La modalità "sonno sicuro" del laptop è teoricamente possibile?

Sì. Potrebbe essere facilmente ottenibile, anche se richiederebbe il supporto del kernel per farlo correttamente.

Nel caso suspend-to-RAM, la chiave dovrebbe essere cancellata dalla RAM, e nel caso suspend-to-disk, dalla RAM e anche dal disco (oppure può essere memorizzata sul disco) .

Dovrebbe essere fornito anche un input minimo per ottenere le credenziali key / reauthentication nella fase iniziale di avvio / attivazione.

Non vedo ostacoli tecnici; la probabile ragione per cui non è stato sviluppato fino ad ora era la mancanza di interesse. Scenari in cui l'accesso diretto alla RAM di un laptop funzionante è un rischio reale per la sicurezza sono molto rari.

Questo sarebbe il caso di scegliere le opzioni di sospensione durante il sonno. Il sonno deve mantenere attiva la memoria, il che consente un avvio rapido; in modalità sleep, la macchina non è completamente spenta.

In modalità di sospensione, la memoria viene scritta sul disco per consentire la rimozione del computer. Questo, a sua volta, rimuove anche la chiave di crittografia. Questo è il motivo per cui, in modalità di sospensione, è necessario immettere la chiave di decrittografia di avvio.

Se la sicurezza è più importante della velocità di "avvio" con sospensione, vai con la sospensione.

One of the risks if it is stolen while in sleep mode is that the encryption key is stored in memory and can be read if an attacker knows how.

È più probabile che l'utente malintenzionato non si preoccupi di recuperare la chiave di crittografia. Avrebbero tentato di ottenere l'accesso a livello di sistema operativo a questo punto se stessero tentando di rubare i tuoi dati.

I dati sensibili protetti (come i testi delle e-mail visualizzate) possono essere ovunque nella RAM, non è sufficiente solo per conservare una chiave di crittografia (se già si va in questa direzione).

La RAM crittografata potrebbe essere possibile ma richiederebbe sviluppi nel livello hardware. La RAM è un accesso casuale, ogni cella deve essere possibile leggere in qualsiasi momento. Questo limita la scelta dei cifrari. Ma potrebbe essere possibile utilizzare una chiave molto grande che viene crittografata durante il sonno con il codice di tua scelta.

Dipende da come si ottiene la chiave enc / dec. Ad esempio, se la chiave è archiviata su TPM e la lettura della NVRAM è bloccata dopo che la chiave è stata aperta e letta dal sistema operativo, non vi è alcuna opzione su come leggerla di nuovo fino al prossimo riavvio. In questo caso, direi che la modalità sleep non può essere considerata come riavvio hard o soft.

Un altro software di crittografia può utilizzare la password dell'utente per aprire l'archivio di chiavi enc / dec memorizzato sul disco e ottenere la chiave enc / dec da esso in tal caso non sarebbe un problema.

Poiché @ h22 indica , è necessario crittografare la RAM in sospeso. In realtà è o quello o si esce da qualsiasi programma che può contenere informazioni sensibili caricate in memoria e cancellando la memoria liberata e smontando qualsiasi file system contenente le informazioni sensibili (e deselezionando eventuali cache che potrebbero essere coinvolte). Quale tipo interrompe il flusso di lavoro e rende la sospensione della RAM un punto controverso al meglio (in termini di comfort).

Quindi, se vuoi essere sicuro, dovresti sospendere il disco - la crittografia in questo caso è un problema risolto. Un'alternativa è la crittografia della ram su suspend e decrypting on resume, ma ciò ti porterà nell'ordine di sospensione su disco (in termini di tempo e potenza).