{"id":96,"date":"2026-06-14T20:21:29","date_gmt":"2026-06-14T20:21:29","guid":{"rendered":"https:\/\/shattered.io\/at\/2026\/06\/14\/festplatte-verschluesseln-luks\/"},"modified":"2026-06-14T20:22:50","modified_gmt":"2026-06-14T20:22:50","slug":"festplatte-verschluesseln-luks","status":"publish","type":"post","link":"https:\/\/shattered.io\/at\/festplatte-verschluesseln-luks\/","title":{"rendered":"Festplatte verschl\u00fcsseln: LUKS in 12 Schritten [2026]"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Wer in \u00d6sterreich einen Laptop verliert oder dessen Diebstahl meldet, gibt ohne Verschl\u00fcsselung meist auch s\u00e4mtliche Daten preis: Kundenakten, Steuerunterlagen, Passw\u00f6rter im Browser und private Fotos. Eine <strong>Festplatte verschl\u00fcsseln<\/strong> Sie unter Linux nativ und kostenlos mit LUKS (Linux Unified Key Setup). Das System sitzt direkt im Kernel, nutzt AES-256 und sch\u00fctzt eine ganze Partition oder Platte, nicht nur einzelne Ordner. Dieses Tutorial f\u00fchrt Sie in 12 nachvollziehbaren Schritten durch die komplette <strong>LUKS Verschl\u00fcsselung<\/strong>: vom ersten Befehl bis zur TPM2-Bindung und dem Notfallplan.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Geplante Arbeitszeit: rund 45 bis 60 Minuten f\u00fcr ein zweites Laufwerk, je nach Datenmenge auch l\u00e4nger. Sie brauchen keine kommerzielle Software und kein Abo. Alle Befehle laufen im Terminal und funktionieren auf Ubuntu 24.04 LTS, Debian 12, Fedora 41 und nahezu jeder aktuellen Distribution.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"was-ist-luks\">Was ist LUKS und warum sollten Sie Ihre Festplatte verschl\u00fcsseln?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">LUKS ist der Standard f\u00fcr Festplattenverschl\u00fcsselung unter Linux. Das Verfahren wurde 2004 vorgestellt und arbeitet auf dem <code>dm-crypt<\/code>-Kernelmodul, also direkt im Linux-Kernel. Das Werkzeug dazu hei\u00dft <code>cryptsetup<\/code>. Anders als bei der Verschl\u00fcsselung einzelner Dateien sichert LUKS einen kompletten Block-Layer (eine Partition, ein USB-Stick oder ein ganzes Laufwerk). Alles, was darauf liegt, also Dateisystem, Metadaten und Inhalte, ist im ausgeschalteten Zustand unlesbar.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der Kern des Konzepts ist eine Trennung zwischen Master-Key und Passphrase. Die eigentlichen Daten verschl\u00fcsselt ein zuf\u00e4llig erzeugter Master-Key. Dieser Master-Key liegt selbst verschl\u00fcsselt im LUKS-Header, abgesichert durch Ihre Passphrase. Das hat zwei praktische Vorteile: Sie k\u00f6nnen die Passphrase \u00e4ndern, ohne die gesamte Platte neu zu verschl\u00fcsseln, und Sie k\u00f6nnen mehrere Passphrasen (sogenannte Keyslots) f\u00fcr dieselbe Platte hinterlegen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Warum das wichtig ist, zeigt ein Blick auf die Praxis. Eine moderne SSD l\u00e4sst sich in Minuten ausbauen und an einem zweiten Rechner auslesen. Ein BIOS-Passwort oder der Linux-Login sch\u00fctzen davor nicht, denn beide hindern niemanden daran, die Platte abzust\u00f6pseln. Erst eine echte <strong>Festplattenverschl\u00fcsselung<\/strong> macht die Daten ohne Passphrase wertlos. F\u00fcr Selbstst\u00e4ndige und Unternehmen kommt der rechtliche Aspekt dazu: Die DSGVO verlangt in Artikel 32 dem Stand der Technik entsprechende Ma\u00dfnahmen, und Verschl\u00fcsselung gilt als anerkannte Schutzma\u00dfnahme. Geht ein verschl\u00fcsseltes Ger\u00e4t verloren, kann das eine Meldepflicht nach Artikel 33 entsch\u00e4rfen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"luks1-vs-luks2\">LUKS1 vs. LUKS2: Welches Format Sie nehmen sollten<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Seit cryptsetup 2.1 ist LUKS2 das Standardformat f\u00fcr neue Container. LUKS2 bringt einen redundanten Header, JSON-basierte Metadaten und vor allem die moderne Schl\u00fcsselableitung Argon2id mit. F\u00fcr neue Installationen ist LUKS2 die richtige Wahl. LUKS1 brauchen Sie nur in Ausnahmef\u00e4llen, etwa wenn ein \u00e4lterer Bootloader die <code>\/boot<\/code>-Partition direkt entschl\u00fcsseln muss. Ubuntu 24.04 LTS und Fedora 41 setzen bei der Installationsverschl\u00fcsselung standardm\u00e4\u00dfig auf LUKS2.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"luks-vs-veracrypt-bitlocker\">LUKS vs. VeraCrypt vs. BitLocker im Vergleich<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Bevor Sie loslegen, lohnt der Blick auf die Alternativen. Alle drei Werkzeuge verschl\u00fcsseln Daten zuverl\u00e4ssig, unterscheiden sich aber bei Plattform, Quelloffenheit und Einsatzzweck. LUKS ist der native Linux-Weg, BitLocker der von Windows, und VeraCrypt der plattform\u00fcbergreifende Allrounder f\u00fcr Container und externe Medien. Wer auf einem reinen Linux-System eine ganze Platte absichern will, f\u00e4hrt mit LUKS am besten.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Merkmal<\/th><th>LUKS \/ cryptsetup<\/th><th>VeraCrypt<\/th><th>BitLocker<\/th><\/tr><\/thead><tbody><tr><td>Plattform<\/td><td>Linux (nativ im Kernel)<\/td><td>Windows, macOS, Linux<\/td><td>Windows (Pro, Enterprise)<\/td><\/tr><tr><td>Quelloffen<\/td><td>Ja (GPL)<\/td><td>Ja<\/td><td>Nein (propriet\u00e4r)<\/td><\/tr><tr><td>Standard-Chiffre<\/td><td>AES-256 (aes-xts-plain64)<\/td><td>AES, frei w\u00e4hlbar<\/td><td>AES-256-XTS<\/td><\/tr><tr><td>Schl\u00fcsselableitung<\/td><td>Argon2id<\/td><td>PBKDF2 (viele Iterationen)<\/td><td>nicht offengelegt<\/td><\/tr><tr><td>Ganze Systemplatte<\/td><td>Ja<\/td><td>Ja (Windows), eingeschr\u00e4nkt<\/td><td>Ja<\/td><\/tr><tr><td>Kosten<\/td><td>Kostenlos<\/td><td>Kostenlos<\/td><td>Mit Windows Pro<\/td><\/tr><tr><td>TPM2-Unterst\u00fctzung<\/td><td>Ja (systemd-cryptenroll)<\/td><td>Nein<\/td><td>Ja<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Eine ausf\u00fchrliche Anleitung zu VeraCrypt finden Sie in unserem <a href=\"\/at\/veracrypt-anleitung-verschluesselung\/\">VeraCrypt-Tutorial<\/a>, falls Sie verschl\u00fcsselte Container plattform\u00fcbergreifend nutzen wollen. F\u00fcr ein reines Linux-Setup bleibt LUKS die schnellere und besser integrierte L\u00f6sung, weil es ohne zus\u00e4tzliche Software auskommt.