Zawieś na RAM i zaszyfrowane partycje

13

Zwykle nie zamykam już swojego notebooka na korzyść zawieszenia na pamięć RAM. Minusem jest to, że moja zaszyfrowana partycja domowa jest w pełni dostępna po wznowieniu bez wprowadzania hasła. Zły pomysł, jeśli ktoś ukradnie twój notebook ...

Patrząc na stronę podręcznika cryptsetup . Dowiedziałem się, że LUKS obsługuje teraz polecenia luksSuspendi luksResume. Czy został luksSuspendi luksResumezostał zintegrowany ze skryptami wykonującymi polecenie zawieszenia do pamięci RAM i wznawiania?

encryption suspend ecryptfs luks Stefan Armbruster
źródło
Powiązany błąd LP . Blokowanie ekranu jest łatwą metodą ochrony przed „zwykłymi” ludźmi. Nie chroni cię przed ludźmi, którzy znają twoje hasło (lub mogą je odgadnąć), nadużywają błędu, aby uzyskać dostęp do sesji lub czytają hasła z pamięci
Lekensteyn

Odpowiedzi:

4

Aktualny problem

Podczas korzystania z pełnego szyfrowania dysku Ubuntu (opartego na dm-crypt z LUKS) do skonfigurowania pełnego szyfrowania systemu, klucz szyfrowania jest przechowywany w pamięci podczas zawieszania systemu. Wada ta uniemożliwia szyfrowanie, jeśli często nosisz zawieszony laptop. Można użyć polecenia cryptsetup luksSuspend, aby zatrzymać wszystkie operacje we / wy i usunąć klucz z pamięci.

Rozwiązanie

ubuntu-luks-suspend to próba zmiany domyślnego mechanizmu zawieszenia. Podstawowym pomysłem jest zmiana na chroot poza zaszyfrowanym root fs, a następnie zablokowanie go (withcryptsetup luksSuspend)

Prinz
źródło
1
Ta próba (jeszcze nie funkcjonalna) została omówiona w pokrewnym pytaniu Jak włączyć Ubuntu do zawieszenia komputera za pomocą LUKSsuspend podczas uśpienia / hibernacji .
Jonas Malaco
3

tutaj jest kolejnym przykładem na ubuntu 14.04 cryptsetup luks wstrzymania / wznowienia partycja „prawie działa” :-)

Jednym z powodów, dla których działa on na arch i „prawie działa” na Ubuntu, może być jądro Ubuntu

  Linux system 3.19.0-25-generic #26~14.04.1-Ubuntu SMP Fri Jul 24 21:16:20 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

jest wciąż „za stary”: następująca łatka jeszcze nie istnieje:

uczyń synchronizację () w przypadku zawieszenia do pamięci RAM opcjonalnym

więc każdy pm-utilslub user codektóry wydaje dowolną formę wyraźnych kluczy i prośby o zasypianie , takich jak:

  cryptsetup luksSuspend root
  echo -n "mem" >/sys/power/state

spowoduje jądro w wywołaniu, sys_sync()które z kolei spowoduje zakleszczenie dm-crypt(z założenia po zawieszeniu Luksa)

Andrei Pozolotin
źródło
-2

W rzeczywistości musisz tylko upewnić się, że hasło wygaszacza ekranu jest wymagane po wznowieniu zawieszenia, a będziesz bezpieczny.

Zapewni to, że osoba wznawiająca zawieszenie laptopa będzie musiała wprowadzić hasło, zanim będzie mogła dostać się do komputera.

wprowadź opis zdjęcia tutaj

Dustin Kirkland
źródło
2
i to naprawdę używa luksSuspend / luksResume?
Stefan Armbruster
2
Nie, zapewnia to, że osoba, która wznawia Twój laptop, musi wprowadzić hasło przy wznowieniu. Jest to niezbędne, jeśli doszedłeś do długości zaszyfrowanych danych.
Dustin Kirkland
5
Eee, to nie wystarczy ... to tylko hasło wygaszacza ekranu. Powinien całkowicie zawiesić się, abyś musiał ponownie wpisać hasło LUKS przed powrotem do GUI
BenAlabaster
2
Dokładnie. Klucz deszyfrujący dla LUKS nadal będzie w pamięci RAM, chyba że zostanie użyty luksSuspend / luksResume. Czy jest na to sposób w Ubuntu?
jzila
1
Gdyby to wystarczyło, to pytanie nie istniałoby. Tak, to ochroni twoje dane w 99% realistycznych scenariuszy życia, ale jak wspomniano powyżej, hasło jest nadal buforowane w pamięci RAM podczas zawieszenia, nawet jeśli ochrona hasłem przy wznowieniu jest włączona. Zaawansowany technologicznie wróg (taki jak NSA) byłby w stanie wykonać „atak zimnego rozruchu” i odzyskać hasło, a następnie odszyfrować wszystkie dane.
Chev_603,