cryptsetup Grundlagen

Erstellen einer verschlüsselten Partition

cryptsetup luksFormat $PARTITION

luks Header ausgeben lassen

cryptsetup luksDump $PARTITION

Mounten einer verschlüsselten Partition

cryptsetup luksOpen $PARTITION $NAME

Unter /dev/mapper/$NAME ist nach dem mounten die entschlüsselte Partition zu finden.

Erstellen eines Recovery Key

cryptsetup selber unterstützt nicht das Erzeugen eines Recovery Keys. Dies kann aber systemd-cryptenroll übernehmen

systemd-cryptenroll $PARTITION --recovery-key

TPM2 für die automatische Ver- und Entschlüsselung

Mit systemctl-cryptenroll ist es ebenfalls möglich TPM2 für die automatische Ver- und Entschlüsselung zu nutzen.

systemd-cryptenroll $PARTITION --tpm2-device=auto

Nach dem Ausführen des Befehls wird das TPM2 als Schlüsseldevice genutzt. Sobald sich Änderungen an der EFI Konfiguration ergeben wird dieser Schlüssel allerdings ungültig und muss erneut eingetragen werden.