.\" -*- coding: UTF-8 -*- '\" t .\"******************************************************************* .\" .\" This file was generated with po4a. Translate the source file. .\" .\"******************************************************************* .TH SYSTEMD\-CRYPTSETUP 8 "" "systemd 255" systemd\-cryptsetup .ie \n(.g .ds Aq \(aq .el .ds Aq ' .\" ----------------------------------------------------------------- .\" * Define some portability stuff .\" ----------------------------------------------------------------- .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .\" http://bugs.debian.org/507673 .\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .\" ----------------------------------------------------------------- .\" * set default formatting .\" ----------------------------------------------------------------- .\" disable hyphenation .nh .\" disable justification (adjust text to left margin only) .ad l .\" ----------------------------------------------------------------- .\" * MAIN CONTENT STARTS HERE * .\" ----------------------------------------------------------------- .SH BEZEICHNUNG systemd\-cryptsetup, systemd\-cryptsetup@.service \- Logik für vollständige Plattenverschlüsselung .SH ÜBERSICHT .HP \w'\fBsystemd\-cryptsetup\fR\ 'u \fBsystemd\-cryptsetup\fP [OPTIONEN…] attach DATENTRÄGER QUELLGERÄT [SCHLÜSSELDATEI] [KONFIG] .HP \w'\fBsystemd\-cryptsetup\fR\ 'u \fBsystemd\-cryptsetup\fP [OPTIONEN…] detach DATENTRÄGER .PP systemd\-cryptsetup@\&.service .PP system\-systemd\ex2dcryptsetup\&.slice .SH BESCHREIBUNG .PP \fBsystemd\-cryptsetup\fP wird zum Einrichten (mit \fBattach\fP) und Herunterbringen (mit \fBdetach\fP) des Zugriffs auf ein verschlüsseltes Blockgerät verwandt\&. Es ist hauptsächlich zum Einsatz mit \fBsystemd\-cryptsetup@\&.service\fP(8) während der frühen Systemstartphase gedacht, kann aber auch händisch aufgerufen werden\&. Die positionsabhängigen Argumente \fIDATENTRÄGER\fP, \fIQUELLGERÄT\fP, \fISCHLÜSSELDATEI\fP und \fICRYPTTAB\-OPTIONEN\fP haben die gleiche Bedeutung wie die Felder in \fBcrypttab\fP(5)\&. .PP \fBsystemd\-cryptsetup@\&.service\fP(8) ist ein Dienst, der für den Zugriff auf verschlüsselte Blockgeräte verantwortlich ist\& Er wird für jedes Gerät, das der Entschlüsselung bedarf, instanziiert\&. .PP \fBsystemd\-cryptsetup@\&.service\fP(8)\-Instanzen sind Teil der Scheibe system\-systemd\ex2dcryptsetup\&.slice, die erst sehr spät im Herunterfahrprozess zerstört wird\&. Dies ermöglicht es verschlüsselten Geräten, im Betrieb zu bleiben, bis die Dateisysteme ausgehängt wurden\&. .PP Systemd\-cryptsetup@\&.service erfragt gemäß der \m[blue]\fBPasswordagent\-Logik\fP\m[]\&\s-2\u[1]\d\s+2 die Festplattenpasswörter, damit die Eingabe des Passworts durch den Benutzer während des Systemstarts und im laufenden Betrieb nach dem korrekten Mechanismus geschieht\&. .PP In der frühen Phase des Systemstarts und beim Neuladen der Konfiguration der Systemverwaltung wird die /etc/crypttab von \fBsystemd\-cryptsetup\-generator\fP(8) in Systemd\-cryptsetup@\&.service\-Units übersetzt\&. .PP Um einen Datenträger zu entsperren, wird ein Passwort oder ein binärer Schlüssel benötigt\&. \fBsystemd\-cryptsetup@\&.service\fP versucht, ein geeignetes Passwort oder einen binären Schlüssel zu erlangen, indem in dieser Reihenfolge folgender Mechanismus durchlaufen wird: .sp .RS 4 .ie n \{\ \h'-04' 1.\h'+01' .\} .el \{\ .sp -1 .IP " 1." 4.2 .\} Falls (mittels der dritten Spalte in /etc/crypttab) explizit eine Schlüsseldatei konfiguriert ist, wird ein daraus eingelesener Schlüssel verwandt\&. Falls (mittels der Option \fIpkcs11\-uri=\fP, \fIfido2\-device=\fP oder \fItpm2\-device=\fP) ein PKCS#11\-Token oder TPM2\-Gerät konfiguriert ist, wird der Schlüssel vor der Verwendung entschlüsselt\&. .RE .sp .RS 4 .ie n \{\ \h'-04' 2.\h'+01' .\} .el \{\ .sp -1 .IP " 2." 4.2 .\} Falls auf diese Weise keine Schlüsseldatei explizit konfiguriert ist, wird eine Schlüsseldatei automatisch aus /etc/cryptsetup\-keys\&.d/\fIDatenträger\fP\&.key und /run/cryptsetup\-keys\&.d/\fIDatenträger\fP\&.key geladen, falls diese vorhanden sind\&. Auch hier gilt, dass jeder so gefundene Schlüssel vor der Verwendung entschlüsselt wird, falls ein PKCS#11\-/FIDO2\-/TPM2\-Token/Gerät konfiguriert ist\&. .RE .sp .RS 4 .ie n \{\ \h'-04' 3.\h'+01' .\} .el \{\ .sp -1 .IP " 3." 4.2 .\} Falls die Option \fItry\-empty\-password\fP angegeben ist, wird das Entsperren des Datenträgers mit einem leeren Passwort versucht\&. .RE .sp .RS 4 .ie n \{\ \h'-04' 4.\h'+01' .\} .el \{\ .sp -1 .IP " 4." 4.2 .\} Dann wird der Kernel\-Schlüsselbund auf ein geeignetes zwischengespeichertes Passwort aus vorherigen Versuchen übeprüft\&. .RE .sp .RS 4 .ie n \{\ \h'-04' 5.\h'+01' .\} .el \{\ .sp -1 .IP " 5." 4.2 .\} Schließlich wird der Benutzer nach einem Passwort gefragt, möglicherweise mehrfach, außer die Option \fIheadless\fP ist gesetzt\&. .RE .PP Falls kein geeigneter Schlüssel mittels eines der oben beschriebenen Mechanismen erlangt werden kann, schlägt die Aktivierung des Datenträgers fehl\&. .SH "SIEHE AUCH" .PP \fBsystemd\fP(1), \fBsystemd\-cryptsetup\-generator\fP(8), \fBcrypttab\fP(5), \fBsystemd\-cryptenroll\fP(1), \fBcryptsetup\fP(8), \m[blue]\fBVon Systemd durchgeführte TPM2\-PCR\-Messungen\fP\m[]\&\s-2\u[2]\d\s+2 .SH ANMERKUNGEN .IP " 1." 4 Passwortagent\-Logik .RS 4 \%https://systemd.io/PASSWORD_AGENTS/ .RE .IP " 2." 4 Von Systemd durchgeführte TPM2\-PCR\-Messungen .RS 4 \%https://systemd.io/TPM2_PCR_MEASUREMENTS .RE .PP .SH ÜBERSETZUNG Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann erstellt. .PP Diese Übersetzung ist Freie Dokumentation; lesen Sie die .UR https://www.gnu.org/licenses/gpl-3.0.html GNU General Public License Version 3 .UE oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen. .PP Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die .MT debian-l10n-german@lists.debian.org Mailingliste der Übersetzer .ME .