Problème actuel

Lorsque vous utilisez Ubuntu Full Disk Encryption (qui est basé sur dm-crypt avec LUKS) pour configurer le chiffrement complet du système, la clé de chiffrement est conservée en mémoire lors de la suspension du système. Cet inconvénient va à l'encontre de l'objectif du chiffrement si vous transportez souvent votre ordinateur portable suspendu. On peut utiliser la commande cryptsetup luksSuspend pour geler toutes les E/S et vider la clé de la mémoire.

Solution

ubuntu-luks-suspend est une tentative de modifier le mécanisme de suspension par défaut. L'idée de base est de changement vers un chroot en dehors du fs racine crypté et ensuite le verrouiller (aveccryptsetup luksSuspend)

Voici un autre exemple de ubuntu 14.04 cryptsetup luks suspendre/reprendre la partition racine "ça marche presque" :-)

une raison pour laquelle il fonctionne arche et "fonctionne presque" pour ubuntu il se peut que le noyau ubuntu à partir de

  Linux system 3.19.0-25-generic #26~14.04.1-Ubuntu SMP Fri Jul 24 21:16:20 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

est encore "trop vieux" : le patch suivant n'est pas encore là :

rendre optionnel sync() sur suspend-to-RAM

donc tout pm-utils o user code qui émet toute forme de effacer les clés et demande de mise en veille comme :

  cryptsetup luksSuspend root
  echo -n "mem" >/sys/power/state

se traduira dans le noyau par un appel à sys_sync() qui, à son tour, provoque un blocage dans dm-crypt (à dessein, après la suspension des luks)

En fait, il suffit de s'assurer que la phrase de passe de l'économiseur d'écran est requise lors de la reprise de la suspension, et vous serez en sécurité.

Ainsi, une personne qui reprend votre ordinateur portable après une suspension devra saisir un mot de passe avant de pouvoir accéder à l'ordinateur.