ระงับ RAM และพาร์ทิชันที่เข้ารหัส


13

ปกติฉันจะไม่ปิดโน้ตบุ๊คของฉันอีกต่อไปเพราะใช้ suspend-to-RAM ข้อเสียคือพาร์ติชันที่เข้ารหัสของฉันสามารถเข้าถึงได้อย่างสมบูรณ์หลังจากดำเนินการต่อโดยไม่ต้องป้อนข้อความรหัสผ่าน ความคิดที่ไม่ดีถ้ามีคนขโมยสมุดบันทึกของคุณ ...

มองไปที่manpage cryptsetup ของ ฉันได้เรียนรู้ว่าตอนนี้LUKSสนับสนุนluksSuspendและluksResumeคำสั่ง มีluksSuspendและluksResumeรวมอยู่ในสคริปต์ที่ทำ suspend-to-RAM และดำเนินการต่อหรือไม่?


ข้อผิดพลาด LP ที่เกี่ยวข้อง การล็อกหน้าจอเป็นวิธีที่ง่ายในการป้องกันคน "ปกติ" มันไม่ได้ป้องกันคุณจากคนที่รู้รหัสผ่านของคุณ (หรือสามารถเดาได้), ใช้งานบั๊กเพื่อเข้าถึงเซสชั่นหรืออ่านรหัสผ่านจากหน่วยความจำ
Lekensteyn

คำตอบ:


4

ปัญหาปัจจุบัน

เมื่อใช้การเข้ารหัสดิสก์แบบเต็ม Ubuntu (ที่ใช้ dm-crypt กับ LUKS) เพื่อตั้งค่าการเข้ารหัสระบบเต็มรูปแบบคีย์การเข้ารหัสจะถูกเก็บไว้ในหน่วยความจำเมื่อระบบหยุดทำงานชั่วคราว ข้อเสียเปรียบนี้เอาชนะจุดประสงค์ของการเข้ารหัสหากคุณพกพาแล็ปท็อปที่ถูกระงับไปจำนวนมาก หนึ่งสามารถใช้คำสั่ง cryptsetup luksSuspend เพื่อตรึง I / O ทั้งหมดและล้างคีย์ออกจากหน่วยความจำ

วิธีการแก้

ubuntu-luks-suspend เป็นความพยายามที่จะเปลี่ยนกลไกการระงับเริ่มต้น แนวคิดพื้นฐานคือการเปลี่ยนเป็น chroot นอกรูทเข้ารหัส fs แล้วล็อคมัน (withcryptsetup luksSuspend)


1
ความพยายามนี้ (ไม่ได้ทำงานเลย) จะหารือเกี่ยวกับคำถามที่เกี่ยวข้องฉันจะเปิดใช้อูบุนตูที่จะระงับการใช้เครื่อง LUKSsuspend ระหว่างการนอนหลับ
Jonas Malaco

3

นี่เป็นอีกตัวอย่างของอูบุนตู 14.04 cryptsetup luks ระงับ / กลับสู่พาร์ติชั่นรูท "ใช้งานได้" :-)

เหตุผลหนึ่งที่ใช้งานได้กับarchและ "เกือบจะใช้งานได้" สำหรับUbuntuอาจเป็นเคอร์เนลของ Ubuntu ในขณะนั้น

  Linux system 3.19.0-25-generic #26~14.04.1-Ubuntu SMP Fri Jul 24 21:16:20 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

ยังคงเป็น "แก่เกินไป": ยังไม่มีการแก้ไขต่อไปนี้:

ทำให้การซิงค์ () กับ suspend-to-RAM เป็นตัวเลือก

ดังนั้นใด ๆpm-utilsหรือuser codeที่ออกในรูปแบบใด ๆ ของ คีย์ที่ชัดเจนและคำขอนอนหลับเช่น

  cryptsetup luksSuspend root
  echo -n "mem" >/sys/power/state

จะส่งผลให้เคอร์เนลในการโทรsys_sync()ซึ่งจะทำให้เกิดการหยุดชะงักในdm-crypt(โดยการออกแบบหลังจาก luks ระงับ)


-2

ที่จริงแล้วคุณเพียงแค่ต้องให้แน่ใจว่าคุณต้องการข้อความรหัสผ่านของโปรแกรมรักษาหน้าจอในการดำเนินการต่อจากการหยุดชั่วคราวและคุณจะปลอดภัย

วิธีนี้จะช่วยให้มั่นใจได้ว่ามีคนทำงานแล็ปท็อปของคุณจากการหยุดชั่วคราวจะต้องป้อนรหัสผ่านก่อนจึงจะสามารถเข้าสู่คอมพิวเตอร์ได้

ป้อนคำอธิบายรูปภาพที่นี่


2
และนี่ใช้ luksSuspend / luksResume จริงๆหรือ
Stefan Armbruster

2
ไม่มันช่วยให้มั่นใจได้ว่าจะต้องมีใครบางคนที่ดำเนินการแล็ปท็อปของคุณอีกครั้งเพื่อป้อนรหัสผ่านเมื่อดำเนินการต่อ นั่นเป็นสิ่งสำคัญหากคุณได้ทำการเข้ารหัสข้อมูลของคุณแล้ว
ดัสตินเคิร์กแลนด์

5
เอ้อนี่มันไม่พอ ... มันเป็นเพียงรหัสผ่านของสกรีนเซฟเวอร์ ควรระงับอย่างสมบูรณ์เพื่อให้คุณต้องป้อนรหัสผ่าน LUKS อีกครั้งก่อนกลับไปที่ GUI
BenAlabaster

2
เผง คีย์ถอดรหัสสำหรับ LUKS จะยังคงอยู่ใน RAM เว้นแต่จะใช้ luksSuspend / luksResume มีวิธีการทำสิ่งนี้กับ Ubuntu หรือไม่?
jzila

1
หากนี่เพียงพอคำถามนี้จะไม่มีอยู่ ใช่สิ่งนี้จะปกป้องข้อมูลของคุณใน 99% ของสถานการณ์ในชีวิตจริง แต่ตามที่ระบุไว้ข้างต้นรหัสผ่านยังคงถูกเก็บไว้ใน RAM ในระหว่างที่ถูกระงับแม้ว่าการเปิดใช้งานการป้องกันด้วยรหัสผ่านในการดำเนินการต่อ ศัตรูที่มีความรู้ด้านเทคโนโลยี (เช่น NSA) จะสามารถทำการ 'โจมตีด้วยการบู๊ตเย็น' และกู้คืนข้อความรหัสผ่านแล้วถอดรหัสข้อมูลทั้งหมดของคุณ
Chev_603
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.