Шаги, которые Вы отослали, чтобы описать, как исследовать изображение initrd, т.е. как распаковать (через gzip
и cpio
) initrd-2.6.23-0.104.rc3.fc8.img
файл в каталог (initrd/
здесь, созданный где угодно, с mkdir
). Это - просто шаг к нахождению проблемы, никакое решение сам по себе.
Выезд tpm-luks
: https://github.com/shpedoikal/tpm-luks
Это хранит Ваши ключи шифрования в модуле надежной платформы Вашего компьютера.
Другая опция может быть TRESOR, который использует регистры ЦП для хранения секретных ключей.
То, что Вы просите, не является простым, приостанавливают к RAM, который оставляет RAM включенной и закрывает все остальное. Так как Вы вытерли бы открытый текст, обрабатывают данные от RAM, Вам нужно в Маршалл все это к изображению приостановки. Таким образом, необходимо вызвать спящий режим (т.е. приостановить к диску), код. Реалистический способ сделать, который должен был бы создать зашифрованный электронный диск, объявите это как область подкачки и заполните память другими процессами. Даже затем данные ядра не были бы зашифрованы; чтобы сделать это, я думаю, что Вам был бы нужен значительный патч ядра.
С другой стороны, если Вы готовы приостановить к диску, это - решенная проблема. Изображение спящего режима хранится в области подкачки. Ваша область подкачки должна уже быть зашифрована, учитывая Ваше требование к защите. Удостоверьтесь, что это шифруется с известным ключом а не со случайным (некоторые установки с зашифрованным использованием подкачки /dev/random
как файл ключей для области подкачки, которая приводит к другому ключу при каждой начальной загрузке, таким образом, невозможно возобновить бывшее в спящем режиме изображение). Основные дистрибутивы должны поддерживать спящий режим из поля, включая возобновление от зашифрованной области подкачки.
/dev/urandom
был бы лучший выбор за исключением недавно установленной системы или живого CD, но я думаю, что установщики имеют тенденцию использовать /dev/random
, частично из неправильного представления это /dev/urandom
не подходит для криптографии и частично быть безопасным в меньшинстве, но существующих случаях где /dev/urandom
действительно небезопасно.
– Gilles 'SO- stop being evil'
01.04.2015, 11:18