Verschlüsselung mit dm-crypt

Da ich meine Backups verschlüsselt auf meinem File-Server ablegen möchte, habe ich mich heute mit dm-crypt befasst. Als erstes stand die Entscheidung an, welchen Chiffrier-Modus für dm-crypt zum Einsatz kommen soll. Nach einer kurzen Recherche (Wikipedia #1, #2, Gentoo-Wiki) und Performance-Tests zwischen CBC, LRW, XTS und unterschiedlichen AES-Schlüssellängen (siehe Ergebnisse im Wiki) fiel die Wahl auf XTS mit einer Key-Size von 256.

Als nächstes stand die automatische Verschlüsselung der Swap- und Temp-Partitionen mit einem zufälligen Schlüssel und die manuelle Verschlüsselung anderer Datenpartitionen per Passwort an. Da der Server nicht ständig laufen soll, ist die Eingabe des Passworts für die verschlüsselten Backup-Partitionen beim Hochfahren des Systems jedoch sehr unpraktisch. Daher wurde für diese Partitionen zusätzlich ein Keyfile auf einem USB-Stick angelegt, der automatisch beim Hochfahren des Systems ausgelesen wird. Somit steckt man den USB-Stick mit dem Keyfile an den Servern, fährt das System hoch, während die verschlüsselten Partitionen automatisch gemounted werden und kann dann den USB-Stick wieder entfernen. Meines Erachtens eine bequeme und dennoch halbwegs sichere Lösung. Die einzelnen Schritte zur Einrichtung sind im Wiki dokumentiert.