RAM ve şifreli bölümleri askıya alma

Normalde dizüstü bilgisayarımı RAM'e askıya alma özelliğini kullanmak için artık kapatmıyorum. Dezavantajı, şifrelenmiş ev bölümüme, parola girmeden özgeçmişten sonra tamamen erişilebilir olmasıdır. Birisi not defterinizi çalarsa kötü bir fikir ...

Bakıldığında cryptsetup en manpage . LUKS'un şimdi luksSuspendve luksResumekomutunu desteklediğini öğrendim . Has luksSuspendve luksResumeaskıya-to-RAM ve özgeçmiş yapıyor komut entegre edilmiştir?

— Stefan Armbruster
kaynak

İlgili LP hatası . Ekranı kilitlemek "normal" insanlara karşı korunmak için kolay bir yöntemdir. Sizi şifrenizi bilen (veya tahmin edebilen) insanlardan korumaz , bir oturuma erişmek için bir hatayı kötüye kullanır veya şifreleri bellekten

— okur

Yanıtlar:

Şuanki problem

Tam sistem şifrelemesini ayarlamak için Ubuntu Tam Disk Şifrelemesi (LUKS ile dm-crypt tabanlı) kullanırken, sistem askıya alındığında şifreleme anahtarı bellekte tutulur. Bu dezavantaj, askıdaki dizüstü bilgisayarınızı çok fazla taşırsanız şifreleme amacını ortadan kaldırır. Tüm I / O'ları dondurmak ve anahtarı bellekten temizlemek için cryptsetup luksSuspend komutunu kullanabilirsiniz.

Çözüm

ubuntu-luks-suspend , varsayılan askıya alma mekanizmasını değiştirme girişimidir. Temel fikir şifrelenmiş kök fs dışında bir kroke değiştirmek ve daha sonra kilitlemek (withcryptsetup luksSuspend)

— Prinz
kaynak

Bu girişim (henüz işlevsel değil) ilgili soruda Ubuntu'nun uyku / hazırda bekletme sırasında LUKSsuspend kullanarak makineyi askıya almasını nasıl sağlayabilirim .

— Jonas Malaco

burada başka bir örnek içinde 14.04 cryptsetup luks / devam kök bölümü askıya ubuntu "neredeyse çalışır" :-)

kemer için çalışmasının ve ubuntu için "neredeyse işe yaramasının " bir nedeni ubuntu çekirdeği olabilir.

  Linux system 3.19.0-25-generic #26~14.04.1-Ubuntu SMP Fri Jul 24 21:16:20 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

hala "çok eski": şu yama henüz yok:

RAM'i askıya almada senkronizasyonu () yap

herhangi bir şekilde pm-utilsveya açık anahtarlar ve uyku isteği gibi user codeherhangi bir biçimi düzenler , örneğin:

  cryptsetup luksSuspend root
  echo -n "mem" >/sys/power/state

çağrıda çekirdeğe sys_sync()yol açar ve bu da kilitlenmeye neden olur dm-crypt(tasarımla, ılık askıya alındıktan sonra)

— Andrei Pozolotin
kaynak

-2

Aslında, sadece ekran koruyucu parolanızın askıya alma işleminden sonra devam etmesini sağlamanız gerekir ve güvende olursunuz.

Bu, dizüstü bilgisayarınızı askıya almayı sürdüren birisinin bilgisayara girmeden önce bir parola girmesi gerekir.

resim açıklamasını buraya girin

— Dustin Kirkland
kaynak

ve bu gerçekten luksSuspend / luksResume kullanıyor?

— Stefan Armbruster

Hayır, dizüstü bilgisayarınızı yeniden başlatan birisinin özgeçmişte bir parola girmesi gerekir. Verilerinizi şifrelenmiş bir süre geçtiyseniz, bu önemlidir.

— Dustin Kirkland

Ee, bu yeterli değil ... sadece bir ekran koruyucu şifresi. GUI'ye dönmeden önce LUKS şifrenizi tekrar girmeniz için tamamen askıya alınmalıdır

— BenAlabaster

Kesinlikle. LuksSuspend / luksResume kullanılmadığı sürece LUKS şifre çözme anahtarı RAM'de olmaya devam edecektir. Ubuntu ile bunu yapmanın bir yolu var mı?

— jzila

Bu yeterli olsaydı, bu soru olmazdı. Evet, bu, verilerinizi gerçekçi yaşam senaryolarının% 99'unda koruyacaktır, ancak yukarıda belirtildiği gibi, parola, devam ettirildiğinde parola koruması etkin olsa bile RAM askıda kalırken hala önbelleğe alınır. Teknoloji meraklısı bir düşman (NSA gibi) bir 'soğuk önyükleme saldırısı' gerçekleştirebilir ve parolayı kurtarabilir, ardından tüm verilerinizin şifresini çözebilir.

— Chev_603