Đình chỉ RAM và phân vùng được mã hóa

Thông thường tôi không tắt máy tính xách tay của mình nữa để sử dụng hệ thống treo vào RAM. Nhược điểm là phân vùng nhà được mã hóa của tôi hoàn toàn có thể truy cập sau khi tiếp tục mà không cần nhập cụm mật khẩu. Một ý tưởng tồi nếu ai đó đánh cắp máy tính xách tay của bạn ...

Nhìn vào trang web của cryptsetup . Tôi đã học được rằng LUKS hiện hỗ trợ lệnh luksSuspendvà luksResumelệnh. Đã luksSuspendvà luksResumeđược tích hợp trong các tập lệnh thực hiện đình chỉ RAM và tiếp tục chưa?

— Áo giáp Stefan
nguồn

Lỗi LP liên quan . Khóa màn hình là một phương pháp dễ dàng để bảo vệ chống lại những người "thông thường". Nó không bảo vệ bạn khỏi những người biết mật khẩu của bạn (hoặc có thể đoán được), lạm dụng một lỗi để có quyền truy cập vào một phiên hoặc đọc mật khẩu từ bộ nhớ

— Lekensteyn

Câu trả lời:

Vấn đề hiện tại

Khi sử dụng Mã hóa toàn bộ đĩa Ubuntu (dựa trên dm-crypt với LUKS) để thiết lập mã hóa toàn hệ thống, khóa mã hóa được giữ trong bộ nhớ khi tạm dừng hệ thống. Hạn chế này đánh bại mục đích mã hóa nếu bạn mang theo nhiều máy tính xách tay bị treo. Người ta có thể sử dụng lệnh cryptsetup luksSuspend để đóng băng tất cả I / O và xóa khóa khỏi bộ nhớ.

Giải pháp

ubfox-luks-đình chỉ là một nỗ lực để thay đổi cơ chế đình chỉ mặc định. Ý tưởng cơ bản là thay đổi thành một chroot bên ngoài fs gốc được mã hóa và sau đó khóa nó (withcryptsetup luksSuspend)

— Prinz
nguồn

Nỗ lực này (chưa có chức năng) được thảo luận về câu hỏi liên quan Làm cách nào để cho phép Ubuntu tạm dừng máy bằng LUKSsuspend trong khi ngủ / ngủ đông .

— Jonas Malaco

đây là một ví dụ khác về ubfox 14.04 cryptsetup luks đình chỉ / tiếp tục phân vùng gốc "gần như hoạt động" :-)

một lý do nó hoạt động cho arch và "gần như hoạt động" cho ubfox có thể là hạt nhân ubfox đó kể từ

  Linux system 3.19.0-25-generic #26~14.04.1-Ubuntu SMP Fri Jul 24 21:16:20 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

vẫn còn "quá cũ": bản vá sau chưa có:

thực hiện đồng bộ hóa () trên tùy chọn treo vào RAM

vì vậy, bất kỳ pm-utilshoặc user codecó vấn đề về bất kỳ hình thức khóa rõ ràng và yêu cầu ngủ , chẳng hạn như:

  cryptsetup luksSuspend root
  echo -n "mem" >/sys/power/state

sẽ dẫn đến kernel trong một cuộc gọi đến sys_sync()lượt nó gây ra bế tắc trong dm-crypt(theo thiết kế, sau khi tạm dừng)

— Andrei Pozolotin
nguồn

-2

Trên thực tế, bạn chỉ cần đảm bảo rằng cụm mật khẩu bảo vệ màn hình của bạn được yêu cầu trong sơ yếu lý lịch từ việc tạm dừng và bạn sẽ an toàn.

Điều này sẽ đảm bảo rằng ai đó nối lại máy tính xách tay của bạn khỏi bị đình chỉ sẽ phải nhập mật khẩu trước khi họ có thể vào máy tính.

nhập mô tả hình ảnh ở đây

— Dustin Kirkland
nguồn

và điều này thực sự sử dụng luksSuspend / luksResume?

— Stefan Armbruster

Không, nó đảm bảo rằng ai đó nối lại máy tính xách tay của bạn được yêu cầu nhập mật khẩu trong sơ yếu lý lịch. Điều đó rất cần thiết nếu bạn đã đi vào thời gian mã hóa dữ liệu của mình.

— Dustin Kirkland

Er, điều này là không đủ ... nó chỉ là một mật khẩu bảo vệ màn hình. Bạn nên tạm dừng hoàn toàn để bạn được yêu cầu nhập lại mật khẩu LUKS trước khi quay lại GUI

— BenAlabaster

Chính xác. Khóa giải mã cho LUKS vẫn sẽ nằm trong RAM trừ khi luksSuspend / luksResume được sử dụng. Có cách nào để làm điều này với Ubuntu không?

— jzila

Nếu điều này là đủ, câu hỏi này sẽ không tồn tại. Có, điều này sẽ bảo vệ dữ liệu của bạn trong 99% các tình huống thực tế trong cuộc sống, nhưng như đã lưu ý ở trên, mật khẩu vẫn được lưu trong bộ nhớ cache trong khi tạm dừng, ngay cả khi mật khẩu bảo vệ khi tiếp tục được bật. Một kẻ thù am hiểu công nghệ (như NSA) sẽ có thể thực hiện một 'cuộc tấn công khởi động lạnh' và khôi phục cụm mật khẩu, sau đó giải mã tất cả dữ liệu của bạn.

— Chev_603 11/03/2015