Provided by: manpages-de_4.15.0-9_all bug

BEZEICHNUNG
       systemd-cryptsetup@.service, systemd-cryptsetup - Logik zur vollständigen Verschlüsselung
       von Datenträgern


ÜBERSICHT
       systemd-cryptsetup@.service

       system-systemd\x2dcryptsetup.slice

       /lib/systemd/systemd-cryptsetup


BESCHREIBUNG
       Systemd-cryptsetup@.service dient zur Einrichtung von verschlüsselten Blockgeräten. Eine
       Instanz des Dienstes wird für jedes Gerät aufgerufen, welches entschlüsselt werden muss,
       um darauf zugreifen zu können.

       systemd-cryptsetup@.service-Instanzen sind Teil der Scheibe
       system-systemd\x2dcryptsetup.slice, die erst sehr spät in der Herunterfahrprozedur
       zerstört wird. Dies ermöglicht es, dass verschlüsselte Geräte verfügbar bleiben, bis die
       Dateisysteme ausgehängt wurden.

       Systemd-cryptsetup@.service erfragt gemäß der Passwordagent-Logik[1] die
       Festplattenpasswörter, damit die Eingabe des Passworts durch den Benutzer während des
       Systemstarts und im laufenden Betrieb nach dem korrekten Mechanismus geschieht.

       In der frühen Phase des Systemstarts und beim Neuladen der Konfiguration der
       Systemverwaltung wird die /etc/crypttab von systemd-cryptsetup-generator(8) in
       Systemd-cryptsetup@.service-Units übersetzt.

       Um einen Datenträger zu entsperren, wird ein Passwort oder ein binärer Schlüssel benötigt.
       systemd-cryptsetup@.service versucht, ein geeignetes Passowrt oder einen binären Schlüssel
       zu erlangen, indem in dieser Reihenfolge folgender Mechanismus durchlaufen wird:

        1. Falls (mittels der dritten Spalte in /etc/crypttab) explizit eine Schlüsseldatei
           konfiguriert ist, wird ein daraus eingelesener Schlüssel verwandt. Falls (mittels der
           Option pkcs11-uri=, fido2-device= oder tpm2-device=) ein PKCS#11-Token oder TPM2-Gerät
           konfiguriert ist, wird der Schlüssel vor der Verwendung entschlüsselt.

        2. Falls auf diese Weise keine Schlüsseldatei explizit konfiguriert ist, wird eine
           Schlüsseldatei automatisch aus /etc/cryptsetup-keys.d/Datenträger.key und
           /run/cryptsetup-keys.d/Datenträger.key geladen, falls diese vorhanden sind. Auch hier
           gilt, dass jeder so gefundene Schlüssel vor der Verwendung entschlüsselt wird, falls
           ein PKCS#11-/FIDO2-/TPM2-Token/Gerät konfiguriert ist.

        3. Falls die Option try-empty-password konfiguriert ist, dann wird versucht, den
           Datenträger mit dem leeren Passwort zu entsperren.

        4. Dann wird der Kernel-Schlüsselbund auf ein geeignetes zwischengespeichertes Passwort
           aus vorherigen Versuchen übeprüft.

        5. Schließlich wird der Benutzer nach einem Passwort gefragt, möglicherweise mehrfach,
           außer die Option headless ist gesetzt.

       Falls kein geeigneter Schlüssel mittels eines der oben beschriebenen Mechanismen erlangt
       werden kann, schlägt die Aktivierung des Datenträgers fehl.


SIEHE AUCH
       systemd(1), systemd-cryptsetup-generator(8), crypttab(5), systemd-cryptenroll(1),
       cryptsetup(8)


ANMERKUNGEN
        1. Passwortagent-Logik
           https://systemd.io/PASSWORD_AGENTS/


ÜBERSETZUNG
       Die deutsche Übersetzung dieser Handbuchseite wurde von Mario Blättermann
       <mario.blaettermann@gmail.com> und Helge Kreutzmann <debian@helgefjell.de> erstellt.

       Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License
       Version 3 ⟨https://www.gnu.org/licenses/gpl-3.0.html⟩ oder neuer bezüglich der Copyright-
       Bedingungen. Es wird KEINE HAFTUNG übernommen.

       Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-
       Mail an die Mailingliste der Übersetzer ⟨debian-l10n-german@lists.debian.org⟩.