Tangguhkan RAM dan partisi terenkripsi

Biasanya saya tidak mematikan notebook saya lagi karena menggunakan suspend-to-RAM. Kelemahannya adalah partisi rumah terenkripsi saya sepenuhnya dapat diakses setelah melanjutkan tanpa memasukkan frasa sandi. Gagasan buruk jika seseorang mencuri buku catatan Anda ...

Melihat halaman cryptsetup . Saya telah belajar bahwa LUKS sekarang mendukung perintah luksSuspenddan luksResume. Apakah luksSuspenddan luksResumetelah terintegrasi dalam skrip yang melakukan suspend-to-RAM dan melanjutkan?

— Stefan Armbruster
sumber

Bug LP terkait . Mengunci layar adalah metode mudah untuk melindungi orang-orang "biasa". Itu tidak melindungi Anda dari orang yang tahu kata sandi Anda (atau dapat menebaknya), menyalahgunakan bug untuk mendapatkan akses ke sesi atau membaca kata sandi dari memori

— Lekensteyn

Jawaban:

Masalah saat ini

Ketika menggunakan Ubuntu Full Disk Encryption (yang didasarkan pada dm-crypt dengan LUKS) untuk mengatur enkripsi sistem penuh, kunci enkripsi disimpan di memori ketika menangguhkan sistem. Kelemahan ini mengalahkan tujuan enkripsi jika Anda sering membawa-bawa laptop Anda. Seseorang dapat menggunakan perintah cryptsetup luksSuspend untuk membekukan semua I / O dan membersihkan kunci dari memori.

Larutan

ubuntu-luks-suspend adalah upaya untuk mengubah mekanisme penangguhan default. Ide dasarnya adalah mengubah ke chroot di luar root fs terenkripsi dan kemudian menguncinya (withcryptsetup luksSuspend)

— Prinz
sumber

Upaya ini (belum berfungsi) dibahas pada pertanyaan terkait Bagaimana cara mengaktifkan Ubuntu untuk menangguhkan mesin menggunakan LUKSsuspend selama sleep / hibernate .

— Jonas Malaco

berikut adalah contoh lain dari ubuntu 14.04 cryptsetup luks menangguhkan / melanjutkan partisi root "hampir berfungsi" :-)

satu alasan itu berfungsi untuk arch dan "hampir berfungsi" untuk ubuntu bisa jadi itu adalah kernel Ubuntu

  Linux system 3.19.0-25-generic #26~14.04.1-Ubuntu SMP Fri Jul 24 21:16:20 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

masih "terlalu tua": tambalan berikut belum ada:

buat sinkronisasi () pada suspend-to-RAM opsional

sehingga setiap pm-utilsatau user codeyang mengeluarkan segala bentuk kunci yang jelas & permintaan tidur , seperti:

  cryptsetup luksSuspend root
  echo -n "mem" >/sys/power/state

akan menghasilkan kernel dalam panggilan sys_sync()yang pada gilirannya menyebabkan jalan buntu dm-crypt(oleh desain, setelah luks menangguhkan)

— Andrei Pozolotin
sumber

-2

Sebenarnya, Anda hanya perlu memastikan bahwa frasa sandi screensaver Anda diperlukan pada resume dari ditangguhkan, dan Anda akan aman.

Ini akan memastikan bahwa seseorang yang melanjutkan laptop Anda dari penangguhan harus memasukkan kata sandi sebelum mereka dapat masuk ke komputer.

masukkan deskripsi gambar di sini

— Dustin Kirkland
sumber

dan ini benar-benar menggunakan luksSuspend / luksResume?

— Stefan Armbruster

Tidak, itu memastikan bahwa seseorang yang melanjutkan laptop Anda diperlukan untuk memasukkan kata sandi pada resume. Itu penting jika Anda sudah lama mengenkripsi data Anda.

— Dustin Kirkland

Eh, ini tidak cukup ... itu hanya kata sandi screensaver. Ini harus ditangguhkan sepenuhnya sehingga Anda diminta untuk memasukkan kata sandi LUKS Anda lagi sebelum kembali ke GUI

— BenAlabaster

Persis. Kunci dekripsi untuk LUKS masih akan ada dalam RAM kecuali luksSuspend / luksResume digunakan. Apakah ada cara untuk melakukan ini dengan Ubuntu?

— jzila

Jika ini sudah cukup, pertanyaan ini tidak akan ada. Ya, ini akan melindungi data Anda dalam 99% dari skenario kehidupan realistis, tetapi seperti disebutkan di atas, kata sandi masih di-cache dalam RAM selama penangguhan, bahkan jika perlindungan kata sandi pada resume diaktifkan. Seorang musuh yang mengerti teknologi (seperti NSA) akan dapat melakukan 'serangan boot dingin' dan memulihkan frasa sandi, lalu mendekripsi semua data Anda.

— Chev_603