RAMの一時停止が機能し、RAMの一時停止時にすべてが暗号化されるようにシステムを暗号化するにはどうすればよいですか(lvm + dm-crypt / lukを使用することをお勧めします)。
答え1
あなたが要求するのは、単にRAMを一時停止することではありません。つまり、RAMの電源を入れ、他のすべてをオフにします。 RAMからプレーンテキストプロセスデータを削除するため、すべてのデータを一時停止イメージとしてマーシャリングする必要があります。したがって、休止状態(つまり、ディスクの一時停止)コードを呼び出す必要があります。実際のアプローチは、暗号化されたRAMディスクを作成し、それをスワップ空間として宣言してから、別のプロセスでメモリを埋めることです。それにもかかわらず、カーネルデータは暗号化されないので、かなり大きなカーネルパッチが必要になるでしょう。
一方、ディスクを一時停止しようとすると、これは解決された問題です。休止状態イメージはスワップ空間に保存されます。セキュリティ要件を考慮してスワップスペースを暗号化する必要があります。ランダムキーではなく既知のキーで暗号化されていることを確認してください(暗号化されたスワップを使用する設定の中にはスワップ/dev/random
スペースにキーファイルを使用するため、起動するたびに別のキーが生成され、休止状態を再開できなくなります)。主なディストリビューションは、暗号化されたスワップスペースの回復を含む即座に休止状態をサポートする必要があります。
答え2
確認するtpm-luks
:https://github.com/shpedoikal/tpm-luks
コンピュータの信頼できるプラットフォームモジュールに暗号化キーを保存します。
別のオプションは次のとおりです。トレソル、CPUレジスタを使用してキーを保存します。