====== cryptsetup-luks ======
TODO: http://www.heise.de/security/artikel/Erfolgreicher-Angriff-auf-Linux-Verschluesselung-2072199.html beachten
===== Vorbereitung =====
==== Pakete ====
''cryptsetup-luks''

Debian 10: ''cryptsetup''

==== Kernel-Modul ====
  modinfo dm_crypt
muss vorhanden sein

===== Verschlüsseltes Dateisystem anlegen =====
==== Partition oder logical volume anlegen ====
  fdisk /dev/<platte>
oder
  lvcreate --size 1G --name lv_cryptsetup vg_centos6

==== alte (Meta)daten von Partition entfernen ====
  wipefs -af /dev/<partition>
((oder
  dd if=/dev/zero of=/dev/<partition> status=progress bs=1M
oder
  cryptsetup open --type plain -d /dev/urandom /dev/<partition> wipe_me
  dd if=/dev/zero of=/dev/mapper/wipe_me status=progress bs=1M
  cryptsetup close /dev/mapper/wipe_me
))

==== Partition verschlüsseln ====
  cryptsetup --verbose luksFormat --type luks2 /dev/<partition>
(( 
  Ausgabe genau lesen: da steht "UPPERCASE" ;-)
))

=== testen ===
  cryptsetup luksDump /dev/<partition> 
 
==== Partition öffnen ====
  cryptsetup open --type luks2 /dev/<partition> crypt

=== Testen ===
== Neues Device anzeigen ==
  dmsetup ls
  ls -l /dev/mapper/crypt

== Verschlüsselungsverfahren anzeigen ==
  cryptsetup status crypt

==== Dateisystem anlegen ====
  mkfs.ext4 /dev/mapper/crypt

===== mounten und rebootfest machen =====
==== mounten ====
  mkdir /mnt/crypt
  mount /dev/mapper/crypt /mnt/crypt

==== Rebootfest machen ====
  umount /mnt/crypt
  cryptsetup close crypt none
<file txt /etc/crypttab>
crypt /dev/<partition> none
</file>

=== testen ===
TODO: ist das debian-spezifisch?

  cryptdisks_start crypt
===== Neues Passwort hinzufügen =====
  cryptsetup luksAddKey /dev/<partition>

Vergebene Passwortslots anzeigen: 
  cryptsetup luksDump /dev/<partition>

====== Links ======
  * http://en.wikipedia.org/wiki/Disk_encryption_theory
  * https://cryptsetup-team.pages.debian.net/cryptsetup/encrypted-boot.html
  * https://0pointer.net/blog/authenticated-boot-and-disk-encryption-on-linux.html