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"voraussetzungen\">Voraussetzungen: Was Sie vor dem Start brauchen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Damit das Tutorial reibungslos l\u00e4uft, sollten folgende Punkte erf\u00fcllt sein. Die genannten Versionen sind die zum Zeitpunkt der Ver\u00f6ffentlichung verbreiteten stabilen St\u00e4nde.<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>Linux-System<\/strong> mit Kernel 5.15 oder neuer (Ubuntu 24.04 LTS, Debian 12, Fedora 41 oder vergleichbar).<\/li><li><strong>cryptsetup 2.x<\/strong> (Version 2.6 oder neuer empfohlen wegen aktueller Argon2id-Standardwerte).<\/li><li><strong>Root-Rechte<\/strong> \u00fcber <code>sudo<\/code>, da alle Befehle direkt auf Block-Ger\u00e4te zugreifen.<\/li><li><strong>Ein leeres Ziellaufwerk<\/strong> oder eine leere Partition. Achtung: Beim Formatieren werden alle vorhandenen Daten gel\u00f6scht.<\/li><li><strong>Ein vollst\u00e4ndiges Backup<\/strong> aller Daten, die auf dem Ziellaufwerk liegen, auf einem separaten Medium.<\/li><li><strong>Eine starke Passphrase<\/strong>, idealerweise aus einem <a href=\"\/at\/keepassxc-einrichten\/\">Passwort-Manager<\/a>, mit mindestens 20 Zeichen oder vier zuf\u00e4lligen W\u00f6rtern.<\/li><li><strong>Optional ein TPM2-Chip<\/strong> f\u00fcr automatisches Entsperren beim Booten (Schritt 11).<\/li><\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Ein Hinweis zur Sicherheit vorab: Eine Verschl\u00fcsselung ist nur so stark wie die Passphrase, die sie sch\u00fctzt. AES-256 l\u00e4sst sich nicht durch Rechenleistung brechen, eine schwache Passphrase dagegen sehr wohl. Mehr Hintergrund zu sicheren Passw\u00f6rtern liefert unser Leitfaden zur <a href=\"\/at\/passwortsicherheit\/\">Passwortsicherheit<\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"schritte-ueberblick\">Die 12 Schritte im \u00dcberblick<\/h2>\n\n\n\n<ol class=\"wp-block-list\"><li>cryptsetup installieren und Version pr\u00fcfen<\/li><li>Hardware-Leistung mit <code>cryptsetup benchmark<\/code> testen<\/li><li>Zielger\u00e4t korrekt identifizieren und Daten sichern<\/li><li>LUKS2-Container mit <code>luksFormat<\/code> anlegen<\/li><li>Container \u00f6ffnen und Dateisystem erstellen<\/li><li>Laufwerk mounten und Daten ablegen<\/li><li>LUKS-Header sichern (<code>luksHeaderBackup<\/code>)<\/li><li>Zus\u00e4tzliche Schl\u00fcssel und Keyslots verwalten<\/li><li>Automatisches Einbinden mit crypttab und fstab<\/li><li>Argon2id-Parameter f\u00fcr mehr Sicherheit h\u00e4rten<\/li><li>TPM2-Bindung mit <code>systemd-cryptenroll<\/code><\/li><li>Notfall, Wiederherstellung und sicheres Schlie\u00dfen<\/li><\/ol>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"schritt-1-installation\">Schritt 1: cryptsetup installieren und Version pr\u00fcfen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Auf den meisten Distributionen ist <code>cryptsetup<\/code> bereits vorinstalliert, weil Installer es f\u00fcr verschl\u00fcsselte Setups nutzen. Pr\u00fcfen Sie zuerst die Version und installieren Sie das Paket bei Bedarf nach.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Version pruefen\ncryptsetup --version\n\n# Falls nicht vorhanden: Installation unter Debian\/Ubuntu\nsudo apt update\nsudo apt install cryptsetup\n\n# Unter Fedora\nsudo dnf install cryptsetup\n\n# Unter Arch Linux\nsudo pacman -S cryptsetup<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Die Ausgabe sollte ungef\u00e4hr so aussehen:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>$ cryptsetup --version\ncryptsetup 2.7.5 flags: UDEV BLKID KEYRING FIPS KERNEL_CAPI PWQUALITY<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Wichtig ist eine Version aus der 2er-Reihe. Erst ab cryptsetup 2.1 ist LUKS2 das Standardformat, und neuere 2.x-Versionen liefern die aktuellen Argon2id-Standardwerte mit. Pr\u00fcfen Sie zus\u00e4tzlich, ob das <code>dm-crypt<\/code>-Modul im Kernel verf\u00fcgbar ist. In nahezu allen Distributionen ist das der Fall, eine manuelle Aktivierung ist selten n\u00f6tig.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># dm-crypt-Modul laden (meist automatisch)\nsudo modprobe dm-crypt\n\n# Pruefen, ob es geladen ist\nlsmod | grep dm_crypt<\/code><\/pre>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"schritt-2-benchmark\">Schritt 2: Hardware-Leistung mit cryptsetup benchmark testen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Bevor Sie verschl\u00fcsseln, lohnt ein kurzer Leistungstest. Der Befehl <code>cryptsetup benchmark<\/code> misst, wie schnell Ihre CPU die verschiedenen Chiffren und Schl\u00fcsselableitungen verarbeitet. So sehen Sie, ob Ihr Prozessor AES-NI-Beschleunigung bietet (das tun praktisch alle CPUs seit etwa 2011) und welche Datenraten realistisch sind.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>sudo cryptsetup benchmark<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Eine typische Ausgabe auf einem modernen Notebook sieht so aus:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Tests sind ungefaehre Werte mit AES-NI.\nPBKDF2-sha256      1854371 Iterationen pro Sekunde fuer 256-Bit-Schluessel\nargon2id           4 Iterationen, 1048576 KB Speicher, 4 Threads\n\n#  Algorithmus | Schluessel |  Verschluesselung |  Entschluesselung\n        aes-cbc        256b      1024,3 MiB\/s      3210,7 MiB\/s\n    serpent-cbc        256b       102,4 MiB\/s       540,1 MiB\/s\n        aes-xts        512b      2980,5 MiB\/s      2975,8 MiB\/s\n    serpent-xts        512b       560,2 MiB\/s       558,9 MiB\/s<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Die Zeile <code>aes-xts 512b<\/code> ist die entscheidende: 512 Bit Schl\u00fcssell\u00e4nge im XTS-Modus entsprechen AES-256 f\u00fcr die Datenverschl\u00fcsselung. Werte \u00fcber 2000 MiB\/s zeigen, dass AES-NI aktiv ist und die Verschl\u00fcsselung die Festplattengeschwindigkeit nicht ausbremst. Liegt Ihr Wert deutlich darunter, fehlt vermutlich die Hardware-Beschleunigung, was vor allem \u00e4ltere oder sehr g\u00fcnstige CPUs betrifft.