USB-Stick erweitern.

    Beispiele hierfür wären:
    SECURSTAR - ShareCrypt - www.securstar.de
    Digitronic - Crypted Group Share - www.digitronic.net
    HiCrypt - www.hicrypt.de
  • undkonsorten , 16. Februar 2013 11:26
    Wir haben es ein verschlüsseltes NAS mit Ubuntu aufgesetzt:
    http://blog.undkonsorten.com/nas-ubuntu-luks-zfs-raid-verschluesselt