Sospensione su RAM e partizioni crittografate

Normalmente non spengo più il mio notebook a favore dell'utilizzo di suspend-to-RAM. Il rovescio della medaglia è che la mia partizione home crittografata è completamente accessibile dopo il ripristino senza inserire la passphrase. Una cattiva idea se qualcuno ruba il tuo notebook ...

Guardando la manpage di cryptsetup . Ho imparato che LUKS ora supporta il comando luksSuspende luksResume. È stato luksSuspended è luksResumestato integrato negli script facendo sospendere su RAM e riprendere?

— Stefan Armbruster
fonte

Bug LP correlato . Il blocco dello schermo è un metodo semplice per proteggersi dalle persone "normali". Non ti protegge da persone che conoscono la tua password (o possono indovinarla), abusare di un bug per ottenere l'accesso a una sessione o leggere le password dalla memoria

— Lekensteyn

Risposte:

Problema attuale

Quando si utilizza Ubuntu Full Disk Encryption (che si basa su dm-crypt con LUKS) per impostare la crittografia completa del sistema, la chiave di crittografia viene mantenuta in memoria quando si sospende il sistema. Questo svantaggio vanifica lo scopo della crittografia se si trasporta molto con il proprio laptop sospeso. È possibile utilizzare il comando luksSuspend cryptsetup per bloccare tutti gli I / O e svuotare la chiave dalla memoria.

Soluzione

ubuntu-luks-suspend è un tentativo di cambiare il meccanismo di sospensione predefinito. L'idea di base è quella di passare a un chroot esterno alla radice crittografata fs e quindi bloccarlo (withcryptsetup luksSuspend)

— Prinz
fonte

Questo tentativo (non ancora funzionante) viene discusso sulla domanda correlata Come abilitare Ubuntu a sospendere la macchina usando LUKSsuspend durante lo stato di sospensione / ibernazione .

— Jonas Malaco,

ecco un altro esempio di Ubuntu 14.04 Cryptsetup Luks sospende / riprende la partizione di root "quasi funziona" :-)

un motivo per cui funziona per arch e "quasi funziona" per Ubuntu potrebbe essere quel kernel di Ubuntu a partire da

  Linux system 3.19.0-25-generic #26~14.04.1-Ubuntu SMP Fri Jul 24 21:16:20 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

è ancora "troppo vecchio": la seguente patch non è ancora presente:

rendere sync () su suspend-to-RAM opzionale

quindi qualsiasi pm-utilso user codeche emette qualsiasi forma di chiari tasti e richiesta di sospensione , come ad esempio:

  cryptsetup luksSuspend root
  echo -n "mem" >/sys/power/state

comporterà il kernel in una chiamata alla sys_sync()quale a sua volta provoca un deadlock dm-crypt(in base alla progettazione, dopo la sospensione di luks)

— Andrei Pozolotin
fonte

-2

In realtà, devi solo assicurarti che la passphrase dello screensaver sia richiesta al momento della ripresa dalla sospensione e sarai al sicuro.

Questo assicurerà che qualcuno che riprenda a sospendere il laptop debba inserire una password prima di poter accedere al computer.

inserisci qui la descrizione dell'immagine

— Dustin Kirkland
fonte

e questo usa davvero luksSuspend / luksResume?

— Stefan Armbruster,

No, garantisce che sia richiesto a qualcuno che riprende il laptop di inserire una password al riavvio. Questo è essenziale se hai raggiunto la lunghezza dei tuoi dati crittografati.

— Dustin Kirkland,

Ehm, questo non è abbastanza ... è solo una password per lo screensaver. Dovrebbe sospendere completamente in modo che ti

— venga

Esattamente. La chiave di decrittazione per LUKS sarà ancora nella RAM a meno che non venga utilizzato luksSuspend / luksResume. C'è un modo per farlo con Ubuntu?

— jzila,

Se ciò bastasse, questa domanda non esisterebbe. Sì, questo proteggerà i tuoi dati nel 99% degli scenari di vita realistici, ma come notato sopra, la password è ancora memorizzata nella RAM durante la sospensione, anche se la protezione con password al riavvio è abilitata. Un nemico esperto di tecnologia (come l'NSA) sarebbe in grado di eseguire un "attacco di avvio a freddo" e recuperare la passphrase, quindi decodificare tutti i tuoi dati.

— Chev_603