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Argon2id-Zeile zeigt die Standardparameter der Schl\u00fcsselableitung: 4 Iterationen, rund 1 GiB Speicher (1048576 KB) und 4 Threads. Diese Werte erschweren das Durchprobieren von Passphrasen massiv, weil jeder Versuch ein Gigabyte Arbeitsspeicher und sp\u00fcrbar Rechenzeit kostet. Genau das ist der Sinn einer modernen, speicherharten Schl\u00fcsselableitung. Wer tiefer in Schl\u00fcsselableitungen einsteigen will, findet die Grundlagen in unserem Beitrag zu <a href=\"\/at\/passwortsicherheit\/\">Hashing und Passwortsicherheit<\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"schritt-3-zielgeraet\">Schritt 3: Zielger\u00e4t identifizieren und Daten sichern<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Dieser Schritt entscheidet \u00fcber Erfolg oder Datenverlust. Der Befehl <code>luksFormat<\/code> \u00fcberschreibt den Header des Zielger\u00e4ts unwiederbringlich. W\u00e4hlen Sie das falsche Ger\u00e4t, l\u00f6schen Sie Ihr Betriebssystem oder Ihre Datenplatte. Verschaffen Sie sich deshalb zuerst einen genauen \u00dcberblick \u00fcber alle Block-Ger\u00e4te.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Alle Laufwerke und Partitionen mit Groesse und Mountpoint auflisten\nlsblk -o NAME,SIZE,TYPE,MOUNTPOINT,FSTYPE<\/code><\/pre>\n\n\n\n<pre class=\"wp-block-code\"><code>NAME        SIZE TYPE MOUNTPOINT FSTYPE\nsda         476G disk\n|-sda1      512M part \/boot\/efi  vfat\n`-sda2      475G part \/          ext4\nsdb         932G disk\n`-sdb1      932G part            ext4<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Im Beispiel ist <code>sda<\/code> die Systemplatte (gemountet auf <code>\/<\/code>) und <code>sdb<\/code> ein zweites Laufwerk, das wir verschl\u00fcsseln wollen. Verschl\u00fcsseln Sie die Partition <code>\/dev\/sdb1<\/code> oder, falls Sie die ganze Platte ohne Partitionstabelle nutzen, <code>\/dev\/sdb<\/code>. In diesem Tutorial verwenden wir durchgehend den Platzhalter <code>\/dev\/sdX1<\/code>. Ersetzen Sie ihn \u00fcberall durch Ihr tats\u00e4chliches Ger\u00e4t.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Sichern Sie jetzt alle Daten des Ziellaufwerks. Nach <code>luksFormat<\/code> ist nichts mehr lesbar. Wer eine bereits genutzte Platte verschl\u00fcsseln will, kopiert die Daten zuerst auf ein anderes Medium und spielt sie nach dem Einrichten zur\u00fcck. Eine nachtr\u00e4gliche Verschl\u00fcsselung im laufenden Betrieb (<code>cryptsetup reencrypt<\/code>) ist zwar m\u00f6glich, aber riskanter und f\u00fcr Einsteiger nicht zu empfehlen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"schritt-4-luksformat\">Schritt 4: LUKS2-Container mit luksFormat anlegen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Jetzt erstellen Sie den verschl\u00fcsselten Container. Der Befehl <code>luksFormat<\/code> schreibt den LUKS-Header, erzeugt den Master-Key und legt den ersten Keyslot mit Ihrer Passphrase an. Trotz des Namens formatiert er kein Dateisystem, das kommt erst in Schritt 5.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># LUKS2-Container mit Standardwerten anlegen\nsudo cryptsetup luksFormat --type luks2 \/dev\/sdX1<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">cryptsetup fragt zur Sicherheit nach, ob Sie wirklich fortfahren wollen, und verlangt dann zweimal die Passphrase:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>WARNING!\n========\nHiermit werden die Daten auf \/dev\/sdX1 unwiderruflich ueberschrieben.\n\nAre you sure? (Type 'yes' in capital letters): YES\nGeben Sie die Passphrase fuer \/dev\/sdX1 ein:\nPassphrase bestaetigen:<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Tippen Sie <code>YES<\/code> in Gro\u00dfbuchstaben, sonst bricht der Befehl ab. Diese Sicherheitsabfrage ist Absicht. Nach Eingabe der Passphrase ist der Container in wenigen Sekunden fertig, weil nur der Header geschrieben wird, nicht die ganze Platte.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Standardwerte sind f\u00fcr die meisten Nutzer bereits sehr gut: AES-256 im XTS-Modus, Argon2id als Schl\u00fcsselableitung und SHA-256 als Hash. Wer Parameter explizit setzen will, etwa f\u00fcr besonders sensible Daten, nutzt zus\u00e4tzliche Optionen.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Mit explizit gesetzten Parametern\nsudo cryptsetup luksFormat --type luks2 \\\n  --cipher aes-xts-plain64 \\\n  --key-size 512 \\\n  --hash sha256 \\\n  --pbkdf argon2id \\\n  --use-random \\\n  \/dev\/sdX1<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Die folgende Tabelle erkl\u00e4rt die wichtigsten Parameter.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Parameter<\/th><th>Standardwert<\/th><th>Bedeutung<\/th><\/tr><\/thead><tbody><tr><td><code>--type<\/code><\/td><td>luks2<\/td><td>Header-Format. luks2 ist Standard und empfohlen.<\/td><\/tr><tr><td><code>--cipher<\/code><\/td><td>aes-xts-plain64<\/td><td>Verschl\u00fcsselungsalgorithmus und Modus.<\/td><\/tr><tr><td><code>--key-size<\/code><\/td><td>512<\/td><td>Schl\u00fcssell\u00e4nge in Bit. 512 im XTS-Modus = AES-256.<\/td><\/tr><tr><td><code>--hash<\/code><\/td><td>sha256<\/td><td>Hash-Funktion f\u00fcr die Metadaten.<\/td><\/tr><tr><td><code>--pbkdf<\/code><\/td><td>argon2id<\/td><td>Speicherharte Schl\u00fcsselableitung gegen Brute-Force.<\/td><\/tr><tr><td><code>--use-random<\/code><\/td><td>aktiv<\/td><td>Nutzt \/dev\/random als Entropiequelle f\u00fcr den Master-Key.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Pr\u00fcfen Sie nach dem Anlegen den Header. Der Befehl <code>luksDump<\/code> zeigt alle Parameter und belegten Keyslots.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>sudo cryptsetup luksDump \/dev\/sdX1<\/code><\/pre>\n\n\n\n<pre class=\"wp-block-code\"><code>LUKS header information\nVersion:        2\nEpoch:          3\nCipher name:    aes\nCipher mode:    xts-plain64\nKeyslots:\n  0: luks2\n        Key:        512 bits\n        PBKDF:      argon2id\n        Memory:     1048576\n        Threads:    4<\/code><\/pre>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"schritt-5-oeffnen\">Schritt 5: Container \u00f6ffnen und Dateisystem erstellen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der verschl\u00fcsselte Container existiert jetzt, ist aber noch leer und geschlossen. Um ihn zu nutzen, \u00f6ffnen Sie ihn mit <code>cryptsetup open<\/code>. Dabei vergeben Sie einen Namen, unter dem das entsperrte Ger\u00e4t im Verzeichnis <code>\/dev\/mapper\/<\/code> erscheint.