Potrzebuję kryptograficzny screen-saver

Sprawa wygląda następująco: Mój laptop jest w miarę dobrze zabezpieczony. Partycja home jest zaszyfrowana. Wrażliwe dane mam zabezpieczone nawet podwójnie, w partycji encfs.

W razie konfiskaty laptopa dalej mam dostęp do moich danych, bo są synchronizowane w zaszyfrowanej chmurze (mega.nz). Czyli nie stracę moich danych tak łatwo.

Problem jednak pojawi się, jeżeli atakujący skonfiskuje mi lapa w momencie, kiedy wrażliwe dane mam odszyfrowane i zamknie klapkę. Mój laptop zrobi wtedy suspend-to-ram, gdzie zapisze wszystkie klucze, które agresor może odczytać.

Mogę teoretycznie wyłączyć suspend-to-ram i za każdym razem logować się na nowo, ale to jednak zbyt wygodna opcja.

Potrzebuję teraz coś w rodzaju screen-savera, uaktywaniającego się w momencie zamykania klapy albo po timeoucie. Jego zadaniem będzie zaszyfrować wszystkie procesy użytkownika obecne w pamięci i wyświetlić monit o hasło. Dopiero po wpisaniu hasła procesy zostaną odszyfrowane i laptop się odhibernuje.

Skądinąd wiem, że encfs trzyma swój klucz kryptograficzny w procesie użytkownika, więc przy zamknięciu klapki atakujący straci dostęp do dysku. Jeżeli natomiast nie zamknie klapki, to mogę usunąć dane z mega.nz i dysk się wyczyści.

Czy ktoś miałby czas, żeby mi taki skrypt napisać? Nie oferuję nic w zamian, poza mnóstwem wdzięczności

.

Postautor: **pm7** » piątek, 26 sierpnia 2016, 01:06

quakociaptockh pisze: Potrzebuję teraz coś w rodzaju screen-savera, uaktywaniającego się w momencie zamykania klapy albo po timeoucie. Jego zadaniem będzie zaszyfrować wszystkie procesy użytkownika obecne w pamięci i wyświetlić monit o hasło. Dopiero po wpisaniu hasła procesy zostaną odszyfrowane i laptop się odhibernuje.

Jak sam piszesz, to się nazywa hibernacja

Inaczej tego nie zrobisz. Znaczy, w teorii można próbować zamrażać i szyfrować pojedyncze procesy, ale będzie to bardzo skomplikowane. Jeżeli zależy Ci zwłaszcza na ochronie tych danych zaszyfrowanych encfs, to może po prostu odmontowuj przy usypianiu?

YouTube · Postautor: **rav3n_pl** » piątek, 26 sierpnia 2016, 08:32

Wyłączyć STR i zostawić STD, nie widzę innej opcji.

rav3n_pl pisze: Wyłączyć STR i zostawić STD, nie widzę innej opcji.

W Linuxie jeden proces może spauzować drugi i uzyskać dostęp do jego przestrzeni adresowej.

Wyobrażam to sobie tak:
1. Sygnał zamknięcia klapy.
2. Odpala się screen-saver.
3. Screen-saver pauzuje wszystkie procesy użytkownika (oprócz siebie).
4. Screen-saver szyfruje wszystkie procesy użytkownika kluczem publicznym. Wszystkie wrażliwe dane są niniejszym zaszyfrowane.
5. Następuje właściwy suspend-to-ram.
6. Otwieramy klapę.
7. Spauzowane procesy nic nie robią a screen-saver wyświetla monit o hasło.
8. Wpisujemy hasło, odzyskujemy klucz prywatny, odszyfrowujemy procesy, od-pauzowujemy je.
9. Screen-saver odblokowuje ekran i się kończy. System znowu działa normalnie.

STR jest wygodniejszy od STD, bo działa mi w ułamek sekundy. Szkoda by to było tracić.

Postautor: **hanti** » piątek, 26 sierpnia 2016, 19:35

no to zmien dysk na SSD i nie bedzie prawie zadnej roznicy

hanti pisze:no to zmien dysk na SSD i nie bedzie prawie zadnej roznicy

Tylko z pamięciami typu Flash to trzeba uważać w kwestii bezpieczeństwa.
Jak raz zapiszesz na niej jakieś jawne dane, to nie będziesz mógł być pewnym, że nikt nie odzyska tych danych, dopóki nie nadpiszesz całego nośnika.

Postautor: **pm7** » sobota, 27 sierpnia 2016, 16:09

The Real McCoin pisze: dopóki nie nadpiszesz całego nośnika.

Wear-leveling nie pozwoli nadpisać całego nośnika

@quakociaptockh, Używasz swapa? I jeszcze raz, czemu nie odmontowywać encfs zamiast bawić się w zamrażanie i szyfrowanie procesu?