# cryptsetup Grundlagen

## Erstellen einer verschlüsselten Partition

```bash
cryptsetup luksFormat $PARTITION
```

## luks Header ausgeben lassen

```bash
cryptsetup luksDump $PARTITION
```

## Mounten einer verschlüsselten Partition

```bash
cryptsetup luksOpen $PARTITION $NAME
```

Unter `/dev/mapper/$NAME` ist nach dem mounten die entschlüsselte Partition zu
finden.

## Erstellen eines Recovery Key

cryptsetup selber unterstützt nicht das Erzeugen eines Recovery Keys. Dies kann
aber `systemd-cryptenroll` übernehmen

```bash
systemd-cryptenroll $PARTITION --recovery-key
```

## TPM2 für die automatische Ver- und Entschlüsselung

Mit `systemctl-cryptenroll` ist es ebenfalls möglich TPM2 für die automatische Ver- und Entschlüsselung zu nutzen.

```bash
systemd-cryptenroll $PARTITION --tpm2-device=auto
```

Nach dem Ausführen des Befehls wird das TPM2 als Schlüsseldevice genutzt.
Sobald sich Änderungen an der EFI Konfiguration ergeben wird dieser Schlüssel
allerdings ungültig und muss erneut eingetragen werden.