sedutil suspender

3

Estou usando sedutil e LinuxPBA para criptografia total de disco no meu Samsung Evo 850 SSD.

Tudo funciona bem, exceto pelo fato de eu não conseguir suspender enquanto a criptografia está "habilitada", pois o disco perde energia na suspensão e nos bloqueios. Agora, eu sei que este é um bug conhecido, mas não posso viver sem suspender.

Pensei então em duas soluções:

  • Execute o comando "disable" antes de ir para a suspensão e o "enable" ao retomar.
  • Suspender para S1

Eu tentei o primeiro e falhei. Ficou bloqueado e executando uma instalação limpa agora. Este último provou-se bastante evasivo para permitir no Ubuntu, e eu preferiria a primeira opção, se possível devido ao uso da bateria (eu gosto de manter meu laptop ligado ou suspenso 24/7).

No momento, desativei a criptografia, mas gostaria de ativá-la novamente. É melhor do que o LUKS para mim no que diz respeito a hardware e nenhuma das partições pode ser editada sem desbloqueio.

    
por Wilhelm Erasmus 10.12.2015 / 12:40

1 resposta

1

Bem, estou enfrentando o mesmo problema. Na verdade, ainda não, mas comprei um SED sem conhecer essa limitação.

Existem algumas soluções de software habilitadas para SED que permitem a S3-suspender, mas são a) soluções baseadas em assinatura voltadas para o nível corporativo eb) bastante caras. E talvez eles não trabalhem com linux.

Você já identificou o problema subjacente: no S3, a energia para a unidade é cortada, desabilitando-a efetivamente. No reinício, a unidade está bloqueada, o que os dados na sua RAM não sabem, então o seu sistema irá falhar. Para contornar isso, seria necessário um mecanismo que, de alguma forma, armazenasse a senha para desbloqueio na RAM e também fosse executado primeiro após o reinício para garantir que a unidade estivesse acessível novamente. Eu sei que isso representa um grave problema de segurança, já que a chave precisa estar em memória a maior parte do tempo, possibilitando a leitura por um software malicioso. Mas isso não é compatível com OPAL. Talvez esses programas comerciais usem a ajuda de implementações de BIOS (possivelmente os recursos de segurança do ATA?). No entanto, acho que ter a chave divulgada na memória é um risco aceitável para a maioria dos usuários e ainda protege contra roubo / espionagem de encontros aleatórios. Vale a pena notar que também qualquer FDE baseado em software também tem que armazenar a chave não criptografada na RAM o tempo todo!

Eu realmente espero que o desenvolvedor do sedutil possa encontrar uma maneira de obter uma solução semelhante para ativar o S3. É realmente o que me impede de ativar a funcionalidade do SED. Por outro lado, desde que o Windows 10 também TrueCrypt provoca uma tela azul depois de retomar do S3 no meu laptop (!).

    
por TJJ 12.02.2016 / 13:09