====== Allgemein ======
Um eine Festplatte zu verschlüsseln wird //geli// verwendet. Dies arbeitet direkt auf geom-Providern und ist somit in der Lage Partitionen transparent zu verschlüsseln.

====== ASESNI Laden ======
Wenn die verwendete CPU hardwareseitige AES-Beschleunigung unterstützt kann diese mit folgendem Eintrag in der **/boot/loader.conf** aktiviert werden.
<code>
aesni_load="YES"
</code>

====== GELI laden ======
Damit GELI (welches die Entschlüsselung der Daten übernimmt) beim Systemstart geladen wird muss noch folgende Zeile in die /boot/loader.conf hinzugefügt werden:
<code>
geom_eli_load="YES"
</code>

====== Partition anlegen ======
Um nun auf der Festplatte eine z.B. 500GB große Partition anzulegen wird //gpart// mit folgenden Parametern aufgerufen (Hierbei muss **adX** mit der entsprechenden Devicenode ersetzt werden).
<code>
# gpart add -s 500G -l CRYPTO -a 1m -t freebsd-ufs adX
</code>

====== Master-Key anlegen ======
Nun wird eine Schlüsseldatei angelegt mit welcher das Image dann verschlüsselt wird. Will man kein Key-File verwenden (nur in Ausnahmefällen sinnvoll), sondern ausschließlich ein Passwort eingeben kann dieser Schritt übersprungen werden.
<code>
% dd if=/dev/random of=crypt.key bs=128k count=1
</code>

====== GELI initialisieren ======
Nun muss GELI noch das Device initialisieren.
<code>
# geli init -s 4096 -l 256 -K crypt.key /dev/gpt/CRYPTO
</code>

Will man hingegen kein Key-File verwenden sieht die Zeile wie folgt aus:
<code>
# geli init -s 4096 -l 256 /dev/gpt/CRYPTO
</code>

Anschließend muss noch zwei mal das zum Verschlüsseln zu verwendende Passwort eingegeben werden.

====== GELI-Provider aktivieren ======
Um das Ganze nun zu aktivieren wird folgend vorgegangen:
<code>
# geli attach -k crypt.key /dev/gpt/CRYPTO
</code>
Hiermit wurde das unverschlüsselte Device /dev/gpt/CRYPTO.eli erzeugt. Wird kein Key-File verwendet entfällt **-k crypt.key**.

====== Dateisystem erzeugen ======
Das neue Image muss nun noch mit einem Dateisystem gefüllt werden.

<code>
# dd if=/dev/random of=/dev/gpt/CRYPTO.eli bs=1m
# newfs -j /dev/CRYPTO.eli
</code>

Um das Device nun in /crypt zu mounten muss nur noch folgender Befehl abgesetzt werden:
<code>
# mount /dev/gpt/CRYPTO.eli /crypt
</code>

Das Device kann nun normal verwendet werden.

====== Device auswerfen ======
Zunächst wird das Laufwerk unmouned. Dies geschieht mit:
<code>
# umount /crypt
</code>

Anschließend muss noch der GELI-Provider ausgeworfen werden. Hierdurch wird der entschlüsselte Zugriff beendet.
<code>
# geli detach gpt/CRYPTO.eli
</code>
Tipp: Wurde beim attach Befehl die Option **-d** verwendet wird das Device automatisch detached sobald der //umount// abgeschlossen ist.