ユーザーごとに交換を暗号化できますか?

ユーザーごとに交換を暗号化できますか?

暗号化されたスワップを使用するマルチユーザーコンピュータの場合、問題は他のユーザーのセキュリティを損なうことなく各ユーザーが休止状態になり、休止状態から再開できるようにする方法です。

各ユーザーが休止状態で再起動しようとしたときに簡単に入力できるように、各ユーザーの交換使用量を暗号化する方法を探しています。彼らパスワード/パスワード。他のユーザーの交換を解読することはできません。そのユーザーが交換を復号化してプロセスを続行するためのパスワードを提供できるようになるまで、すべてのユーザーのプロセスを停止する必要があります。

ユーザーは、コンピュータを復元する人に関係なく続行できるように、プロセスの一部または全部を暗号化しないようにすることができます。

個人データがシステムプロセスに保存されず、システムがユーザーのキーがスワップ領域に到達することを許可しない限り、システムのスワップ領域は暗号化する必要はありません。これは、すべてのユーザーが他のユーザーを危険にさらすことなくシステムを復元できることを意味します。 。

これは、BIOSファームウェア(CorebootやLibreBootなど)に保存されているキーを使用してシステムを暗号化して変調を非常に困難にするように補完することができますが、これは変調が含まれるため、基本的に異なるアプローチです。ハードウェアは明らかに難しく、完全な変調方法ではありません。 。改ざんの問題がないと仮定すると、暗号化方法を使用して他人の個人データを読み取ることを防ぐことができます。最適なセキュリティを確保するために両方のメカニズムを組み合わせることができますが、この質問では完全に暗号化されたアプローチが必要です。

理論的にはそうですが、実際には実装されていない可能性があります。 Linuxでも可能であればと思います。

答え1

はい、ソフトウェアですべてが可能です。これを行うには、カーネルのいくつかの重要な部分を変更する必要があるかもしれません。今あなたが言うのは…いいえ。実際、特定のユーザーに基づいてシステムスワップスペースを割り当てることはできません。

別のアプローチは、物理パーティションにスワップスペースを割り当てることなく、truecryptボリュームに事前に割り当てられた大きなファイルを分割してマウントし、その下にスワップファイルを作成することです。次に、truecryptボリュームの下のファイルをスワップファイルとして使用するようにシステムを設定します。この動きの安定性と処理効率を保証するものではありませんが、試してみることができます。ただし、これはユーザー固有ではなくシステム固有です。

関連情報