スワップパーティションを暗号化する理由

11

このサイトでは、多くのLinuxユーザーがスワップパーティションを暗号化することを見てきました。スワップを暗号化する利点は何ですか？

encryption swap partitions

1

参照：superuser.com/q/764655/96697

— jcora

19

スワップ空間の暗号化は、機密情報を保護するために使用されます。パスワードを扱うアプリケーションを考えてみましょう。これらのパスワードが物理メモリに残っている限り、これらのパスワードはディスクに書き込まれず、再起動後にクリアされます。OSがメモリページのスワップを開始して他のアプリケーション用のスペースを解放すると、暗号化されていないディスクプラッタにパスワードが書き込まれる場合があります。スワップ領域の暗号化は、このシナリオの解決策になる可能性があります。

スワップパーティションはデフォルトでは暗号化されないため、続行する前に機密データを消去する必要があります。

スワップパーティションには、暗号化されていない機密情報が大量に保存される可能性があり、コンピューターをシャットダウンした後も持続するという事実が問題になる可能性があります。

SWAPを暗号化するには、Ubuntuの暗号化されたスワップパーティションを参照してください。

参考資料：スワップ暗号化とUbuntu-スワップパーティションを暗号化する方法

^{出典：C。ブリュッファー}

— ミッチ
ソース

2

私はあなたがホームディレクトリまたはフルディスク暗号化のインストールについて話していると思います。

スワップは永続ストレージ上のスペースに割り当てられ（安価なため）、オペレーティングシステムにより多くの仮想メモリを提供します。すべてのアプリケーションは、操作用のすべての暗号化されていないデータを保持する仮想メモリで実行されます。ディスク上で暗号化されたデータの一部が、スワップストレージで暗号化されずに終了する可能性はかなり高いです。また、暗号化キーなどの一時的なメモリ内のものを物理メモリから移動して、しばらくの間スワップすることができます（カーネルがそうする場合）。単純な暗号化キーを使用すると、攻撃者は確実にハードドライブ全体を復号化できます。

さらに、物理メモリとは異なり、PCの電源をオフにしてもスワップは消去されません。

また、システムを休止状態にすると、すべての物理メモリがスワップに書き込まれることに注意してください。これにより、攻撃者にさらに大量のデータが提供されます。

要約すると、マシン上のデータの暗号化のコンテキストでは、暗号化されたファイルを処理する場合、セキュリティの観点からスワップを暗号化しないことは非常に悪いことです。達成しようとしている完全なセキュリティに違反することさえあります。

— ガートダイク
ソース

2

これが、ずっと前にスワップパーティションも実際に暗号化することに納得した理由です。

次のコマンドを試してください。
最初にスワップデバイスを見つけ、次にユーザーパスワード（または重要な文字列）がスワップメモリのどこかに保存されているかどうかを調べます。

  $ sudo swapon --summary  
  Filename                                Type        ...  
  /dev/mapper/vg_ubu476-lv_swap           partition   ...  

   $ sudo time strings < /dev/mapper/vg_ubu476-lv_swap | grep <any substring of your password>

パスワードが見つからない場合、コマンドは出力なしで終了します。私には4秒のスワップがあり、40秒かかりました。
"| grep <...>"の代わりに "| more"で試してください。暗号化する前に、ランダムASCIIでディスクを最初から消去したかどうかを示します。

問題に注意してください：これらのコマンドの後、「パスワードのサブストリング」はbash履歴に書き込まれたままになり、消去する必要性を感じるかもしれません。「パスワードの部分文字列」を使用すると、少なくとも完全なパスワードを取得できません。そして、その中を見ることができるのはrootだけです。

私のstringsコマンドは、OSの実行中にのみ存在するシステムの復号化されたレイヤーを調べました。

その下には、LVM、次に復号化されたLUKSコンテナー、最後に暗号化されたデバイス（大きなパーティション）があります。あなたはそれらすべてを「文字列」でスキャンしてみてください。

「sudo su-」の代わりに「su-root」を使用していたので、最初に多くのルートパスワードを見つけたときに「文字列」を実行しました。さて、sudoでは何も見つかりません。

パフォーマンス -信じてください：遅延を感じることなく、Thinkpad W520上の3つのSSDで1,3テラバイトの暗号化されたもの（システム+大規模な写真データベース）を使用しています。ただし、少なくとも8 GiBのメモリが多少役立つ場合があります。

— プロメテオス
ソース

これは、暗号化されたUbuntu 18.10では機能しません。「bash：<directory>：Permission denied」と表示されます。コンソールで。

— パトリックダーク

1

同じ理由で、メインメモリを暗号化します。プログラムには情報のクリアテキストコピーがあり、スケジューラによって時々ディスク（スワップパーティション）にスワップアウトされます。十分な動機と有効性があれば、その個人データのスワップをマイニングできます。

ただし、ルートディスクを暗号化していない場合、スワップの暗号化は重要ではありません。

暗号化は安価ではありません。パフォーマンスが大幅に低下すると予想されます。

私が知っている唯一の人々は、誰が「すべてをやる」かを広範囲に旅行します。ただいじりたいだけなら、それを手に入れてください。

PSがメインメモリを暗号化できないことについて賢明なクラックを行う前に、命令セットが暗号化されていてもhttp://bluerisc.com/にアクセスしてください。

— ペトラキ
ソース

スワップデータの暗号化について理解しています。しかし... RAMの暗号化...これが防御するはずの脅威モデルは何ですか？

— Jay Sullivan

1

スターター用のバスアナライザー。軍隊が現場で資産を失った場合に興味があるようなものです。

— ペペラキ