Wenn nachträglich ein zweiter Datenträger in eine Debian-Installation eingebunden wird und dieser ebenso wie der erste Datenträger mit LUKS verschlüsselt wird, so ist bei jedem Systemstart zweimal eine Passphrase für die Entschlüsselung des jeweiligen Datenträger einzugeben. Sofern sich die beiden Passphrasen gleichen, kann mit dem Script decrypt_keyctl eine nur einmalige Eingabe erreicht werden.
Aber Achtung: decrypt_keyctl speichert die Passphrase unverschlüsselt im Arbeitsspeicher zwischen. Da Teile des Arbeitsspeichers ggf. auch in den Swap ausgelagert werden können, sollte dieses Script nur verwendet werden, wenn auch der Swap verschlüsselt ist!
decrypt_keyctl ist in dem Debian-Paket keyutils enthalten, welches über den Paketmanager installiert werden kann:
# apt install keyutils
In Debian 12 / Bookworm können die Einträge in der Datei /etc/crypttab dann mit der Option keyscript=decrypt_keyctl ergänzt werden, wie hier im Beispiel einer SSD- und einer Festplatten-Partition:
nvme0n1p3_crypt UUID=<UUID> none luks,discard,keyscript=decrypt_keyctl sda1_crypt UUID=<UUID> none luks,keyscript=decrypt_keyctl
In Debian 11 / Bullseye braucht es ggf. zusätzlich die Option initramfs
nvme0n1p3_crypt UUID=<UUID> none luks,discard,initramfs,keyscript=decrypt_keyctl sda1_crypt UUID=<UUID> none luks,initramfs,keyscript=decrypt_keyctl
Vor dem Booten muss dann noch das Initramfs aktualisiert werden:
# update-initramfs -k all -u