¿Cómo puedo cifrar mi sistema (en el mejor de los casos, usando lvm + dm-crypt/luks) de manera que la suspensión en RAM funcione y que todo esté en un estado cifrado cuando se suspenda en RAM?
Respuesta1
Lo que estás pidiendo no es una simple suspensión de RAM, que deja la RAM encendida y apaga todo lo demás. Dado que estaría borrando datos de proceso de texto sin cifrar de la RAM, debe agruparlos todos en la imagen suspendida. Por lo tanto, debe invocar el código de hibernación (es decir, suspensión en disco). La forma realista de hacerlo sería crear un disco ram cifrado, declararlo como espacio de intercambio y llenar la memoria con otros procesos. Incluso entonces los datos del kernel no estarían cifrados; Para hacer eso, creo que necesitarías un parche de kernel considerable.
Por otro lado, si está dispuesto a suspender en disco, este es un problema resuelto. La imagen de hibernación se almacena en el espacio de intercambio. Su espacio de intercambio ya debería estar cifrado según sus requisitos de seguridad. Asegúrese de que esté cifrado con una clave conocida y no con una aleatoria (algunas configuraciones con intercambio cifrado lo utilizan /dev/randomcomo archivo de clave para el espacio de intercambio, lo que da como resultado una clave diferente en cada arranque, por lo que es imposible reanudar una hibernación). imagen). Las distribuciones principales deberían admitir la hibernación lista para usar, incluida la reanudación desde un espacio de intercambio cifrado.
Respuesta2
Verificar tpm-luks:https://github.com/shpedoikal/tpm-luks
Almacena sus claves de cifrado en el módulo de plataforma confiable de su computadora.
Otra opción puede serTRESOR, que utiliza registros de CPU para almacenar claves secretas.