BEZEICHNUNG

[email protected], systemd-cryptsetup - Logik zur vollständigen Verschlüsselung von Datenträgern

ÜBERSICHT

[email protected]
system-systemd\x2dcryptsetup.slice
/lib/systemd/systemd-cryptsetup

BESCHREIBUNG

[email protected] dient zur Einrichtung von verschlüsselten Blockgeräten. Eine Instanz des Dienstes wird für jedes Gerät aufgerufen, welches entschlüsselt werden muss, um darauf zugreifen zu können.
[email protected] sind Teil der Scheibe system-systemd\x2dcryptsetup.slice, die erst sehr spät in der Herunterfahrprozedur zerstört wird. Dies ermöglicht es, dass verschlüsselte Geräte verfügbar bleiben, bis die Dateisysteme ausgehängt wurden.
[email protected] erfragt gemäß der Passwordagent-Logik[1] die Festplattenpasswörter, damit die Eingabe des Passworts durch den Benutzer während des Systemstarts und im laufenden Betrieb nach dem korrekten Mechanismus geschieht.
In der frühen Phase des Systemstarts und beim Neuladen der Konfiguration der Systemverwaltung wird die /etc/crypttab von systemd-cryptsetup-generator(8) in [email protected] übersetzt.
Um einen Datenträger zu entsperren, wird ein Passwort oder ein binärer Schlüssel benötigt. [email protected] versucht, ein geeignetes Passowrt oder einen binären Schlüssel zu erlangen, indem in dieser Reihenfolge folgender Mechanismus durchlaufen wird:
 
1.Falls (mittels der dritten Spalte in /etc/crypttab) explizit eine Schlüsseldatei konfiguriert ist, wird ein daraus eingelesener Schlüssel verwandt. Falls (mittels der Option pkcs11-uri=, fido2-device= oder tpm2-device=) ein PKCS#11-Token oder TPM2-Gerät konfiguriert ist, wird der Schlüssel vor der Verwendung entschlüsselt.
 
2.Falls auf diese Weise keine Schlüsseldatei explizit konfiguriert ist, wird eine Schlüsseldatei automatisch aus /etc/cryptsetup-keys.d/ Datenträger.key und /run/cryptsetup-keys.d/ Datenträger.key geladen, falls diese vorhanden sind. Auch hier gilt, dass jeder so gefundene Schlüssel vor der Verwendung entschlüsselt wird, falls ein PKCS#11-/FIDO2-/TPM2-Token/Gerät konfiguriert ist.
 
3.Falls die Option try-empty-password konfiguriert ist, dann wird versucht, den Datenträger mit dem leeren Passwort zu entsperren.
 
4.Dann wird der Kernel-Schlüsselbund auf ein geeignetes zwischengespeichertes Passwort aus vorherigen Versuchen übeprüft.
 
5.Schließlich wird der Benutzer nach einem Passwort gefragt, möglicherweise mehrfach, außer die Option headless ist gesetzt.
Falls kein geeigneter Schlüssel mittels eines der oben beschriebenen Mechanismen erlangt werden kann, schlägt die Aktivierung des Datenträgers fehl.

SIEHE AUCH

systemd(1), systemd-cryptsetup-generator(8), crypttab(5), systemd-cryptenroll(1), cryptsetup(8)

ANMERKUNGEN

1.
Passwortagent-Logik

ÜBERSETZUNG

Die deutsche Übersetzung dieser Handbuchseite wurde von Mario Blättermann <[email protected]> und Helge Kreutzmann <[email protected]> erstellt.
Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.
Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Übersetzer