wake-up-neo.com

Anhalten an RAM und verschlüsselte Partitionen

Normalerweise fahre ich mein Notebook nicht mehr herunter, um Suspend-to-RAM zu verwenden. Der Nachteil ist, dass meine verschlüsselte Home-Partition nach dem Fortsetzen ohne Eingabe der Passphrase vollständig zugänglich ist. Eine schlechte Idee, wenn jemand Ihr Notebook stiehlt ...

Betrachte cryptsetups Manpage . Ich habe gelernt, dass LUKS jetzt den Befehl luksSuspend und luksResume unterstützt. Wurden luksSuspend und luksResume in die Skripte integriert, die das Suspend-to-RAM und den Resume ausführen?

13

Aktuelles Problem

Wenn Sie Ubuntu Full Disk Encryption (das auf dm-crypt mit LUKS basiert) verwenden, um die vollständige Systemverschlüsselung einzurichten, bleibt der Verschlüsselungsschlüssel im Speicher, wenn Sie das System anhalten. Dieser Nachteil macht den Zweck der Verschlüsselung zunichte, wenn Sie Ihren schwebenden Laptop häufig mit sich herumtragen. Mit dem Befehl cryptsetup luksSuspend können Sie alle E/A-Vorgänge einfrieren und den Schlüssel aus dem Speicher löschen.

Lösung

buntu-luks-suspend ist ein Versuch, den Standard-Suspend-Mechanismus zu ändern. Die Grundidee ist, zu einer Chroot außerhalb der verschlüsselten Root-Fs zu wechseln und diese dann zu sperren (withcryptsetup luksSuspend)

4
Prinz

hier ist ein weiteres Beispiel von ubuntu 14.04 cryptsetup luks suspend/resume root partition "fast funktioniert" :-)

ein Grund, warum es für Arch und "fast" für Ubuntu funktionieren könnte sei der Ubuntu-Kernel von

  Linux system 3.19.0-25-generic #26~14.04.1-Ubuntu SMP Fri Jul 24 21:16:20 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

ist noch "zu alt": der folgende patch ist noch nicht da:

mache sync () bei Suspend-to-RAM optional

also jeder pm-utils oder user code, der eine beliebige Form von Löschschlüsseln und Schlafanfragen ausgibt, wie zum Beispiel:

  cryptsetup luksSuspend root
  echo -n "mem" >/sys/power/state

führt im Kernel zu einem Aufruf von sys_sync(), der wiederum einen Deadlock in dm-crypt verursacht (beabsichtigt, nachdem luks suspend)

3