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Container oeffnen, Name frei waehlbar (hier: cryptdaten)\nsudo cryptsetup open \/dev\/sdX1 cryptdaten\n\n# Passphrase eingeben, danach pruefen\nls -l \/dev\/mapper\/cryptdaten<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Das entsperrte Ger\u00e4t liegt nun unter <code>\/dev\/mapper\/cryptdaten<\/code> und verh\u00e4lt sich wie eine normale Platte. Alles, was Sie dorthin schreiben, verschl\u00fcsselt der Kernel transparent im Hintergrund. Jetzt fehlt noch ein Dateisystem. F\u00fcr Linux-eigene Nutzung empfiehlt sich ext4, f\u00fcr plattform\u00fcbergreifende externe Medien eher XFS oder Btrfs.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># ext4-Dateisystem im entsperrten Container anlegen\nsudo mkfs.ext4 \/dev\/mapper\/cryptdaten\n\n# Optional: Label vergeben\nsudo e2label \/dev\/mapper\/cryptdaten cryptdaten<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Wichtig zum Verst\u00e4ndnis: Sie erstellen das Dateisystem auf dem <code>\/dev\/mapper<\/code>-Ger\u00e4t, nicht direkt auf <code>\/dev\/sdX1<\/code>. W\u00fcrden Sie <code>mkfs<\/code> versehentlich auf das rohe Ger\u00e4t anwenden, zerst\u00f6rten Sie den LUKS-Header. Achten Sie also genau auf den Pfad.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"schritt-6-mounten\">Schritt 6: Laufwerk mounten und Daten ablegen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Mit Dateisystem l\u00e4sst sich der Container einbinden. Legen Sie einen Mountpunkt an und h\u00e4ngen Sie das entsperrte Ger\u00e4t dort ein.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Mountpunkt anlegen\nsudo mkdir -p \/mnt\/cryptdaten\n\n# Einbinden\nsudo mount \/dev\/mapper\/cryptdaten \/mnt\/cryptdaten\n\n# Pruefen\ndf -h \/mnt\/cryptdaten<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Ab jetzt arbeiten Sie ganz normal mit dem Verzeichnis <code>\/mnt\/cryptdaten<\/code>. Jede Datei, die Sie dort speichern, landet verschl\u00fcsselt auf der Platte. Beim Lesen entschl\u00fcsselt der Kernel sie transparent. Sie merken im Alltag keinen Unterschied, abgesehen von einem minimalen Geschwindigkeitsverlust, der dank AES-NI meist unter einem Prozent liegt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zum sauberen Schlie\u00dfen m\u00fcssen Sie in umgekehrter Reihenfolge vorgehen: erst aush\u00e4ngen, dann den LUKS-Container schlie\u00dfen. Erst danach sind die Daten wieder vollst\u00e4ndig verschl\u00fcsselt und unzug\u00e4nglich.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Aushaengen\nsudo umount \/mnt\/cryptdaten\n\n# Container schliessen (Daten sind danach wieder verschluesselt)\nsudo cryptsetup close cryptdaten<\/code><\/pre>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"schritt-7-header-backup\">Schritt 7: LUKS-Header sichern<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der LUKS-Header ist das Herz der Verschl\u00fcsselung. Er enth\u00e4lt den verschl\u00fcsselten Master-Key. Wird er besch\u00e4digt oder versehentlich \u00fcberschrieben, sind s\u00e4mtliche Daten verloren, selbst mit korrekter Passphrase. Deshalb geh\u00f6rt eine Sicherung des Headers zu den wichtigsten Schritten \u00fcberhaupt.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Header in eine Datei sichern\nsudo cryptsetup luksHeaderBackup \/dev\/sdX1 \\\n  --header-backup-file ~\/luks-header-sdX1.img\n\n# Zugriffsrechte einschraenken\nsudo chmod 600 ~\/luks-header-sdX1.img<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Bewahren Sie diese Header-Sicherung an einem sicheren, getrennten Ort auf, etwa auf einem verschl\u00fcsselten USB-Stick im Tresor. Behandeln Sie die Datei wie einen Schl\u00fcssel: Wer sie und Ihre Passphrase besitzt, kommt an die Daten. Ohne Passphrase n\u00fctzt die Header-Sicherung niemandem.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Wiederherstellung l\u00e4uft umgekehrt, falls der Original-Header je besch\u00e4digt wird.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Header aus der Sicherung wiederherstellen\nsudo cryptsetup luksHeaderRestore \/dev\/sdX1 \\\n  --header-backup-file ~\/luks-header-sdX1.img<\/code><\/pre>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"schritt-8-keyslots\">Schritt 8: Zus\u00e4tzliche Schl\u00fcssel und Keyslots verwalten<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Ein gro\u00dfer Vorteil von LUKS sind die Keyslots. LUKS1 erlaubt bis zu 8 Keyslots, LUKS2 sogar bis zu 32. Jeder Slot enth\u00e4lt eine eigene Passphrase oder Schl\u00fcsseldatei, die alle denselben Master-Key entsperren. So kann zum Beispiel ein Admin einen eigenen Wiederherstellungsschl\u00fcssel hinterlegen, oder mehrere Personen nutzen dieselbe Platte mit je eigener Passphrase.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Zweite Passphrase hinzufuegen (fragt erst nach einer bestehenden)\nsudo cryptsetup luksAddKey \/dev\/sdX1\n\n# Eine Schluesseldatei als Schluessel hinterlegen\nsudo dd if=\/dev\/urandom of=~\/cryptdaten.key bs=512 count=8\nsudo chmod 600 ~\/cryptdaten.key\nsudo cryptsetup luksAddKey \/dev\/sdX1 ~\/cryptdaten.key<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Eine Schl\u00fcsseldatei (Keyfile) ist praktisch f\u00fcr automatisierte Setups und Backup-Server, weil sie das interaktive Eintippen ersetzt. Sie muss aber genauso gut gesch\u00fctzt werden wie eine Passphrase. Einen kompromittierten oder nicht mehr ben\u00f6tigten Schl\u00fcssel entfernen Sie wieder gezielt.