Підвісь до оперативної пам’яті та зашифрованих розділів

Зазвичай я більше не вимикаю свій ноутбук на користь використання призупинення оперативної пам’яті. Мінусом є те, що мій зашифрований домашній розділ після резюме повністю доступний без введення парольної фрази. Погана ідея, якщо хтось вкраде ваш ноутбук ...

Дивлячись на сторінку cryptsetup . Я дізнався , що LUKS тепер підтримує luksSuspendі luksResumeкоманду. Був luksSuspendі luksResumeбули інтегровані в сценарії робить призупинити до оперативної пам'яті і резюме?

— Стефан Армбрустер
джерело

Пов'язана помилка LP . Блокування екрана - це простий метод захисту від "звичайних" людей. Це не захищає вас від людей, які знають ваш пароль (або можете його здогадатися), зловживають помилкою, щоб отримати доступ до сеансу чи читати паролі з пам'яті

— Lekensteyn

Відповіді:

Актуальна проблема

Під час використання повного шифрування диска Ubuntu (заснованого на dm-крипті з LUKS) для налаштування повного системного шифрування ключ шифрування зберігається в пам'яті при призупиненні роботи системи. Цей недолік перемагає мету шифрування, якщо ви багато переносите призупинений ноутбук. Команду cryptsetup luksSuspend можна використовувати для заморожування всіх вводу-виводу та видалення ключа з пам'яті.

Рішення

ubuntu-luks-suspend - це спроба змінити механізм призупинення за замовчуванням. Основна ідея - перейти на chroot за межами зашифрованого кореня fs, а потім заблокувати його (withcryptsetup luksSuspend)

— Принц
джерело

Ця спроба (поки що не функціонує) обговорюється у відповідному питанні Як дозволити Ubuntu призупинити роботу машини за допомогою LUKSsuspend під час сну / сплячки .

— Йонас Малако

ось ще один приклад з Убунту 14.04 Cryptsetup Luks призупинити / відновити кореневий розділ «майже працює» :-)

Однією з причин, що вона працює для арки, і «майже працює» для ubuntu, може бути ядро ubuntu станом на

  Linux system 3.19.0-25-generic #26~14.04.1-Ubuntu SMP Fri Jul 24 21:16:20 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

ще "занадто стара": наступного патча ще немає:

зробити синхронізацію () на призупиненні на RAM необов'язково

тому будь-які pm-utilsабо user codeщо проблеми в будь-якій формі чітких ключів і запиту сну , таких як:

  cryptsetup luksSuspend root
  echo -n "mem" >/sys/power/state

призведе ядро до виклику, до sys_sync()якого, в свою чергу, призводить до тупикової ситуації dm-crypt(за задумом, після призупинення)

— Андрій Позолотін
джерело

-2

Насправді вам потрібно просто переконатися, що ваші парольні фрази для заставки потрібні для відновлення після призупинення, і ви будете в безпеці.

Це забезпечить те, що хтось відновить ваш ноутбук після призупинення, доведеться ввести пароль, перш ніж він зможе потрапити в комп'ютер.

введіть тут опис зображення

— Дастін Кіркленд
джерело

а для цього справді використовується luksSuspend / luksResume?

— Стефан Армбрустер

Ні, це гарантує, що хтось відновить ваш ноутбук, потрібно ввести пароль під час резюме. Це важливо, якщо ви перейшли до довжини зашифрованих даних.

— Дастін Кіркланд

Е, цього недостатньо ... це просто пароль заставки. Він повинен повністю призупинитися, щоб вам потрібно було знову ввести пароль LUKS перед поверненням до GUI

— BenAlabaster

Саме так. Ключ дешифрування для LUKS все ще буде знаходитися в оперативній пам’яті, якщо не використовується luksSuspend / luksResume. Чи є спосіб зробити це за допомогою Ubuntu?

— jzila

Якби цього було достатньо, цього питання не існувало б. Так, це захистить ваші дані у 99% реалістичних життєвих сценаріїв, але, як зазначалося вище, пароль все ще зберігається в оперативній пам'яті під час призупинення, навіть якщо ввімкнено захист паролем під час резюме. Технічний захисник (наприклад, АНБ) зможе здійснити "атаку холодного завантаження" та відновити пароль, а потім розшифрувати всі ваші дані.

— Chev_603