Suspender a RAM y particiones cifradas

13

Normalmente ya no apago mi computadora portátil en favor del uso de suspender a RAM. La desventaja es que mi partición de inicio encriptada es completamente accesible después de reanudar sin ingresar la frase de contraseña. Una mala idea si alguien roba tu cuaderno ...

Mirando la página de manual de cryptsetup . Aprendí que LUKS ahora admite el comando luksSuspendy luksResume. Ha luksSuspendy luksResumeha integrado en los guiones que hacen suspender a RAM y hoja de vida?

Stefan Armbruster
fuente
Error relacionado con LP . Bloquear la pantalla es un método fácil de proteger contra las personas "normales". No lo protege de las personas que conocen su contraseña (o pueden adivinarla), abusan de un error para obtener acceso a una sesión o leen las contraseñas de memoria
Lekensteyn

Respuestas:

4

Problema actual

Cuando se usa Ubuntu Full Disk Encryption (que se basa en dm-crypt con LUKS) para configurar el cifrado completo del sistema, la clave de cifrado se mantiene en la memoria cuando se suspende el sistema. Este inconveniente anula el propósito del cifrado si llevas mucho tu computadora portátil suspendida. Se puede usar el comando cryptsetup luksSuspend para congelar todas las E / S y borrar la clave de la memoria.

Solución

ubuntu-luks-suspend es un intento de cambiar el mecanismo de suspensión predeterminado. La idea básica es cambiar a un chroot fuera de la raíz cifrada fs y luego bloquearlo (con cryptsetup luksSuspend)

Prinz
fuente
1
Este intento (aún no funcional) se discute en la pregunta relacionada ¿ Cómo habilito Ubuntu para suspender la máquina usando LUKSsuspend durante la suspensión / hibernación ?
Jonas Malaco
3

Aquí hay otro ejemplo de ubuntu 14.04 cryptsetup luks suspender / reanudar la partición raíz "casi funciona" :-)

una razón por la que funciona para arch y "casi funciona" para ubuntu podría ser ese kernel de ubuntu a partir de

  Linux system 3.19.0-25-generic #26~14.04.1-Ubuntu SMP Fri Jul 24 21:16:20 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

todavía es "demasiado viejo": el siguiente parche aún no está allí:

hacer sync () en suspensión a RAM opcional

así que cualquiera pm-utilso user codeeso emite cualquier forma de claves claras y solicitud de suspensión , como:

  cryptsetup luksSuspend root
  echo -n "mem" >/sys/power/state

dará como resultado un kernel en una llamada a la sys_sync()que a su vez provoca un punto muerto dm-crypt(por diseño, después de que se suspenda luks)

Andrei Pozolotin
fuente
-2

En realidad, solo necesita asegurarse de que su frase de contraseña del protector de pantalla sea necesaria en el currículum vitae desde la suspensión, y estará seguro.

Esto asegurará que alguien que reanude su computadora portátil de la suspensión tenga que ingresar una contraseña antes de poder ingresar a la computadora.

ingrese la descripción de la imagen aquí

Dustin Kirkland
fuente
2
y esto realmente usa luksSuspend / luksResume?
Stefan Armbruster
2
No, garantiza que alguien que reanude su computadora portátil debe ingresar una contraseña en el currículum. Eso es esencial si ha llegado al extremo de cifrar sus datos.
Dustin Kirkland
55
Er, esto no es suficiente ... es solo una contraseña de protector de pantalla. Debe suspenderse por completo para que se le
solicite
2
Exactamente. La clave de descifrado para LUKS seguirá estando en RAM a menos que se use luksSuspend / luksResume. ¿Hay alguna manera de hacer esto con Ubuntu?
jzila
1
Si esto fuera suficiente, esta pregunta no existiría. Sí, esto protegerá sus datos en el 99% de los escenarios de vida realistas, pero como se señaló anteriormente, la contraseña todavía se almacena en caché en la RAM durante la suspensión, incluso si la protección con contraseña al reanudar está habilitada. Un enemigo experto en tecnología (como la NSA) podría realizar un "ataque de arranque en frío" y recuperar la frase de contraseña, y luego descifrar todos sus datos.
Chev_603