ZFS Volume unter FreeNAS verschlüsseln

Heute zeige ich euch wie einfach es ist mit FreeNAS ein ZFS Volume zu verschlüsseln. FreeNAS benutzt aktuell die Version 28 von ZFS und ist daher ggf. nicht mit anderen FreeBSD Verschlüsselungen kompatibel. Das bedeutet, dass ihr eine unter FreeNAS verschlüsselte Festplatte bzw. einen verschlüsselten Verbund nur unter FreeNAS entschlüsseln könnt.

Ansonsten solltet ihr beachten, das die Lese- und Schreibgeschwindigkeit des Verbundes durch eine Verschlüsselung negativ beeinflusst werden kann, gerade auf schwächerer Hardware kann die Geschwindigkeit um 35% oder mehr einbrechen.

Im ersten Schritt müssen wir zunächst ein ZFS Volume mit Verschlüsselung erstellen. In meinem Testsystem befinden sich aktuell 4 Festplatten a 3TB die ich zu einem Raid-Z (Raid5) Verbund zusammenschließen möchte.

Wir befinden uns in der Speicheransicht von FreeNAS. Hier wählt ihr ZFS Volume Manager und im darauf folgenden Fenster die Option Manual setup aus.

Hier muss nun der Haken bei Encryption gesetzt werden. Zusätzlich müssen alle Festplatten markiert werden, die in den Verbund aufgenommen werden sollen (in meinem Beispiel sind dies ADA0 - ADA3).

Nach einigen Minuten erscheint der neue ZFS Verbund in der Speicheransicht von FreeNAS. Der ZFS-Raid Verbund ist nun bereits verschlüsselt und kann nur mit dem Master-Key, der sich in eurer FreeNAS Version befindet, entschlüsselt werden.

Noch sicherer ist es aber ein zusätzliches Passwort zu vergeben. Dazu wählt ihr eurer ZFS Volume aus und klickt unten auf Create Passphrase. Wählt hier ein starkes Passwort mit mindestens 8 Zeichen aus.

Nun solltet ihr euch den GELI (Recovery) key herunterladen. Diesen benötigt ihr später um euer verschlüsseltes ZFS Volume in ein neues FreeNAS einzubinden, z.B. nach einem Update. Dieser Key ist sehr wichtig - verliert ihn nicht. Das gilt natürlich auch für euer eben vergebenes Passwort.

Der Recovery Key gilt nur für den aktuellen Verbund. Habt ihr mehrere ZFS Volumes, müsst ihr auch mehrer Keys haben!

Nach einem Neustart von FreeNAS navigiert ihr nun wieder in die Speicheransicht. Hier seht ihr nun, das euer verschlüsseltes ZFS-Volume zwar sichtbar, aber Locked - also gesichert - ist.

Klickt unten auf die Unlock Schaltfläche um das verschlüsselte ZFS Volume mittels eures Passwortes freizugeben. Nun könnt ihr wie gewohnt auf eure Daten zugreifen.

Wie oben bereits erwähnt, muss man beim Einsatz einer AES-Verschlüsselung ggf. Geschwindigkeitsverluste hinnehmen. Hier spielt die verwendete Hardware bzw. die Menge an Arbeitsspeicher eine große Rolle. Im nachfolgenden ein Screenshot von einem Bay Trail (Intel Celeron J1900) System mit 4GB Arbeitsspeicher und einem ZFS Verbund aus 4 Festplatten a 3TB.

Ich hoffe ich konnte euch zeigen, wie einfach es ist mittels der FreeNAS eigenen Verschlüsselung Daten zu sichern. Die Verschlüsselung basiert auf AES mit einer Schlüssell#änge von 256bit. AES 256bit konnte - soweit bekannt - im Mai 2015 noch nicht geknackt werden.