Provided by: manpages-de_4.13-4_all bug

BEZEICHNUNG
       systemd-cryptsetup@.service, systemd-cryptsetup - Logik zur vollständigen Verschlüsselung von
       Datenträgern


ÜBERSICHT
       systemd-cryptsetup@.service

       system-systemd\x2dcryptsetup.slice

       /lib/systemd/systemd-cryptsetup


BESCHREIBUNG
       Systemd-cryptsetup@.service dient zur Einrichtung von verschlüsselten Blockgeräten. Eine Instanz des
       Dienstes wird für jedes Gerät aufgerufen, welches entschlüsselt werden muss, um darauf zugreifen zu
       können.

       systemd-cryptsetup@.service-Instanzen sind Teil der Scheibe system-systemd\x2dcryptsetup.slice, die erst
       sehr spät in der Herunterfahrprozedur zerstört wird. Dies ermöglicht es, dass verschlüsselte Geräte
       verfügbar bleiben, bis die Dateisysteme ausgehängt wurden.

       Systemd-cryptsetup@.service erfragt gemäß der Passwordagent-Logik[1] die Festplattenpasswörter, damit die
       Eingabe des Passworts durch den Benutzer während des Systemstarts und im laufenden Betrieb nach dem
       korrekten Mechanismus geschieht.

       In der frühen Phase des Systemstarts und beim Neuladen der Konfiguration der Systemverwaltung wird die
       /etc/crypttab von systemd-cryptsetup-generator(8) in Systemd-cryptsetup@.service-Units übersetzt.

       Um einen Datenträger zu entsperren, wird ein Passwort oder ein binärer Schlüssel benötigt.
       systemd-cryptsetup@.service versucht, ein geeignetes Passowrt oder einen binären Schlüssel zu erlangen,
       indem in dieser Reihenfolge folgender Mechanismus durchlaufen wird:

        1. Falls (mittels der dritten Spalte in /etc/crypttab) explizit eine Schlüsseldatei konfiguriert ist,
           wird ein daraus eingelesener Schlüssel verwandt. Falls (mittels der Option pkcs11-uri=, fido2-device=
           oder tpm2-device=) ein PKCS#11-Token oder TPM2-Gerät konfiguriert ist, wird der Schlüssel vor der
           Verwendung entschlüsselt.

        2. Falls auf diese Weise keine Schlüsseldatei explizit konfiguriert ist, wird eine Schlüsseldatei
           automatisch aus /etc/cryptsetup-keys.d/Datenträger.key und /run/cryptsetup-keys.d/Datenträger.key
           geladen, falls diese vorhanden sind. Auch hier gilt, dass jeder so gefundene Schlüssel vor der
           Verwendung entschlüsselt wird, falls ein PKCS#11-/FIDO2-/TPM2-Token/Gerät konfiguriert ist.

        3. Falls die Option try-empty-password konfiguriert ist, dann wird versucht, den Datenträger mit dem
           leeren Passwort zu entsperren.

        4. Dann wird der Kernel-Schlüsselbund auf ein geeignetes zwischengespeichertes Passwort aus vorherigen
           Versuchen übeprüft.

        5. Schließlich wird der Benutzer nach einem Passwort gefragt, möglicherweise mehrfach, außer die Option
           headless ist gesetzt.

       Falls kein geeigneter Schlüssel mittels eines der oben beschriebenen Mechanismen erlangt werden kann,
       schlägt die Aktivierung des Datenträgers fehl.


SIEHE AUCH
       systemd(1), systemd-cryptsetup-generator(8), crypttab(5), systemd-cryptenroll(1), cryptsetup(8)


ANMERKUNGEN
        1. Passwortagent-Logik
           https://systemd.io/PASSWORD_AGENTS/


ÜBERSETZUNG
       Die  deutsche Übersetzung dieser Handbuchseite wurde von Mario Blättermann <mario.blaettermann@gmail.com>
       und Helge Kreutzmann <debian@helgefjell.de> erstellt.

       Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder  neuer
       bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.

       Wenn  Sie  Fehler  in  der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die
       Mailingliste der Übersetzer.

systemd 250                                                                       SYSTEMD-CRYPTSETUP@.SERVICE(8)