Mit dem Kommando
# cryptsetup -c aes-xts-plain -s 512 luksFormat /dev/sdXY
wird eine Partition mit LUKS formatiert. Es wird eine Passphrase als Schlüssel abgefragt. Soll ein von einer anderen Partition (z. B. root) abgeleiteter Schlüssel verwendet werden, wird das Kommando
# /lib/cryptsetup/scripts/decrypt_derived root | cryptsetup -c aes-xts-plain -s 512 luksFormat /dev/sdXY
angewendet.
Anschließend kann die Partition mit
# cryptsetup luksOpen /dev/sdXY <name> # /lib/cryptsetup/scripts/decrypt_derived root | cryptsetup luksOpen /dev/sdXY <name>
geöffnet werden. Dabei erzeugt der Device Mapper eine neues Blockgerät /dev/mapper/<name>
Um die verschlüsselten Partitionen dauerhaft einzubinden, ist noch ein Eintrag in die Datei /etc/crypttab notwendig. Das Beispiel zeigt in der ersten Zeile die root Partition, die mit einem eigenen Schlüssel verschlüsselt wurde. Bei den folgenden Einträgen für swap und vm sind die Schlüssel jeweils von root abgeleitet.
# Datei /etc/crypttab # <target name> <source device> <key file> <options> root UUID=c9e6aab5-e3a0-43e9-a594-4bcf1b61e7c1 none luks swap UUID=d09e29f2-9882-457d-b4f0-42f12aebdd3b root luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived vm UUID=e48bfeb3-e069-46ac-addf-58af319654b8 root luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived