Problema atual

Ao usar o Ubuntu Full Disk Encryption (que é baseado no dm-crypt com o LUKS) para configurar a criptografia completa do sistema, a chave de criptografia é mantida na memória ao suspender o sistema. Essa desvantagem derrota o propósito da criptografia se você carregar bastante o seu laptop suspenso. Pode-se usar o comando luksSuspend cryptsetup para congelar todo o I / O e liberar a chave da memória.

Solução

ubuntu-luks-suspend é uma tentativa de alterar o mecanismo de suspensão padrão . A idéia básica é mudar para um chroot fora da raiz criptografada fs e depois travá-la (withcryptsetup luksSuspend)

aqui é outro exemplo do ubuntu 14.04 cryptsetup luks suspender / retomar a partição raiz "quase funciona": -)

um motivo pelo qual ele funciona para o arch e "quase funciona" para o ubuntu pode ser que o kernel do ubuntu a partir de

  Linux system 3.19.0-25-generic #26~14.04.1-Ubuntu SMP Fri Jul 24 21:16:20 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

ainda é "muito antigo": o seguinte patch ainda não está lá:

make sync () na opção suspender para a RAM

para qualquer pm-utils ou user code que emita qualquer forma de limpar chaves & amp; pedido de suspensão , como:

  cryptsetup luksSuspend root
  echo -n "mem" >/sys/power/state

resultará no kernel em uma chamada para sys_sync() , que por sua vez causa um deadlock em dm-crypt (por design, depois de luks suspender)

Na verdade, você só precisa garantir que sua frase secreta de proteção de tela seja necessária no reinício da suspensão e você estará seguro.

Isso garantirá que alguém que retome seu laptop da suspensão tenha que digitar uma senha antes de entrar no computador.