Проблема возникает для многопользовательского компьютера с зашифрованной подкачкой, как разрешить каждому пользователю переходить в спящий режим и выходить из спящего режима без ущерба для безопасности других пользователей.
Я ищу способ, которым использование подкачки каждого пользователя зашифровано специально для них, так что, когда они хотят выйти из спящего режима, они могут сделать это, введя только свой пароль / фразу-пароль. Они не должны иметь возможность расшифровывать своп других пользователей; все пользовательские процессы должны быть остановлены до тех пор, пока соответствующий пользователь не предоставит свою ключевую фразу для расшифровки обмена и продолжения своих процессов.
Пользователи могут пожелать, чтобы некоторые или все их процессы были незашифрованными, чтобы они могли продолжать работу независимо от того, кто возобновляет работу компьютера.
До тех пор, пока в системных процессах не хранятся личные данные и система не позволяет ключам пользователей попадать в область подкачки, подкачка системы не нуждается в шифровании, а это означает, что любой пользователь может возобновить работу системы без ущерба для других пользователей. ,
Обратите внимание, что это может быть дополнено шифрованием системы с помощью ключа, хранящегося в микропрограмме BIOS, такой как Coreboot или LibreBoot, чтобы сделать подделку очень трудной, но это принципиально иной подход, основанный на очевидной трудности подделки задействованного оборудования, а не полной Криптографический подход к предотвращению чтения людьми личных данных других лиц, предполагающих несанкционированное вмешательство, не является проблемой. Для оптимальной безопасности эти два механизма могут использоваться вместе, но в этом вопросе я прошу полностью криптографический подход.
В теории это имеет смысл, но на практике это не может быть реализовано. Я надеюсь, что это возможно в Linux.
источник
Ответы:
Да, все возможно с помощью программного обеспечения. Вы должны были бы изменить некоторые важные части ядра, чтобы сделать это. Если вы говорите сейчас .... нет. На самом деле вы не можете выделить системное пространство подкачки на основе данного пользователя вообще.
Другой подход заключается в том, чтобы не выделять пространство подкачки на физическом разделе, а вырезать большой предварительно выделенный файл для тома truecrypt, монтировать его и создавать под ним файл подкачки. Затем настройте систему на использование этого файла на томе truecrypt в качестве файла подкачки. Я не гарантирую стабильность или эффективность обработки такого шага, однако, это было бы для вас, чтобы поэкспериментировать. Однако это будет для СИСТЕМЫ, а не для пользователя.
источник