RAM 일시 중지가 작동하고 RAM 일시 중지 시 모든 것이 암호화되도록 시스템을 암호화하려면 어떻게 해야 합니까(lvm + dm-crypt/luks 사용 권장)?
답변1
당신이 요구하는 것은 단순히 RAM을 일시 중지하는 것이 아닙니다. 즉, RAM의 전원을 켜고 다른 모든 것을 끄는 것입니다. RAM에서 일반 텍스트 프로세스 데이터를 삭제하므로 모든 데이터를 일시 중지 이미지로 마샬링해야 합니다. 따라서 최대 절전 모드(즉, 디스크 일시 중지) 코드를 호출해야 합니다. 실제 접근 방식은 암호화된 램디스크를 생성하고 이를 스왑 공간으로 선언한 다음 다른 프로세스로 메모리를 채우는 것입니다. 그럼에도 불구하고 커널 데이터는 암호화되지 않으므로 상당히 큰 커널 패치가 필요할 것입니다.
반면에 디스크를 일시 중단하려는 경우 이는 해결된 문제입니다. 최대 절전 모드 이미지는 스왑 공간에 저장됩니다. 보안 요구 사항을 고려하여 스왑 공간을 암호화해야 합니다. 무작위 키가 아닌 알려진 키로 암호화되었는지 확인하십시오(암호화된 스왑을 사용하는 일부 설정은 /dev/random스왑 공간에 키 파일을 사용하므로 부팅할 때마다 다른 키가 생성되어 최대 절전 모드 상태를 재개할 수 없게 됩니다). 주요 배포판은 암호화된 스왑 공간 복구를 포함하여 즉시 최대 절전 모드를 지원해야 합니다.
답변2
확인하다 tpm-luks:https://github.com/shpedoikal/tpm-luks
컴퓨터의 신뢰할 수 있는 플랫폼 모듈에 암호화 키를 저장합니다.
또 다른 옵션은 다음과 같습니다.트레솔, CPU 레지스터를 사용하여 키를 저장합니다.