Suspender para RAM e partições criptografadas

13

Normalmente, não desligo mais meu notebook em favor do uso da suspensão para RAM. A desvantagem é que minha partição pessoal criptografada fica completamente acessível após o resumo, sem digitar a senha. Uma má idéia se alguém roubar seu notebook ...

Olhando a página de manual do cryptsetup . Aprendi que o LUKS agora suporta o comando luksSuspende luksResume. Foi luksSuspende luksResumefoi integrado nos scripts fazendo suspensão para RAM e currículo?

Stefan Armbruster
fonte
Bug relacionado ao LP . Bloquear a tela é um método fácil de proteger contra as pessoas "comuns". Ela não protegê-lo de pessoas que conhecem sua senha (ou pode adivinhar), abusar um bug para ganhar acesso a uma sessão ou ler as senhas a partir da memória
Lekensteyn

Respostas:

4

Problema atual

Ao usar a Criptografia de disco completo do Ubuntu (que é baseada no dm-crypt com LUKS) para configurar a criptografia completa do sistema, a chave de criptografia é mantida na memória ao suspender o sistema. Essa desvantagem anula o objetivo da criptografia se você carrega muito seu laptop suspenso. Pode-se usar o comando cryptsetup luksSuspend para congelar todas as E / S e liberar a chave da memória.

Solução

O ubuntu-luks-suspend é uma tentativa de alterar o mecanismo de suspensão padrão. A idéia básica é mudar para um chroot fora da raiz criptografada fs e bloqueá-la (withcryptsetup luksSuspend)

Prinz
fonte
1
Esta tentativa (ainda não funcional) é discutida na questão relacionada: Como habilito o Ubuntu para suspender a máquina usando LUKSsuspend durante suspensão / hibernação .
Jonas Malaco
3

aqui está outro exemplo do uks Ubuntu 14.04 cryptsetup luks suspender / retomar a partição raiz "quase funciona" :-)

uma razão pela qual ele funciona para o arch e "quase funciona" para o ubuntu pode ser o kernel do ubuntu a partir de

  Linux system 3.19.0-25-generic #26~14.04.1-Ubuntu SMP Fri Jul 24 21:16:20 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

ainda é "muito antigo": o seguinte patch ainda não está lá:

torne opcional sync () na suspensão para RAM opcional

portanto, qualquer um pm-utilsou user codeque emita qualquer forma de chave clara e solicitação de suspensão , como:

  cryptsetup luksSuspend root
  echo -n "mem" >/sys/power/state

resultará no kernel em uma chamada na sys_sync()qual, por sua vez, causa um impasse dm-crypt(por design, após a suspensão do luks)

Andrei Pozolotin
fonte
-2

Na verdade, você só precisa garantir que sua senha de proteção de tela seja necessária ao suspender o currículo e você estará seguro.

Isso garantirá que alguém que retome a suspensão do laptop tenha que digitar uma senha antes de poder entrar no computador.

insira a descrição da imagem aqui

Dustin Kirkland
fonte
2
e isso realmente usa luksSuspend / luksResume?
Stefan Armbruster
2
Não, ele garante que alguém que reinicie o seu laptop precise digitar uma senha no currículo. Isso é essencial se você tiver comprado seus dados criptografados.
Dustin Kirkland
5
Er, isso não é suficiente ... é apenas uma senha de proteção de tela. Deve suspender totalmente para que você é obrigado a digitar sua senha LUKS novamente antes de voltar ao GUI
BenAlabaster
2
Exatamente. A chave de descriptografia para LUKS ainda estará na RAM, a menos que luksSuspend / luksResume seja usado. Existe uma maneira de fazer isso com o Ubuntu?
jzila
1
Se isso fosse suficiente, essa pergunta não existiria. Sim, isso protegerá seus dados em 99% dos cenários de vida realista, mas, como observado acima, a senha ainda será armazenada em cache na RAM durante a suspensão, mesmo se a proteção de senha no currículo estiver ativada. Um inimigo experiente em tecnologia (como a NSA) seria capaz de realizar um 'ataque de inicialização a frio', recuperar a senha e, em seguida, descriptografar todos os seus dados.
Chev_603