RAMおよび暗号化されたパーティションへのサスペンド


13

通常、ノートブックをシャットダウンするのではなく、RAMへのサスペンドを使用します。マイナス面は、パスフレーズを入力せずに、再開後に暗号化されたホームパーティションに完全にアクセスできることです。誰かがあなたのノートを盗むなら悪い考え...

cryptsetupのマンページを見てくださいLUKSluksSuspendand luksResumeコマンドをサポートするようになったことを知りました。しているluksSuspendluksResume、サスペンドトゥRAMと再開やってスクリプトに統合されていますか?


関連LPバグ。画面をロックすることは、「通常の」人々から保護する簡単な方法です。パスワードを知っている(または推測できる)人々からセッションを保護したり、バグを悪用してセッションにアクセスしたり、メモリからパスワードを読み取っ
Lekensteyn

回答:


4

現在の問題

Ubuntu Full Disk Encryption(LUKSを使用したdm-cryptに基づく)を使用して完全なシステム暗号化を設定する場合、システムをサスペンドするときに暗号化キーがメモリに保持されます。この欠点は、サスペンドされたラップトップをたくさん持ち歩く場合、暗号化の目的を無効にします。cryptsetup luksSuspendコマンドを使用して、すべてのI / Oを凍結し、メモリからキーをフラッシュできます。

解決

ubuntu-luks-suspend は、デフォルトのサスペンドメカニズムを変更する試みです。基本的な考え方は、暗号化されたルートfsの外側のchroot変更してからロックすることです(withcryptsetup luksSuspend)



3

ここにubuntu 14.04の別の例がありますcryptsetup luks suspend / resume root partition "almost works" :-)

archで動作し、ubuntuで「ほぼ動作する」理由の1つは、ubuntuカーネルが

  Linux system 3.19.0-25-generic #26~14.04.1-Ubuntu SMP Fri Jul 24 21:16:20 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

まだ「古すぎる」:次のパッチはまだありません:

RAMへのサスペンドでsync()をオプションにする

ので、任意pm-utilsまたはuser codeその問題の任意の形式の 明確なキー&スリープ要求など、:

  cryptsetup luksSuspend root
  echo -n "mem" >/sys/power/state

カーネルの呼び出しがsys_sync()発生し、デッドロックが発生しますdm-crypt(設計により、luksサスペンド後)


-2

実際には、サスペンドからの再開時にスクリーンセーバーパスフレーズが必要であることを確認するだけでよく、安全です。

これにより、ラップトップをサスペンドから再開するユーザーがパスワードを入力してからコンピューターにアクセスできるようになります。

ここに画像の説明を入力してください


2
そして、これは本当にluksSuspend / luksResumeを使用しますか?
ステファンArmbruster

2
いいえ、それはあなたのラップトップを再開する誰かが再開時にパスワードを入力する必要があることを保証します。暗号化されたデータの長さを超えた場合、これは不可欠です。
ダスティンカークランド

5
えー、これは十分ではありません...それはスクリーンセーバーのパスワードです。これは、再びGUIに戻る前に、完全にあなたがあなたのLUKSパスワードを入力する必要がしていることを中断しなければならない
BenAlabaster

2
丁度。luksSuspend / luksResumeが使用されない限り、LUKSの復号化キーはRAMに残ります。Ubuntuでこれを行う方法はありますか?
jzila

1
これで十分な場合、この質問は存在しません。はい、これは現実的な99%のシナリオでデータを保護しますが、上記のように、再開時のパスワード保護が有効になっていても、パスワードは一時停止中にRAMにキャッシュされます。ハイテクに敏感な敵(NSAなど)は、「コールドブート攻撃」を実行してパスフレーズを回復し、すべてのデータを解読できます。
Chev_603
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.