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Belegte Keyslots anzeigen\nsudo cryptsetup luksDump \/dev\/sdX1 | grep -A1 Keyslots\n\n# Eine bestimmte Passphrase entfernen (fragt nach der zu loeschenden)\nsudo cryptsetup luksRemoveKey \/dev\/sdX1\n\n# Einen Keyslot per Nummer loeschen (Vorsicht, nicht ruecknehmbar)\nsudo cryptsetup luksKillSlot \/dev\/sdX1 1<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Eine Warnung: L\u00f6schen Sie niemals den letzten verbleibenden Keyslot. Ohne g\u00fcltigen Slot l\u00e4sst sich der Container nie wieder \u00f6ffnen, und der Master-Key ist f\u00fcr immer verloren. Pr\u00fcfen Sie vor jedem <code>luksKillSlot<\/code> mit <code>luksDump<\/code>, welche Slots belegt sind.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"schritt-9-crypttab-fstab\">Schritt 9: Automatisches Einbinden mit crypttab und fstab<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Manuelles \u00d6ffnen und Mounten bei jedem Start ist umst\u00e4ndlich. Zwei Systemdateien automatisieren das: <code>\/etc\/crypttab<\/code> beschreibt, welche verschl\u00fcsselten Ger\u00e4te beim Boot entsperrt werden, und <code>\/etc\/fstab<\/code> regelt, wo die entsperrten Ger\u00e4te eingeh\u00e4ngt werden. Sie arbeiten zusammen, crypttab zuerst, fstab danach.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ermitteln Sie zuerst die UUID des verschl\u00fcsselten Ger\u00e4ts. Sie ist stabiler als <code>\/dev\/sdX1<\/code>, weil sich Ger\u00e4tenamen je nach Anschlussreihenfolge \u00e4ndern k\u00f6nnen.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># UUID des LUKS-Geraets anzeigen\nsudo blkid \/dev\/sdX1<\/code><\/pre>\n\n\n\n<pre class=\"wp-block-code\"><code>\/dev\/sdX1: UUID=\"a1b2c3d4-1234-5678-9abc-def012345678\" TYPE=\"crypto_LUKS\"<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Tragen Sie das Ger\u00e4t in <code>\/etc\/crypttab<\/code> ein. Die vier Spalten sind: Mapper-Name, Quellger\u00e4t, Schl\u00fcsseldatei (oder <code>none<\/code> f\u00fcr interaktive Eingabe) und Optionen.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># \/etc\/crypttab\n# Name       Quellgeraet                                Schluessel  Optionen\ncryptdaten   UUID=a1b2c3d4-1234-5678-9abc-def012345678  none        luks<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Danach tragen Sie den Mountpunkt in <code>\/etc\/fstab<\/code> ein. Verweisen Sie auf das Mapper-Ger\u00e4t, nicht auf das rohe LUKS-Ger\u00e4t.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># \/etc\/fstab\n\/dev\/mapper\/cryptdaten   \/mnt\/cryptdaten   ext4   defaults,nofail   0   2<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Die Option <code>nofail<\/code> ist wichtig: Sie verhindert, dass das System nicht bootet, falls das verschl\u00fcsselte Laufwerk einmal fehlt, etwa weil ein externes Medium nicht angesteckt ist. Testen Sie die Konfiguration vor dem n\u00e4chsten Neustart, damit ein Tippfehler den Bootvorgang nicht blockiert.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># crypttab-Eintraege testen, ohne neu zu starten\nsudo systemctl daemon-reload\nsudo cryptdisks_start cryptdaten   # Debian\/Ubuntu\nsudo mount -a                       # fstab pruefen<\/code><\/pre>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"schritt-10-argon2id-haerten\">Schritt 10: Argon2id-Parameter f\u00fcr mehr Sicherheit h\u00e4rten<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Standardwerte von Argon2id sind bereits stark, aber bei besonders sensiblen Daten oder leistungsstarker Hardware k\u00f6nnen Sie sie weiter anheben. Drei Parameter steuern den Aufwand: Iterationen (<code>--iter-time<\/code> in Millisekunden), Speicherbedarf (<code>--pbkdf-memory<\/code> in KiB) und Parallelit\u00e4t (<code>--pbkdf-parallel<\/code>). Mehr Speicher und mehr Zeit machen das Durchprobieren von Passphrasen f\u00fcr Angreifer teurer.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Parameter<\/th><th>Standard<\/th><th>Geh\u00e4rtet<\/th><th>Wirkung<\/th><\/tr><\/thead><tbody><tr><td><code>--iter-time<\/code><\/td><td>2000 ms<\/td><td>5000 ms<\/td><td>L\u00e4ngere Ableitungszeit pro Versuch<\/td><\/tr><tr><td><code>--pbkdf-memory<\/code><\/td><td>1048576 KiB (1 GiB)<\/td><td>2097152 KiB (2 GiB)<\/td><td>H\u00f6herer RAM-Bedarf je Versuch<\/td><\/tr><tr><td><code>--pbkdf-parallel<\/code><\/td><td>4<\/td><td>4<\/td><td>Anzahl paralleler Threads<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Diese Werte lassen sich nachtr\u00e4glich f\u00fcr einen bestehenden Keyslot \u00e4ndern, ohne die Daten neu zu verschl\u00fcsseln. Der Befehl <code>luksConvertKey<\/code> rechnet den betroffenen Slot mit den neuen Parametern um.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Argon2id-Parameter eines bestehenden Keyslots anheben\nsudo cryptsetup luksConvertKey \/dev\/sdX1 \\\n  --pbkdf argon2id \\\n  --iter-time 5000 \\\n  --pbkdf-memory 2097152<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Beachten Sie den Kompromiss: H\u00f6here Werte verl\u00e4ngern auch Ihre eigene Entsperrzeit beim Booten. 2 GiB Speicher und 5 Sekunden sind ein vern\u00fcnftiges Maximum f\u00fcr die meisten Desktops. Auf Ger\u00e4ten mit wenig RAM kann ein zu hoher Speicherwert sogar verhindern, dass die Entsperrung funktioniert, vor allem im fr\u00fchen Boot-Stadium (initramfs). Testen Sie ge\u00e4nderte Parameter immer, bevor Sie sich darauf verlassen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"schritt-11-tpm2\">Schritt 11: TPM2-Bindung mit systemd-cryptenroll<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Auf moderner Hardware sitzt ein TPM2-Chip (Trusted Platform Module). Damit l\u00e4sst sich die Entsperrung an die Integrit\u00e4t des Systems koppeln: Bootet der Rechner unver\u00e4ndert, entsperrt das TPM die Platte automatisch, ohne dass Sie eine Passphrase eintippen. Wird die Hardware manipuliert oder die Platte in einen anderen Rechner gesteckt, verweigert das TPM die Herausgabe des Schl\u00fcssels. Das Werkzeug daf\u00fcr hei\u00dft <code>systemd-cryptenroll<\/code>.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Verfuegbare TPM2-Geraete anzeigen\nsudo systemd-cryptenroll --tpm2-device=list\n\n# LUKS-Geraet an das TPM2 binden (PCR 7 = Secure-Boot-Status)\nsudo systemd-cryptenroll \/dev\/sdX1 \\\n  --tpm2-device=auto \\\n  --tpm2-pcrs=7<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Danach erg\u00e4nzen Sie in <code>\/etc\/crypttab<\/code> die Option <code>tpm2-device=auto<\/code>, damit das System beim Boot automatisch das TPM zum Entsperren nutzt.