ปกติฉันจะไม่ปิดโน้ตบุ๊คของฉันอีกต่อไปเพราะใช้ suspend-to-RAM ข้อเสียคือพาร์ติชันที่เข้ารหัสของฉันสามารถเข้าถึงได้อย่างสมบูรณ์หลังจากดำเนินการต่อโดยไม่ต้องป้อนข้อความรหัสผ่าน ความคิดที่ไม่ดีถ้ามีคนขโมยสมุดบันทึกของคุณ ...

มองไปที่manpage cryptsetup ของ ฉันได้เรียนรู้ว่าตอนนี้LUKSสนับสนุนluksSuspendและluksResumeคำสั่ง มีluksSuspendและluksResumeรวมอยู่ในสคริปต์ที่ทำ suspend-to-RAM และดำเนินการต่อหรือไม่?

ปัญหาปัจจุบัน

เมื่อใช้การเข้ารหัสดิสก์แบบเต็ม Ubuntu (ที่ใช้ dm-crypt กับ LUKS) เพื่อตั้งค่าการเข้ารหัสระบบเต็มรูปแบบคีย์การเข้ารหัสจะถูกเก็บไว้ในหน่วยความจำเมื่อระบบหยุดทำงานชั่วคราว ข้อเสียเปรียบนี้เอาชนะจุดประสงค์ของการเข้ารหัสหากคุณพกพาแล็ปท็อปที่ถูกระงับไปจำนวนมาก หนึ่งสามารถใช้คำสั่ง cryptsetup luksSuspend เพื่อตรึง I / O ทั้งหมดและล้างคีย์ออกจากหน่วยความจำ

วิธีการแก้

ubuntu-luks-suspend เป็นความพยายามที่จะเปลี่ยนกลไกการระงับเริ่มต้น แนวคิดพื้นฐานคือการเปลี่ยนเป็น chroot นอกรูทเข้ารหัส fs แล้วล็อคมัน (withcryptsetup luksSuspend)

นี่เป็นอีกตัวอย่างของอูบุนตู 14.04 cryptsetup luks ระงับ / กลับสู่พาร์ติชั่นรูท "ใช้งานได้" :-)

เหตุผลหนึ่งที่ใช้งานได้กับarchและ "เกือบจะใช้งานได้" สำหรับUbuntuอาจเป็นเคอร์เนลของ Ubuntu ในขณะนั้น

  Linux system 3.19.0-25-generic #26~14.04.1-Ubuntu SMP Fri Jul 24 21:16:20 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

ยังคงเป็น "แก่เกินไป": ยังไม่มีการแก้ไขต่อไปนี้:

ทำให้การซิงค์ () กับ suspend-to-RAM เป็นตัวเลือก

ดังนั้นใด ๆpm-utilsหรือuser codeที่ออกในรูปแบบใด ๆ ของ คีย์ที่ชัดเจนและคำขอนอนหลับเช่น

  cryptsetup luksSuspend root
  echo -n "mem" >/sys/power/state

จะส่งผลให้เคอร์เนลในการโทรsys_sync()ซึ่งจะทำให้เกิดการหยุดชะงักในdm-crypt(โดยการออกแบบหลังจาก luks ระงับ)

ที่จริงแล้วคุณเพียงแค่ต้องให้แน่ใจว่าคุณต้องการข้อความรหัสผ่านของโปรแกรมรักษาหน้าจอในการดำเนินการต่อจากการหยุดชั่วคราวและคุณจะปลอดภัย

วิธีนี้จะช่วยให้มั่นใจได้ว่ามีคนทำงานแล็ปท็อปของคุณจากการหยุดชั่วคราวจะต้องป้อนรหัสผ่านก่อนจึงจะสามารถเข้าสู่คอมพิวเตอร์ได้