sedutil suspend
гm using sedutil and LinuxPBA for full disk encryption on my Samsung Эво 850 SSD.
Everything works умер, except that I am unable to suspend while encryption is "enabled" since the disk loses power in suspend and locks. Now, I know this is в known вирус, but I can't live without suspend.
I thus have thought of two solutions:
- Run the "disable" command before going for suspend and the "enable" when resuming.
- Suspend to S1
I have tried the first and failed. Got locked out and running в clean install now. The latter ты существуешь proved снимите evasive to enable in Ubuntu, and I would prefer the first option if at all possible due to battery usage (I like to keep my laptop either on or отмените 24/7).
At the moment гve disabled encryption, but I would really like to enable it again. It's better than LUKS for я in the regard that it's хардвер based and none of the partitions хан be edited without unlocking.
1 ответ
Ну, я столкнулся с той же проблемой. На самом деле, пока нет, но я купил САС, не зная этого ограничения.
Существуют некоторые программные решения с поддержкой SED, которые разрешают S3-Suspend, но это: а) решения на основе подписки, предназначенные для корпоративного уровня, и б) довольно дорогие. И, возможно, они не работают с Linux.
Вы уже определили основную проблему: на S3 отключается питание накопителя, что эффективно его отключает. При возобновлении, диск заблокирован, чего не знают данные в вашей оперативной памяти, поэтому ваша система рухнет. Чтобы обойти это, необходим механизм, который каким-то образом хранит пароль для разблокировки в ОЗУ, а также запускается первым после возобновления, чтобы убедиться, что диск снова доступен. Я знаю, что это создает серьезную проблему с безопасностью, поскольку ключ должен находиться в оперативной памяти все время / большую часть времени, что делает возможным чтение вредоносным программным обеспечением. Но это не соответствует OPAL. Может быть, эти коммерческие программы используют помощь BIOS (возможно, функции безопасности ATA?). Однако я считаю, что раскрытие ключа в памяти является приемлемым риском для большинства пользователей и все же защищает от кражи / шпионажа от случайных встреч. Стоит отметить, что любой программный FDE также должен постоянно хранить незашифрованный ключ в оперативной памяти!
Я действительно надеюсь, что разработчик sedutil сможет найти аналогичное решение для включения S3. Это действительно то, что удерживает меня от включения функции SED. С другой стороны, поскольку Windows 10 также truecrypt вызывает синий экран после возобновления S3 на моем (!) Ноутбуке.