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># \/etc\/crypttab mit TPM2-Entsperrung\ncryptdaten   UUID=a1b2c3d4-...   none   luks,tpm2-device=auto<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Wichtig: Behandeln Sie die TPM2-Bindung als Komfort, nicht als Ersatz f\u00fcr eine starke Passphrase. Behalten Sie immer einen passphrasenbasierten Keyslot als R\u00fcckfallebene. Sonst sperren Sie sich aus, sobald ein Firmware-Update die gemessenen PCR-Werte ver\u00e4ndert. Welche PCRs sinnvoll sind, h\u00e4ngt von Ihrem Bedrohungsmodell ab. PCR 7 deckt den Secure-Boot-Status ab und ist ein robuster Standard.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"schritt-12-notfall\">Schritt 12: Notfall, Wiederherstellung und sicheres Schlie\u00dfen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Zum Abschluss richten Sie einen Notfallplan ein. Drei Dinge geh\u00f6ren dazu: ein Header-Backup (Schritt 7), ein zweiter Keyslot (Schritt 8) und das Wissen, wie Sie den Master-Key im Ernstfall sichern. Wer alle drei beherrscht, verliert seine Daten auch bei Hardware-Defekten nicht.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Sie k\u00f6nnen den Master-Key des Containers exportieren und sicher verwahren. Damit l\u00e4sst sich der Container selbst dann \u00f6ffnen, wenn alle Passphrasen vergessen wurden. Behandeln Sie diesen Schl\u00fcssel wie hochsensibles Material.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Master-Key anzeigen (nur in sicherer Umgebung ausfuehren)\nsudo cryptsetup luksDump --dump-volume-key \/dev\/sdX1\n\n# Container mit Volume-Key statt Passphrase oeffnen (Notfall)\nsudo cryptsetup open --master-key-file ~\/masterkey.bin \/dev\/sdX1 cryptdaten<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Zum dauerhaften L\u00f6schen einer verschl\u00fcsselten Platte reicht es, den Header zu vernichten. Ohne Header ist der Master-Key weg, und die Daten sind selbst mit Passphrase nicht mehr rekonstruierbar. Das macht das sichere L\u00f6schen sehr schnell, denn Sie m\u00fcssen nicht die ganze Platte \u00fcberschreiben.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># LUKS-Header und damit alle Schluessel unwiderruflich loeschen\nsudo cryptsetup luksErase \/dev\/sdX1<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Damit ist die Einrichtung vollst\u00e4ndig. Sie haben ein verschl\u00fcsseltes Laufwerk, ein gesichertes Header-Backup, mehrere Keyslots, geh\u00e4rtete Argon2id-Parameter und optional eine TPM2-Bindung. Im Alltag arbeiten Sie ganz normal weiter, die Verschl\u00fcsselung l\u00e4uft unsichtbar im Hintergrund.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"haeufige-fehler\">H\u00e4ufige Fehler beim Festplatte verschl\u00fcsseln und ihre L\u00f6sungen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Diese f\u00fcnf Fehler kosten Einsteiger am h\u00e4ufigsten Zeit oder Daten. Wer sie kennt, vermeidet sie.<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>Falsches Zielger\u00e4t bei luksFormat.<\/strong> Der mit Abstand teuerste Fehler. Wer <code>\/dev\/sda<\/code> statt <code>\/dev\/sdb<\/code> formatiert, l\u00f6scht das System. Pr\u00fcfen Sie immer zweimal mit <code>lsblk<\/code>, bevor Sie <code>luksFormat<\/code> ausf\u00fchren.<\/li><li><strong>Kein Header-Backup.<\/strong> Der LUKS-Header ist nur wenige Megabyte gro\u00df, aber ohne ihn sind alle Daten verloren. Sichern Sie ihn vor der ersten Datenablage, nicht erst sp\u00e4ter.<\/li><li><strong>mkfs auf dem rohen Ger\u00e4t.<\/strong> Das Dateisystem geh\u00f6rt auf <code>\/dev\/mapper\/cryptdaten<\/code>, nicht auf <code>\/dev\/sdX1<\/code>. Andernfalls \u00fcberschreiben Sie den LUKS-Header.<\/li><li><strong>Letzten Keyslot gel\u00f6scht.<\/strong> Ohne g\u00fcltigen Keyslot ist der Container unwiderruflich verloren. Behalten Sie immer mindestens einen funktionierenden Slot.<\/li><li><strong>Schwache Passphrase.<\/strong> AES-256 ist nicht zu brechen, eine schlechte Passphrase schon. Nutzen Sie mindestens 20 Zeichen oder vier zuf\u00e4llige W\u00f6rter aus einem <a href=\"\/at\/keepassxc-einrichten\/\">Passwort-Manager<\/a>.<\/li><\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"troubleshooting\">Troubleshooting: 8 typische Probleme l\u00f6sen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Wenn etwas nicht funktioniert, hilft diese Tabelle bei der schnellen Diagnose der h\u00e4ufigsten Fehlermeldungen rund um die <strong>LUKS Verschl\u00fcsselung<\/strong>.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Problem \/ Meldung<\/th><th>Ursache<\/th><th>L\u00f6sung<\/th><\/tr><\/thead><tbody><tr><td>&#8220;No key available with this passphrase&#8221;<\/td><td>Falsche Passphrase oder falscher Keyslot<\/td><td>Passphrase pr\u00fcfen, Tastaturlayout kontrollieren (z\/y), anderen Keyslot testen<\/td><\/tr><tr><td>&#8220;Device cryptdaten already exists&#8221;<\/td><td>Container ist bereits ge\u00f6ffnet<\/td><td>Mit <code>cryptsetup status cryptdaten<\/code> pr\u00fcfen, ggf. zuerst schlie\u00dfen<\/td><\/tr><tr><td>&#8220;Cannot use device, already in use&#8221;<\/td><td>Ger\u00e4t ist gemountet oder belegt<\/td><td><code>umount<\/code> ausf\u00fchren, mit <code>lsof<\/code> blockierende Prozesse finden<\/td><\/tr><tr><td>&#8220;Not enough available memory&#8221;<\/td><td>Argon2id-Speicherbedarf \u00fcbersteigt RAM (oft im initramfs)<\/td><td><code>--pbkdf-memory<\/code> senken oder PBKDF2 f\u00fcr Boot-Partition nutzen<\/td><\/tr><tr><td>System bootet nicht nach fstab-Eintrag<\/td><td>Falsche UUID oder fehlendes <code>nofail<\/code><\/td><td>Recovery-Modus, fstab korrigieren, <code>nofail<\/code> erg\u00e4nzen<\/td><\/tr><tr><td>&#8220;Requested offset is beyond real size of device&#8221;<\/td><td>Header besch\u00e4digt oder falsches Ger\u00e4t<\/td><td>Header aus Backup wiederherstellen (Schritt 7)<\/td><\/tr><tr><td>Langsame Entschl\u00fcsselung<\/td><td>Fehlende AES-NI-Beschleunigung<\/td><td><code>cryptsetup benchmark<\/code> pr\u00fcfen, ggf. CPU-Mikrocode aktualisieren<\/td><\/tr><tr><td>TPM2 entsperrt nicht mehr<\/td><td>PCR-Werte nach Firmware-Update ge\u00e4ndert<\/td><td>Mit Passphrase entsperren, TPM2 neu einbinden (<code>systemd-cryptenroll<\/code>)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Bei jedem Fehler hilft zuerst <code>sudo cryptsetup status cryptdaten<\/code> f\u00fcr den aktuellen Zustand und <code>sudo cryptsetup luksDump \/dev\/sdX1<\/code> f\u00fcr die Header-Informationen. Beide Befehle sind ungef\u00e4hrlich, sie ver\u00e4ndern nichts.