Como criptografar meu sistema de modo que suspender para a RAM funciona e também é criptografado

6

Como posso criptografar meu sistema (na melhor das hipóteses usando lvm + dm-crypt / luks) de modo que a suspensão para a RAM funcione e que tudo esteja em um estado criptografado quando suspenso na RAM?

    
por student 30.04.2013 / 18:18

2 respostas

3

O que você está pedindo não é uma simples suspensão-para-RAM, que deixa a RAM ligada e desliga todo o resto. Como você estaria limpando dados de processo de texto não criptografado da RAM, você precisa organizar tudo na imagem da suspensão. Então você tem que invocar o código de hibernação (ou seja, suspender para o disco). A maneira realista de fazer isso seria criar um ramdisk criptografado, declará-lo como espaço de troca e preencher a memória com outros processos. Mesmo assim, os dados do kernel não seriam criptografados; para fazer isso, acho que você precisaria de um patch de kernel considerável.

Por outro lado, se você estiver disposto a suspender para o disco, esse é um problema resolvido. A imagem de hibernação é armazenada no espaço de troca. Seu espaço de troca já deve estar criptografado, dado seu requisito de segurança. Certifique-se de que ele esteja criptografado com uma chave conhecida e não com uma chave aleatória (algumas configurações com uso de permuta criptografada /dev/random como o arquivo de chave para o espaço de troca, o que resulta em uma chave diferente em cada inicialização, portanto é impossível retomar uma imagem hibernada). As distribuições principais devem suportar a hibernação de fábrica, incluindo a retomada de um espaço de troca criptografado.

    
por 02.05.2013 / 03:37
0

Confira tpm-luks : link

Ele armazena suas chaves de criptografia no módulo de plataforma confiável do seu computador.

Outra opção pode ser TRESOR , que usa registradores de CPU para armazenar chaves secretas.

    
por 01.05.2013 / 09:01