Suspendre à la RAM et aux partitions chiffrées

Normalement, je n'arrête plus mon ordinateur portable en faveur de l'utilisation de la suspension sur RAM. L'inconvénient est que ma partition domestique cryptée est complètement accessible après la reprise sans entrer la phrase secrète. Une mauvaise idée si quelqu'un vole votre ordinateur portable ...

En regardant la page de manuel de cryptsetup . J'ai appris que LUKS prend désormais en charge la commande luksSuspendand luksResume. A été luksSuspendet a luksResumeété intégré dans les scripts faisant suspendre-à-RAM et reprendre?

— Stefan Armbruster
source

Bug LP associé . Le verrouillage de l'écran est une méthode simple pour se protéger contre les personnes "ordinaires". Il ne vous protège pas des personnes qui connaissent votre mot de passe (ou peuvent le deviner), abusent d' un bogue pour accéder à une session ou lire les mots de passe de la mémoire

— Lekensteyn

Réponses:

Problème actuel

Lorsque vous utilisez Ubuntu Full Disk Encryption (qui est basé sur dm-crypt avec LUKS) pour configurer le chiffrement complet du système, la clé de chiffrement est conservée en mémoire lors de la suspension du système. Cet inconvénient va à l'encontre du but du cryptage si vous transportez beaucoup votre ordinateur portable suspendu. On peut utiliser la commande cryptsetup luksSuspend pour geler toutes les E / S et vider la clé de la mémoire.

Solution

ubuntu-luks-suspend est une tentative de modification du mécanisme de suspension par défaut. L'idée de base est de passer à un chroot en dehors de la racine cryptée fs, puis de le verrouiller (withcryptsetup luksSuspend)

— Prinz
source

Cette tentative (pas encore fonctionnelle) est discutée sur la question connexe Comment puis-je permettre à Ubuntu de suspendre la machine en utilisant LUKSsuspend pendant le sommeil / hibernation .

— Jonas Malaco

voici un autre exemple de ubuntu 14.04 cryptsetup luks suspendre / reprendre la partition racine "fonctionne presque" :-)

une des raisons pour lesquelles cela fonctionne pour arch et "fonctionne presque" pour ubuntu pourrait être que le noyau ubuntu

  Linux system 3.19.0-25-generic #26~14.04.1-Ubuntu SMP Fri Jul 24 21:16:20 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

est toujours "trop ancien": le patch suivant n'est pas encore là:

rendre la synchronisation () sur la suspension vers la RAM facultative

donc tout pm-utilsou user codequi émet toute forme de clés claires et demande de sommeil , tels que:

  cryptsetup luksSuspend root
  echo -n "mem" >/sys/power/state

entraînera le noyau dans un appel sys_sync()qui à son tour provoque un blocage dm-crypt(par conception, après la suspension de luks)

— Andrei Pozolotin
source

-2

En fait, il vous suffit de vous assurer que votre phrase secrète d'économiseur d'écran est requise à la reprise de la suspension, et vous serez en sécurité.

Cela garantira que quelqu'un reprenant votre ordinateur portable de la suspension devra entrer un mot de passe avant de pouvoir entrer dans l'ordinateur.

entrez la description de l'image ici

— Dustin Kirkland
source

et cela utilise vraiment luksSuspend / luksResume?

— Stefan Armbruster

Non, cela garantit que quelqu'un reprenant votre ordinateur portable doit entrer un mot de passe lors de la reprise. C'est essentiel si vous êtes allé jusqu'à la longueur de vos données cryptées.

— Dustin Kirkland

Euh, ce n'est pas suffisant ... c'est juste un mot de passe d'économiseur d'écran. Il devrait se suspendre complètement afin que vous soyez obligé de saisir à nouveau votre mot de passe LUKS avant de revenir à l'interface graphique

— BenAlabaster

Exactement. La clé de déchiffrement pour LUKS sera toujours dans la RAM sauf si luksSuspend / luksResume est utilisé. Existe-t-il un moyen de le faire avec Ubuntu?

— jzila

Si cela suffisait, cette question n'existerait pas. Oui, cela protégera vos données dans 99% des scénarios de vie réalistes, mais comme indiqué ci-dessus, le mot de passe est toujours mis en cache dans la RAM pendant la suspension, même si la protection par mot de passe à la reprise est activée. Un ennemi technophile (comme la NSA) pourrait effectuer une `` attaque de démarrage à froid '' et récupérer la phrase secrète, puis décrypter toutes vos données.

— Chev_603