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"fortgeschrittene-tipps\">Fortgeschrittene Tipps f\u00fcr Profis<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"detached-header\">Detached Header f\u00fcr mehr Sicherheit<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Standardm\u00e4\u00dfig liegt der LUKS-Header auf demselben Ger\u00e4t wie die Daten. Mit der Option <code>--header<\/code> l\u00e4sst er sich auf ein separates Medium auslagern, etwa einen USB-Stick. Ohne diesen Stick sieht die Platte wie zuf\u00e4lliges Rauschen aus. Es gibt keinen sichtbaren Hinweis darauf, dass sie \u00fcberhaupt verschl\u00fcsselt ist. Das erh\u00f6ht die Sicherheit, weil ein Angreifer ohne den abgesetzten Header nicht einmal den Verschl\u00fcsselungstyp erkennt.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Container mit abgesetztem Header anlegen\nsudo cryptsetup luksFormat --type luks2 \\\n  --header \/mnt\/usbstick\/sdX1-header.img \\\n  \/dev\/sdX1\n\n# Mit abgesetztem Header oeffnen\nsudo cryptsetup open --header \/mnt\/usbstick\/sdX1-header.img \\\n  \/dev\/sdX1 cryptdaten<\/code><\/pre>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"discard-ssd\">TRIM\/Discard auf SSDs und der Sicherheitskompromiss<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">SSDs profitieren von TRIM-Befehlen, die ungenutzte Bl\u00f6cke freigeben und die Lebensdauer verl\u00e4ngern. Bei LUKS ist TRIM standardm\u00e4\u00dfig abgeschaltet, weil es ein kleines Informationsleck erzeugt: Ein Angreifer kann erkennen, welche Bl\u00f6cke belegt sind und welche nicht. Wer den Geschwindigkeitsvorteil will und das Leck akzeptiert, aktiviert TRIM \u00fcber die Option <code>discard<\/code>.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># In \/etc\/crypttab discard ergaenzen\ncryptdaten   UUID=a1b2c3d4-...   none   luks,discard<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr die meisten Heimanwender ist der Kompromiss vertretbar, weil das Informationsleck in der Praxis wenig verr\u00e4t. Bei h\u00f6chsten Sicherheitsanforderungen lassen Sie TRIM besser deaktiviert.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"ganzes-system\">Ganzes System verschl\u00fcsseln<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Dieses Tutorial behandelt ein zweites Laufwerk. Wer das gesamte System inklusive Wurzelverzeichnis verschl\u00fcsseln will, richtet das am einfachsten direkt bei der Installation ein. Ubuntu, Fedora und Debian bieten im Installer die Option &#8220;LVM mit Verschl\u00fcsselung&#8221; oder &#8220;Festplatte verschl\u00fcsseln&#8221; an, die im Hintergrund genau dieses LUKS2-Setup erzeugt. Eine nachtr\u00e4gliche Vollverschl\u00fcsselung des laufenden Systems ist mit <code>cryptsetup reencrypt<\/code> m\u00f6glich, aber deutlich anspruchsvoller und sollte nur mit vollst\u00e4ndigem Backup erfolgen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"faq\">H\u00e4ufig gestellte Fragen (FAQ)<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"wie-sicher-ist-die-luks-verschluesselung-wirklich\">Wie sicher ist die LUKS-Verschl\u00fcsselung wirklich?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">LUKS nutzt AES-256 im XTS-Modus, denselben Algorithmus, den Regierungen und Banken f\u00fcr streng vertrauliche Daten einsetzen. AES-256 gilt nach heutigem Stand als praktisch nicht brechbar. Die reale Schwachstelle ist fast immer die Passphrase, nicht der Algorithmus. Mit einer starken Passphrase und aktuellem Argon2id ist eine LUKS-Platte ohne Zugangsdaten wertlos f\u00fcr Angreifer.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"verlangsamt-die-verschluesselung-meinen-computer-spuerbar\">Verlangsamt die Verschl\u00fcsselung meinen Computer sp\u00fcrbar?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Auf jeder CPU mit AES-NI-Beschleunigung (praktisch alle seit etwa 2011) liegt der Geschwindigkeitsverlust meist unter einem Prozent und ist im Alltag nicht wahrnehmbar. Der Test <code>cryptsetup benchmark<\/code> zeigt Datenraten von oft \u00fcber 2000 MiB\/s, weit mehr als jede klassische Festplatte lesen kann. Nur sehr alte oder sehr g\u00fcnstige Prozessoren ohne Hardware-Beschleunigung verlieren sp\u00fcrbar Tempo.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"kann-ich-eine-bereits-genutzte-festplatte-ohne-datenverlust-verschluesseln\">Kann ich eine bereits genutzte Festplatte ohne Datenverlust verschl\u00fcsseln?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Grunds\u00e4tzlich ja, mit <code>cryptsetup reencrypt<\/code>. Dieser Vorgang verschl\u00fcsselt eine bestehende Partition im laufenden Betrieb. Er ist aber riskanter als ein frisches Setup, weil ein Stromausfall w\u00e4hrend der Konvertierung Daten besch\u00e4digen kann. F\u00fcr Einsteiger ist der sichere Weg: Daten sichern, Platte mit <code>luksFormat<\/code> neu verschl\u00fcsseln und Daten zur\u00fcckspielen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"was-passiert-wenn-ich-meine-passphrase-vergesse\">Was passiert, wenn ich meine Passphrase vergesse?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Ohne g\u00fcltige Passphrase und ohne hinterlegten zweiten Keyslot oder gesicherten Master-Key sind die Daten unwiederbringlich verloren. Genau das ist der Zweck der Verschl\u00fcsselung. Deshalb geh\u00f6ren ein zweiter Keyslot (Schritt 8) und ein Header-Backup (Schritt 7) zur Pflichtausstattung. Bewahren Sie eine Wiederherstellungspassphrase an einem sicheren, getrennten Ort auf.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"brauche-ich-luks-wenn-mein-laptop-schon-ein-login-passwort-hat\">Brauche ich LUKS, wenn mein Laptop schon ein Login-Passwort hat?