RAM और एन्क्रिप्टेड विभाजन के लिए निलंबित करें

13

आम तौर पर मैं सस्पेंड-टू-रैम का उपयोग करने के पक्ष में अपनी नोटबुक को बंद नहीं करता। नकारात्मक पक्ष यह है कि मेरा एन्क्रिप्टेड होम विभाजन पासफ़्रेज़ में प्रवेश किए बिना फिर से शुरू होने के बाद पूरी तरह से सुलभ है। एक बुरा विचार अगर किसी ने आपकी नोटबुक चुरा ली ...

Cryptsetup के मैनपेज को देखते हुए । मैंने सीखा है कि एलयूकेएस अब luksSuspendऔर luksResumeकमांड का समर्थन करता है । गया है luksSuspendऔर luksResumeनिलंबित करने के लिए राम और फिर से शुरू कर लिपियों में एकीकृत किया गया?

encryption  suspend  ecryptfs  luks 
स्टीफन आर्मब्रस्टर
स्रोत
संबंधित एलपी बग । "नियमित" लोगों से बचाने के लिए स्क्रीन को लॉक करना एक आसान तरीका है। यह उन लोगों से आपकी रक्षा नहीं करता है, जो आपके पासवर्ड को जानते हैं (या इसका अनुमान लगा सकते हैं), एक सत्र तक पहुंच प्राप्त करने के लिए बग का दुरुपयोग करें या मेमोरी से पासवर्ड पढ़ें
लेकेनस्टाइन

जवाबों:

4

वर्तमान समस्या

पूर्ण सिस्टम एन्क्रिप्शन को सेट करने के लिए उबंटू फुल डिस्क एन्क्रिप्शन (जो डीएमयू-क्रिप्ट पर आधारित है) का उपयोग करते समय, सिस्टम को निलंबित करते समय एन्क्रिप्शन कुंजी को मेमोरी में रखा जाता है। यदि आप अपने निलंबित लैपटॉप को बहुत आगे ले जाते हैं तो यह कमी एन्क्रिप्शन के उद्देश्य को हरा देती है। एक सभी I / O को फ्रीज करने और मेमोरी से चाबी को फ्लश करने के लिए cryptsetup luksSuspend कमांड का उपयोग कर सकता है।

समाधान

उबंटु-लुक्स-सस्पेंड डिफ़ॉल्ट सस्पेंड तंत्र को बदलने का एक प्रयास है। मूल विचार एन्क्रिप्टेड रूट fs के बाहर चेरोट में बदलना है और फिर इसे लॉक करना (withcryptsetup luksSuspend)

प्रिंज़
स्रोत
1
यह प्रयास (अभी तक कार्यात्मक नहीं है) संबंधित प्रश्न पर चर्चा की गई है कि मैं उबंटू को नींद / हाइबरनेट के दौरान LUKSsuspend का उपयोग करके मशीन को निलंबित करने में कैसे सक्षम करूं
जोनास मालाको
3

यहाँ ubuntu 14.04 क्रायसिपेटअप लुक्स सस्पेंड / रुट पार्टीशन "लगभग वर्क्स" :-) का एक और उदाहरण है

एक कारण यह आर्क के लिए काम करता है और ubuntu के लिए "लगभग काम करता है" हो सकता है कि के रूप में ubuntu कर्नेल हो सकता है

  Linux system 3.19.0-25-generic #26~14.04.1-Ubuntu SMP Fri Jul 24 21:16:20 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

अभी भी "बहुत पुराना है": निम्नलिखित पैच अभी तक नहीं है:

सस्पेंड-टू-रैम वैकल्पिक पर सिंक () करें

इतना pm-utilsया user codeकि स्पष्ट कुंजी और नींद अनुरोध के किसी भी रूप जारी करता है , जैसे:

  cryptsetup luksSuspend root
  echo -n "mem" >/sys/power/state

एक कॉल में कर्नेल का परिणाम होगा sys_sync()जो बदले में dm-crypt(डॉक्यूमेंट के बाद लुक्स सस्पेंड) में गतिरोध का कारण बनता है

आंद्रेई पॉज़ोलोटिन
स्रोत
-2

दरअसल, आपको बस यह सुनिश्चित करने की आवश्यकता है कि आपके स्क्रीनसेवर पासफ़्रेज़ को सस्पेंड से फिर से शुरू करने की आवश्यकता है, और आप सुरक्षित रहेंगे।

यह सुनिश्चित करेगा कि आपके लैपटॉप को सस्पेंड करने वाले किसी व्यक्ति को कंप्यूटर में प्रवेश करने से पहले पासवर्ड दर्ज करना होगा।

यहाँ छवि विवरण दर्ज करें

डस्टिन किर्कलैंड
स्रोत
2
और यह वास्तव में luksSuspend / luksResume का उपयोग करता है?
स्टीफन आर्मब्रस्टर
2
नहीं, यह सुनिश्चित करता है कि आपके लैपटॉप को फिर से शुरू करने वाले को फिर से शुरू करने के लिए एक पासवर्ड दर्ज करना आवश्यक है। यदि आप अपने डेटा को एन्क्रिप्ट करने की अवधि में चले गए हैं तो यह आवश्यक है।
डस्टिन किर्कलैंड
5
एर, यह पर्याप्त नहीं है ... यह सिर्फ एक स्क्रीनसेवर पासवर्ड है। यह पूरी तरह से निलंबित होना चाहिए ताकि आपको GUI पर लौटने से पहले अपना LUKS पासवर्ड फिर से दर्ज करना पड़े
BenAlabaster
2
बिल्कुल सही। LUKS के लिए डिक्रिप्शन कुंजी अभी भी RAM में होगी जब तक कि luksSuspend / luksResume का उपयोग नहीं किया जाता है। क्या उबंटू के साथ ऐसा करने का कोई तरीका है?
jzila
1
यदि यह पर्याप्त होता, तो यह प्रश्न मौजूद नहीं होता। हां, यह 99% यथार्थवादी जीवन परिदृश्यों में आपके डेटा की रक्षा करेगा, लेकिन जैसा कि ऊपर उल्लेख किया गया है, पासवर्ड अभी भी निलंबित के दौरान रैम में कैश किया गया है, भले ही पासवर्ड को फिर से शुरू करने में सक्षम हो। एक टेक-सेवी दुश्मन (जैसे कि एनएसए) एक 'कोल्ड बूट अटैक' करने में सक्षम होगा और पासफ़्रेज़ को पुनर्प्राप्त करेगा, फिर अपने सभी डेटा को डिक्रिप्ट करेगा।
Chev_603
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.