Die NAS-Spezialisten Qnap, Synology und Thecus bieten allesamt komfortable NAS-Server auf Atom-Basis mit großem Funktionsumfang. Die Verschlüsselungsunterstützung variiert jedoch und zeigt Performance-Schwächen.
Netzwerkspeicher der gehobenen Geräteklasse bieten oftmals die Möglichkeit, gespeicherte Daten zu verschlüsseln. Je nach Hersteller werden hier unterschiedliche Ansätze verfolgt, die eine Verschlüsselung entweder auf Partitions- oder Dateiebene erlauben. Da eine solche Funktion das Interesse vieler geschäftlicher Anwender weckt, haben wir uns die Verschlüsselungsfunktionen auf den NAS-Geräten TS459 Pro von Qnap, DS1010+ von Synology und N4200 von Thecus angeschaut.
Beschleunigung durch dedizierte Kryptographie-Einheit?
Die in diesem Test verwendeten NAS-Geräte setzen alle auf das symmetrische Kryptosystem AES (Advanced Encryption Standard) mit einer Schlüssellänge von 256 Bit, das gemeinhin als sehr sicher gilt und sowohl industrieweit als auch von Behörden in verschiedenen Bereichen eingesetzt wird. So ist AES zum Beispiel in den USA für die Verschlüsselung staatlicher Dokumente zugelassen und auch USB-Sticks oder Festplatten verschiedener Hersteller können mit einer Verschlüsselung nach dem AES-Standard aufwarten. Da die Verschlüsselung von Daten einen hohen Rechenaufwand erfordert, finden sich in den letztgenannten Geräten häufig spezielle Prozessoren, die für den Ver- und Entschlüsselungsvorgang zuständig sind. Dies beschleunigt den Kryptographievorgang erheblich.
Wie stark sich eine solche in Hardware implementierte Kryptoraphie-Einheit auf die Geschwindigkeit des Ver- bzw. Entschlüsselungsvorgangs auswirkt demonstriert der Prozessorhersteller Intel eindrucksvoll mit der Prozessorerweiterung AES New Instructions (AES-NI), die unter anderem Einzug in die Core i5 Desktop-Prozessoren mit 32 nm Clarkdale-Kern sowie den überaus teuren Extreme Edition Prozessor Core i7 980X hielten. Nähere Informationen hierzu sowie zur AES-Verschlüsselung lassen sich dem Artikel »Core i5: Clarkdale AES-Verschlüsselung analysiert« entnehmen.
Intel Atom: Leistungseinbußen vorprogrammiert
An diesem Punkt, um wieder auf die NAS-Geräte zurückzukommen, offenbart sich auch einer der größten Nachteile bei der Verschlüsselung von Daten direkt auf dem Netzwerkspeicher. Keines der getesteten Geräte von Synology, Thecus und Qnap verfügt über eine dedizierte Hardware-Kryptographie-Eineit die sowohl für das Ver- als auch das Entschlüsseln zuständig ist. Diese Arbeitslast muss daher vom System-Prozessor erledigt werden, der bei allen drei Geräten in Form eines Intel Atom D510 präsent ist und nicht über die weiter oben erwähnten Intel AES-NI verfügt.
Dieser Dual-Core Prozessor leistet bei der Berechnung von XOR-Operationen für das RAID-System der Netzwerkspeicher zwar recht gute Dienste, was sich teilweise in Datenübertragungsraten im Gigabit-Netzwerk von 100 MB/s und mehr niederschlägt. Es dürfte aber auch klar sein, dass bei der zusätzlichen Durchführung von prozessorintensiven Kryptographie-Berechnungen die Netzwerkperformance leidet. Wie stark sich dies auswirkt und wie die Einrichtung der Verschlüsselung im Detail vorgenommen wird, lesen Sie auf den folgenden Seiten.
sondern nur gegen (physikalischen) Diebstahl geschützt..
über das netzwerk (samba, ftp usw. ) werden die daten weiterhin unverschlüsselt gesendet...
die frage ist dann noch, ob man das backup von diesen daten auch verschlüsselt speichert (vorteil: "sicher", nachteil: sicher weg, wenn man den key verliert oder derjenige der in weiß, z.b. stirbt...)
"Die Implementierung einer dedizierten Hardware-Crypto-Einheit kann sich auf die Datenübertragungsraten nur positiv auswirken."
Testet doch mal von Synology die DS210+, denn die hat genau den Crypto-Chip der die Sache hoffentlich schneller macht.
Ich hab ein Improvisiertes NAS win7 mit truecrypt verschlüsselt auf Einem POV Intel d510 Mainboard und 2gb ram.
und komme beim Truecrypt benchmark schon auf 65MB/s
Das Mainbord und der Ram kosteten bloß 125€ gehäuse, Netzteil und FP hatte ich schon.
Ich denke das bei diesen fertig Nas noch n wurm in der verschlüsselung ist. Und ichso wesentlich leistungsfähiger bin.
Somit glaube ich, dass die 65MB/s nicht besonders gut mit den Testergebnissen hier vergleichbar sind.
(nichtsdestotrotz finde ich die Rate der NAS Geräte auch leider ein bissel lahm...)
Der Einsatz einer Containerverschlüsselung (so wie bspw. Truecrypt) ist oft unpraktisch, da stets nur ein Nutzer gleichzeitig auf den Container zugreifen kann.
Abhilfe schaffen Verschlüsselungstechnologien, die transparent einzelne Dateien auf Netzlaufwerksebene verschlüsseln. Auf dem Weg vom Client zum Server (in diesem Falle NAS) sind die Daten dabei bereits verschlüsselt.
Ich weiße auf diese Möglichkeit der Verschlüsselung hin, da wir einige Lösung getestet haben. In vielen Fällen sind sie praktischer als Container oder komplette Festplattenverschlüsselungen.
Ein weiterer Vorteil ist, dass der Systemadministrator nicht zwingend in der Lage sein muss die Dateien zu entschlüsseln. Jedoch kann er weiterhin seinen Dienst tun: Die Daten verwalten und sichern. Die Verwaltung des Zugriffs auf die verschlüsselten Dateien verbleibt beim "Eigentümer" (Bspw. Vorstand usw.). Weiterhin lassen sich einige Lösungen mit Cryptotoken oder USB-Stick erweitern.
Beispiele hierfür wären:
SECURSTAR - ShareCrypt - www.securstar.de
Digitronic - Crypted Group Share - www.digitronic.net
HiCrypt - www.hicrypt.de
http://blog.undkonsorten.com/nas-ubuntu-luks-zfs-raid-verschluesselt