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Ja. Ein Login-Passwort sch\u00fctzt nur die laufende Sitzung. Wer die Platte ausbaut und an einen anderen Rechner anschlie\u00dft, liest ohne Verschl\u00fcsselung s\u00e4mtliche Daten. Erst LUKS macht die Festplatte ohne Passphrase unlesbar, auch im ausgebauten Zustand. Mehr zum Thema Datenabfluss lesen Sie in unserem Beitrag zu <a href=\"\/at\/datenlecks\/\">Datenlecks<\/a>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"funktioniert-luks-auch-mit-externen-usb-festplatten-und-sticks\">Funktioniert LUKS auch mit externen USB-Festplatten und Sticks?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Ja, der Ablauf ist identisch. Sie verschl\u00fcsseln einfach die Partition des USB-Ger\u00e4ts statt einer internen Platte. Beachten Sie aber, dass LUKS-verschl\u00fcsselte Medien nur auf Linux-Systemen direkt lesbar sind. Wer ein externes Medium auch unter Windows oder macOS nutzen will, ist mit dem plattform\u00fcbergreifenden <a href=\"\/at\/veracrypt-anleitung-verschluesselung\/\">VeraCrypt<\/a> besser bedient.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"was-ist-der-unterschied-zwischen-luks1-und-luks2\">Was ist der Unterschied zwischen LUKS1 und LUKS2?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">LUKS2 ist das neuere, seit cryptsetup 2.1 standardm\u00e4\u00dfige Format. Es bietet einen redundanten Header, JSON-Metadaten, bis zu 32 Keyslots (statt 8 bei LUKS1) und die moderne Schl\u00fcsselableitung Argon2id. F\u00fcr neue Installationen ist LUKS2 die richtige Wahl. LUKS1 brauchen Sie nur f\u00fcr seltene Kompatibilit\u00e4tsf\u00e4lle mit \u00e4lteren Bootloadern.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"fazit\">Fazit: Festplatte verschl\u00fcsseln in unter einer Stunde<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Eine <strong>Festplatte zu verschl\u00fcsseln<\/strong> ist unter Linux keine Stunde Arbeit und kostet keinen Cent. Mit LUKS und cryptsetup bekommen Sie AES-256, die moderne Argon2id-Schl\u00fcsselableitung und optionale TPM2-Bindung, alles nativ im Kernel und quelloffen. Die wichtigsten Regeln zum Mitnehmen: das richtige Zielger\u00e4t doppelt pr\u00fcfen, den Header sichern, einen zweiten Keyslot anlegen und eine starke Passphrase w\u00e4hlen. Wer diese vier Punkte beachtet, sch\u00fctzt seine Daten zuverl\u00e4ssig vor Diebstahl und Verlust und erf\u00fcllt zugleich einen zentralen Baustein der DSGVO-Konformit\u00e4t.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die <strong>LUKS Verschl\u00fcsselung<\/strong> ist ein Baustein einer umfassenden Sicherheitsstrategie. Kombinieren Sie sie mit einem starken Passwort-Manager, aktueller Software und einem durchdachten Backup-Konzept. Dann sind Ihre Daten auch dann sicher, wenn das Ger\u00e4t einmal in falsche H\u00e4nde ger\u00e4t.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"related-coverage\">Related Coverage<\/h3>\n\n\n\n<ul class=\"wp-block-list\"><li><a href=\"\/at\/veracrypt-anleitung-verschluesselung\/\">VeraCrypt Anleitung: Verschl\u00fcsselung in 12 Schritten<\/a><\/li><li><a href=\"\/at\/keepassxc-einrichten\/\">KeePassXC einrichten: Passwort-Tresor in 12 Schritten<\/a><\/li><li><a href=\"\/at\/ssh-key-einrichten\/\">SSH-Key einrichten: Server h\u00e4rten in 10 Schritten<\/a><\/li><li><a href=\"\/at\/https-und-tls\/\">HTTPS und TLS: Wie das Schloss im Browser Sie sch\u00fctzt<\/a><\/li><li><a href=\"\/at\/datenlecks\/\">Datenlecks: Wie sie entstehen und wie Sie sich sch\u00fctzen<\/a><\/li><li><a href=\"\/cryptography\/\">Mehr Tutorials und Grundlagen im Kryptographie-Hub<\/a><\/li><\/ul>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"quellen\">Weiterf\u00fchrende Quellen<\/h3>\n\n\n\n<ul class=\"wp-block-list\"><li><a href=\"https:\/\/gitlab.com\/cryptsetup\/cryptsetup\" target=\"_blank\" rel=\"noopener\">cryptsetup: Offizielles Projekt-Repository (GitLab)<\/a><\/li><li><a href=\"https:\/\/man7.org\/linux\/man-pages\/man8\/cryptsetup.8.html\" target=\"_blank\" rel=\"noopener\">cryptsetup(8): Offizielle Linux-Manpage<\/a><\/li><li><a href=\"https:\/\/wiki.archlinux.org\/title\/Dm-crypt\/Device_encryption\" target=\"_blank\" rel=\"noopener\">Arch Wiki: dm-crypt Device encryption<\/a><\/li><li><a href=\"https:\/\/wiki.archlinux.org\/title\/Dm-crypt\/Encrypting_an_entire_system\" target=\"_blank\" rel=\"noopener\">Arch Wiki: Encrypting an entire system<\/a><\/li><li><a href=\"https:\/\/www.freedesktop.org\/software\/systemd\/man\/latest\/systemd-cryptenroll.html\" target=\"_blank\" rel=\"noopener\">systemd-cryptenroll: TPM2-Bindung (freedesktop.org)<\/a><\/li><\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Wer in \u00d6sterreich einen Laptop verliert oder dessen Diebstahl meldet, gibt ohne Verschl\u00fcsselung meist auch s\u00e4mtliche Daten preis: Kundenakten, Steuerunterlagen, Passw\u00f6rter im Browser und private Fotos. Eine Festplatte verschl\u00fcsseln Sie\u2026<\/p>\n","protected":false},"author":4,"featured_media":97,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[],"class_list":["post-96","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cryptography"],"_links":{"self":[{"href":"https:\/\/shattered.io\/at\/wp-json\/wp\/v2\/posts\/96","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/at\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/at\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/at\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/at\/wp-json\/wp\/v2\/comments?post=96"}],"version-history":[{"count":1,"href":"https:\/\/shattered.io\/at\/wp-json\/wp\/v2\/posts\/96\/revisions"}],"predecessor-version":[{"id":98,"href":"https:\/\/shattered.io\/at\/wp-json\/wp\/v2\/posts\/96\/revisions\/98"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/at\/wp-json\/wp\/v2\/media\/97"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/at\/wp-json\/wp\/v2\/media?parent=96"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/at\/wp-json\/wp\/v2\/categories?post=96"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/at\/wp-json\/wp\/v2\/tags?post=96"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}