Neben der Möglichkeit der Passworteingabe, zum Einbinden eines verschlüsselten Ordners, gibt es die Möglichkeit einen Importschlüssel zu benutzen. Nachdem ein kryptischer Ordner erstellt wurde, kann man den generierten Schlüssel in einer Key Datei herunterladen. Wird dieser zum Einbinden benutzt, ist keine Passworteingaben notwendig.
Sollte man das Passwort für den verschlüsselten Ordner vergessen haben, kann über diese Importschlüssel-Datei weiterhin auf die Daten zugegriffen werden. Deshalb entfiehlt es sich diese Datei gut zu verwahren.
Wurde beim Erstellen eines verschlüsselten Ordner über das DSM Web-Interface die Option „Beim Start automatisch anhängen“ bzw. „Mount automatically on startup” ausgewählt, wird diese Schlüssel-Datei auf das NAS abgespeichert.
Der Grund ist simpel: Durch diese Option wird der verschlüsselte Ordner beim Start der Disc Station automatisch gemounted bzw. eingehängt. Dafür wir dann natürlich diese Datei benötigt.
Diese Dateien, welche die Schlüssel der kryptischen Ordner enthalten, werden unter diesem Pfad abgelegt:
/usr/syno/etc/.encrypt
Hinweis: Dies stellt natürlich ein Sicherheitsrisiko dar. Denn die Abspeicherung der Importschlüssel direkt auf dem NAS, ermöglicht es mit dem entsprechenden Benutzerrechten verschlüsselte Ordner zu öffnen.
It seems that the secret key to gain access to your data is ALWAYS left unencrypted in /usr/syno/etc/.encrypt
When you mount the volume and enter the passphrase, if a backup of the key generated based on the passphrase does not exist in the above directory, it will be created.
Regardless of whether you have chosen auto-mount or not.
This is on the newest version of Synology DSM, build 1955.
Also, it uses unencrypted swap, so even if it did not automatically leak your keys to the above folder, it would still leak your key to swap.
In short, encrypting your data with a Synology device is really quite useless.