RAMへのサスペンドが機能し、暗号化もされるようにシステムを暗号化する方法

Question 1

あなたが求めているのは、RAM の電源をオンにしたまま、他のすべてをシャットダウンする単純なサスペンドトゥ RAM ではありません。RAM からクリアテキストのプロセスデータを消去するため、それをすべてサスペンドイメージにマーシャリングする必要があります。そのため、ハイバネーション (つまり、サスペンドトゥディスク) コードを呼び出す必要があります。これを行う現実的な方法は、暗号化された RAM ディスクを作成し、それをスワップ領域として宣言し、メモリを他のプロセスで埋めることです。それでもカーネルデータは暗号化されません。それを行うには、かなり大きなカーネルパッチが必要になると思います。

一方、ディスクにサスペンドするのであれば、この問題は解決されます。ハイバネーションイメージはスワップスペースに保存されます。セキュリティ要件を考慮すると、スワップスペースは既に暗号化されているはずです。ランダムなキーではなく、既知のキーで暗号化されていることを確認してください (暗号化されたスワップを使用する一部のセットアップでは、/dev/randomスワップスペースのキーファイルとしてスワップが使用され、起動ごとにキーが異なり、ハイバネーションイメージを再開できなくなります)。主要なディストリビューションでは、暗号化されたスワップスペースからの再開を含め、すぐにハイバネーションがサポートされるはずです。

Answer

あなたが求めているのは、RAM の電源をオンにしたまま、他のすべてをシャットダウンする単純なサスペンドトゥ RAM ではありません。RAM からクリアテキストのプロセスデータを消去するため、それをすべてサスペンドイメージにマーシャリングする必要があります。そのため、ハイバネーション (つまり、サスペンドトゥディスク) コードを呼び出す必要があります。これを行う現実的な方法は、暗号化された RAM ディスクを作成し、それをスワップ領域として宣言し、メモリを他のプロセスで埋めることです。それでもカーネルデータは暗号化されません。それを行うには、かなり大きなカーネルパッチが必要になると思います。

一方、ディスクにサスペンドするのであれば、この問題は解決されます。ハイバネーションイメージはスワップスペースに保存されます。セキュリティ要件を考慮すると、スワップスペースは既に暗号化されているはずです。ランダムなキーではなく、既知のキーで暗号化されていることを確認してください (暗号化されたスワップを使用する一部のセットアップでは、/dev/randomスワップスペースのキーファイルとしてスワップが使用され、起動ごとにキーが異なり、ハイバネーションイメージを再開できなくなります)。主要なディストリビューションでは、暗号化されたスワップスペースからの再開を含め、すぐにハイバネーションがサポートされるはずです。

Question 2

チェックアウトtpm-luks：https://github.com/shpedoikal/tpm-luks

暗号化キーはコンピュータの信頼できるプラットフォームモジュールに保存されます。

もう一つの選択肢はトレゾアは、CPU レジスタを使用して秘密鍵を保存します。

Answer

チェックアウトtpm-luks：https://github.com/shpedoikal/tpm-luks

暗号化キーはコンピュータの信頼できるプラットフォームモジュールに保存されます。

もう一つの選択肢はトレゾアは、CPU レジスタを使用して秘密鍵を保存します。

RAMへのサスペンドが機能し、暗号化もされるようにシステムを暗号化する方法

答え1

答え2

関連情報