Synology NASでは
- 共有フォルダ暗号化
- ボリューム暗号化
の二種類の暗号化を選ぶことができる。
共有フォルダ暗号化
その名の通り、共有フォルダの暗号化ができる。昔からあるらしい。
メリット
- 既存のフォルダを暗号化できる
デメリット
- パス/ファイル/フォルダ名の長さに制限がある。
これが一番致命的で特にCJKでは50文字でアウトになってしまう - 遅くなるらしい
ボリューム暗号化
DSM 7.2より追加された暗号化方式で、ボリューム作成時に暗号化する。
メリット
- 速いらしい
- 共有フォルダ暗号化のようにパスに制限がない
デメリット
- KMIPサーバーを使わない場合セキュリティ上の懸念がある
- 共有フォルダ暗号化では起動時にマウントするかどうかを選択できるがボリューム暗号化では強制的に自動マウントすることになる。
- そして復号化する際、KMIPサーバーから鍵を取得するか内部のキーストレージから鍵を取得するかを選ぶのだが、内部のキーストレージから鍵を取得するということはそれは物理的にNASを持ち出された場合に容易に復号できてしまう可能性があるのではないか?という懸念があるようだ
参考: - 公式の方法ではKMIPサーバーは別のSynology NASを使うことになるがそんなものはないのでkmip-server-dsmを使う方法が考えられる。
- そして復号化する際、KMIPサーバーから鍵を取得するか内部のキーストレージから鍵を取得するかを選ぶのだが、内部のキーストレージから鍵を取得するということはそれは物理的にNASを持ち出された場合に容易に復号できてしまう可能性があるのではないか?という懸念があるようだ
- 共有フォルダ暗号化では起動時にマウントするかどうかを選択できるがボリューム暗号化では強制的に自動マウントすることになる。
- ボリュームを作り直す必要がある
これらのことを考えるととりあえずは共有フォルダ暗号化を使うことになりそう