Suspend to RAM und verschlüsselte Partitionen

13

Normalerweise fahre ich mein Notebook nicht mehr herunter, um Suspend-to-RAM zu verwenden. Der Nachteil ist, dass meine verschlüsselte Home-Partition nach dem Fortsetzen ohne Eingabe der Passphrase vollständig zugänglich ist. Eine schlechte Idee, wenn jemand Ihr Notizbuch stiehlt ...

Schauen Sie sich die Manpage von cryptsetup an . Ich habe gelernt, dass LUKS jetzt den Befehl luksSuspendund unterstützt luksResume. Wurde luksSuspendund luksResumewurde in die Skripte integriert, die Suspend-to-RAM und Resume ausführen?

encryption suspend ecryptfs luks Stefan Armbruster
quelle
Verwandte LP Bug . Das Sperren des Bildschirms ist eine einfache Methode, um sich vor "normalen" Personen zu schützen. Es schützt Sie nicht vor Leuten, die Ihr Passwort kennen (oder es erraten können), einen Fehler missbrauchen , um Zugang zu einer Sitzung zu erhalten oder die Passwörter aus dem Speicher zu lesen
Lekensteyn

Antworten:

4

Aktuelles Problem

Wenn Sie Ubuntu Full Disk Encryption (das auf dm-crypt mit LUKS basiert) verwenden, um die vollständige Systemverschlüsselung einzurichten, bleibt der Verschlüsselungsschlüssel im Speicher, wenn Sie das System anhalten. Dieser Nachteil macht den Zweck der Verschlüsselung zunichte, wenn Sie Ihren schwebenden Laptop häufig bei sich haben. Mit dem Befehl cryptsetup luksSuspend können Sie alle E / A-Vorgänge einfrieren und den Schlüssel aus dem Speicher löschen.

Lösung

ubuntu-luks-suspend ist ein Versuch, den Standard-Suspend-Mechanismus zu ändern. Die Grundidee ist, zu einer Chroot außerhalb der verschlüsselten Root- Fs zu wechseln und diese dann zu sperren (withcryptsetup luksSuspend).

Prinz
quelle
1
Dieser Versuch (noch keine Funktion) auf die damit verbundene Frage diskutiert Wie aktiviere ich Ubuntu die Maschine mit LUKSsuspend Ruhezustand während des Schlafes / auszusetzen .
Jonas Malaco
3

Hier ist ein weiteres Beispiel für Ubuntu 14.04. cryptsetup luks suspend / resume root partition "fast funktioniert" :-)

Ein Grund, warum es für Arch und "fast" für Ubuntu funktioniert, könnte der Ubuntu-Kernel ab sein

  Linux system 3.19.0-25-generic #26~14.04.1-Ubuntu SMP Fri Jul 24 21:16:20 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

ist noch "zu alt": der folgende patch ist noch nicht da:

Machen Sie sync () für Suspend-to-RAM optional

so dass alle pm-utilsoder user codedie Probleme jede Form von klaren Tasten & Schlafanforderung , wie zB:

  cryptsetup luksSuspend root
  echo -n "mem" >/sys/power/state

führt im Kernel zu einem Aufruf, sys_sync()der wiederum einen Deadlock verursacht dm-crypt(beabsichtigt, nachdem Luks suspendiert wurden)

Andrei Pozolotin
quelle
-2

Eigentlich müssen Sie nur sicherstellen, dass Ihre Bildschirmschoner-Passphrase beim Fortsetzen nach dem Suspendieren erforderlich ist, und Sie sind sicher.

Dadurch wird sichergestellt, dass jemand, der Ihren Laptop aus dem Standby-Modus reaktiviert, ein Kennwort eingeben muss, bevor er in den Computer eindringen kann.

Bildbeschreibung hier eingeben

Dustin Kirkland
quelle
2
und dies verwendet wirklich luksSuspend / luksResume?
Stefan Armbruster
2
Nein, es stellt sicher, dass jemand, der Ihren Laptop wieder aufnimmt, bei der Wiederaufnahme ein Kennwort eingeben muss. Dies ist wichtig, wenn Sie Ihre Daten verschlüsselt haben.
Dustin Kirkland
5
Äh, das ist nicht genug ... es ist nur ein Bildschirmschoner-Passwort. Es sollte vollständig
angehalten
2
Genau. Der Entschlüsselungsschlüssel für LUKS befindet sich weiterhin im RAM, sofern nicht luksSuspend / luksResume verwendet wird. Gibt es eine Möglichkeit, dies mit Ubuntu zu tun?
Jzila
1
Wenn dies ausreichen würde, würde diese Frage nicht existieren. Ja, dies schützt Ihre Daten in 99% der realistischen Lebensszenarien, aber wie oben erwähnt, wird das Kennwort während des Suspendierens weiterhin im RAM zwischengespeichert, auch wenn der Kennwortschutz bei Wiederaufnahme aktiviert ist. Ein technisch versierter Gegner (wie der NSA) kann einen Kaltstartangriff durchführen, die Passphrase wiederherstellen und dann alle Ihre Daten entschlüsseln.
Chev_603