さわらブログ

さわら(@xhiroga)の技術ブログ

Synology NASにおける暗号化の挙動の整理

Synology NASには、ボリュームを暗号化するオプションがあります。ドキュメントだけでは挙動が分かりづらかった部分を実際に試して整理しました。

TL;DR

  • 暗号化キーを知らない人間による暗号化ボリュームへのアクセス → ボリュームがマウントされているかどうかによる
  • 暗号化ボリュームの非暗号化とその逆 → できる。ただし、ファイルまたはフォルダの名前の文字数が143文字の英語文字または47文字のアジア文字を超過できない
  • キーマネージャーを外部USBデバイスに設定してUSBを紛失した場合の暗号化ボリュームの読み書き → できる(ボリュームの暗号化キーを覚えていれば)

Synology NASの暗号化とは

Synology NASにおける暗号化とは、Windowsのファイルまたはフォルダの暗号化のような機能ではなくHDDのボリュームの暗号化です。

macOSにおける FileVault に近いと思います。

したがって、暗号化キー(パスワード)を尋ねられるタイミングはボリュームのマウントのタイミングです。一度マウントすれば、アンマウントするまで暗号化キーは不要です。

暗号化・非暗号化の切り替え

いつでも可能です。ただし、暗号化したい共有フォルダに長い名前のファイル・フォルダが含まれていると失敗します。

また、それなりに時間がかかります。次のようなポップアップが表示されました。

f:id:hiroga_cc:20211225162015p:plain
Synology NAS 共有フォルダ暗号化

キーマネージャーの役割

キーマネージャーの役割は、HDDを暗号化するキーを自動で指定してくれるものではありません

どちらかというと1Passwordのようなパスワードマネージャーに近いです。つまり、複数の暗号化されたボリュームがある場合でも、キーマネージャーがあれば覚えておくのはキーマネージャーのパスフレーズでOK、というもの。

実際のユースケースでは、ボリュームの暗号化キーを超複雑にし、かつキーマネージャーのパスフレーズを覚えやすくしておく。そしてキーマネージャーはUSBなどに保存し、必要な場合に取り出す、というのが一番セキュアかもしれません。

まとめ

HDDのボリュームの暗号化についての知識がないとなんだろう?と思ってしまう仕様でした。Synology NASにはSSHでのログインも可能なので、CUIでも確認して理解を深めたいです。

付録 Synology NASのドキュメント

3種類あり、どれがどれか分からなくなりました。簡単な順に並べると以下の通り(主観です)

ドキュメントは Synology ナレッジセンターの検索で見つけました。