# Suspend to Disk und Verschlüsselung

## DarkSpir

Soo, ich hab folgendes: Ich habe auf meinem Laptop die Festplatte verschlüsselt mit LUKScrypt. Die Boot-Partition ist unverschlüsselt und von einer init-Ramdisk aus werden die restlichen Platten entschlusselt und das System gebootet. Suspend to Disk ist nicht eingerichtet, wäre aber ein interessantes Addon.

Nur: Wenn ich jetzt her gehe und eine unverschlüsselte Partition erstelle auf die ich dann Suspend to Disk mache, ist meine komplette Verschlüsselung ausgehebelt solange das Laptop im Suspend-Modus ist bzw mit den richtigen Tools bei Wiederherstellung der Suspend-Partition auch danach noch.

Irgendjemand ne Idee wie man das sicherer gestalten könnte? Mein Problem ist an der Stelle, dass ich noch keine Erfahrung mit Suspend to Disk habe. Keine Idee wie das funktioniert und wo man da eingreifen kann. Ich könnte mir z.B. vorstellen, dass man, wie beim normalen Booten, über eine initrd die Suspend to Disk-Partition entschlüsselt und dann den eigentlichen Aufwachvorgang einleitet. Hat jemand sowas mal gemacht?

Ich geh jetzt einfach mal davon aus, dass es für diesen speziellen Fall keine Howtos gibt, zumindest hatte ich nix gefunden.

----------

## firefly

schau dir das mal an:

http://ml.osdir.com/linux.swsusp.general/2005-06/msg00116.html

http://wiki.tuxonice.net/EncryptedSwapAndRoot

----------

## alpha1974

 *DarkSpir wrote:*   

> Soo, ich hab folgendes: Ich habe auf meinem Laptop die Festplatte verschlüsselt mit LUKScrypt. Die Boot-Partition ist unverschlüsselt und von einer init-Ramdisk aus werden die restlichen Platten entschlusselt und das System gebootet. Suspend to Disk ist nicht eingerichtet, wäre aber ein interessantes Addon.
> 
> Nur: Wenn ich jetzt her gehe und eine unverschlüsselte Partition erstelle auf die ich dann Suspend to Disk mache, ist meine komplette Verschlüsselung ausgehebelt solange das Laptop im Suspend-Modus ist bzw mit den richtigen Tools bei Wiederherstellung der Suspend-Partition auch danach noch.
> 
> 

 

Das Problem lässt sich umgehen, wenn man zuerst die gesamte Platte (bis auf die  Boot-Partition) verschlüsselt und für die verschlüsselte Partition LVM verwendet. Root und Swap können dann als Logical Volumes innerhalb einer Volume Group angelegt werden, die auf der verschlüsselten Partition liegt. 

Beim Booten öffnet die init-rd zunächst die verschlüsselte Partition und dann muss mit "vgscan" und "vgchange -a y" die Volumegroup aktiviert werden. Die Root-Partition ist danach unter /dev/mapper/<vg-name>-root ansprechbar. Für Swap reicht ein Eintrag in fstab (die Swap-"Partition" liegt unter /dev/mapper/<vg-name>-swap). Damit ist bis auf die boot-Partition alles komplett verschlüsselt, einschließlich swap.

----------

