web-dev-qa-db-fra.com

Suspendre à RAM et aux partitions chiffrées

Normalement, je n’éteins plus mon ordinateur portable en faveur de l’utilisation de suspendre en RAM. L'inconvénient est que ma partition home cryptée est complètement accessible après la reprise sans entrer la phrase secrète. Une mauvaise idée si quelqu'un vole votre cahier ...

En regardant page de manuel de cryptsetup . J'ai appris que LUKS supporte maintenant les commandes luksSuspend et luksResume. Est-ce que luksSuspend et luksResume ont été intégrés dans les scripts effectuant une suspension de RAM et une reprise?

13
Stefan Armbruster

Problème actuel

Lorsque vous utilisez Ubuntu Full Disk Encryption (basé sur dm-crypt avec LUKS) pour configurer le cryptage complet du système, la clé de cryptage est conservée en mémoire lors de la suspension du système. Cet inconvénient va à l’encontre du but du cryptage si vous transportez beaucoup votre ordinateur portable suspendu. Vous pouvez utiliser la commande cryptsetup luksSuspend pour geler toutes les E/S et vider la clé de la mémoire.

Solution

buntu-luks-suspend est une tentative de modification du mécanisme de suspension par défaut. L'idée de base est de passer à un chroot situé en dehors de la racine cryptée, puis le verrouiller (withcryptsetup luksSuspend)

4
Prinz

voici n autre exemple de ubuntu 14.04 cryptsetup luks suspend/reprend la partition racine "fonctionne presque" :-)

une des raisons pour lesquelles il fonctionne pour Arch et "fonctionne presque" pour ubuntu pourrait être ce noyau ubuntu à partir de

  Linux system 3.19.0-25-generic #26~14.04.1-Ubuntu SMP Fri Jul 24 21:16:20 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

est encore "trop ​​vieux": le patch suivant n'est pas encore là:

make sync () optionnel sur suspend-to-RAM

ainsi, tout pm-utils ou user code qui émet toute forme de touches claires et demande de veille , tels que:

  cryptsetup luksSuspend root
  echo -n "mem" >/sys/power/state

entraînera dans le noyau un appel à sys_sync(), ce qui entraînera un blocage dans dm-crypt (de par sa conception, après la suspension de luks)

3
Andrei Pozolotin