Šifrování disku LUKS v Linuxu: kdy ho zapnout a kdy není potřeba - LINUX PRO DOMÁCNOST - vzdělávací HUB

LUKS si můžete představit jako pevný zámek na celý disk.

Když je počítač vypnutý, disk je uzamčený. Bez hesla nelze jednoduše přečíst soubory, dokumenty, fotky, uložená data aplikací ani obsah uživatelského systému.

Jakmile při startu zadáte heslo a Linux se spustí, systém s diskem pracuje normálně. Soubory vidíte, otevíráte a ukládáte stejně jako bez šifrování. Rozdíl je hlavně v tom, že při vypnutém počítači jsou data na disku chráněná.

LUKS tedy nechrání před vším. Nechrání před člověkem, který sedí u už přihlášeného počítače. Nechrání před škodlivým programem běžícím v odemčeném systému. Nechrání ani před členem domácnosti, který používá stejný uživatelský účet.

Chrání především data v klidu: tedy data na vypnutém, ztraceném, ukradeném nebo vyřazeném počítači.

LUKS znamená Linux Unified Key Setup. Jde o běžný standard pro šifrování disků a diskových oddílů v Linuxu. Prakticky se používá společně s nástrojem cryptsetup a linuxovou vrstvou dm-crypt.

Zjednodušeně řečeno:

Současný cryptsetup používá jako výchozí formát LUKS2. To znamená, že pokud instalátor nebo správce disku nevynutí starší typ, nově vytvořený LUKS svazek bývá dnes zpravidla LUKS2.

Zorin OS 18.1 je podle oficiálních technických údajů založený na Ubuntu 24.04 LTS.

Protože současný cryptsetup používá jako výchozí formát LUKS2, je u běžné instalace Zorin OS 18.1 se zapnutým šifrováním disku rozumné očekávat použití LUKS2. Přesto je lepší to po instalaci ověřit přímo v systému, protože přesný výsledek závisí na konkrétním instalátoru a jeho volbách.

Ověření provedete takto:

Najděte oddíl označený jako crypto_LUKS. Bude to například /dev/nvme0n1p3, /dev/sda3 nebo podobně.

Název zařízení upravte podle svého počítače.

Pokud výstup obsahuje například:

Version:        2

znamená to, že daný šifrovaný oddíl používá LUKS2.

Důležité: příkaz cryptsetup luksDump nezobrazuje vaše heslo. Přesto ukazuje technické informace o šifrovaném zařízení, takže jeho celý výstup není vhodné bez rozmyslu zveřejňovat na internetu.

LUKS chrání hlavně proti situacím, kdy se někdo dostane k vypnutému počítači nebo samotnému disku.

Typické příklady:

Bez šifrování je možné disk často jednoduše připojit k jinému počítači a číst data. Uživatelské heslo v Linuxu v takové situaci samo o sobě nestačí, protože chrání přihlášení do běžícího systému, ne nutně samotný obsah disku při připojení jinde.

Se zapnutým LUKS šifrováním jsou data na disku bez hesla nečitelná.

Je důležité říct i druhou část. LUKS není zázračná ochrana proti všemu.

LUKS nechrání:

Jakmile je systém spuštěný a disk odemčený, Linux s daty normálně pracuje. To je z hlediska používání pohodlné, ale znamená to, že LUKS chrání hlavně vypnutý nebo zamčený stav počítače před spuštěním systému.

Ano, často je vhodný i pro domácí počítač.

Domácí počítač nemusí obsahovat firemní tajemství, ale přesto na něm obvykle bývají citlivá data:

Riziko krádeže domácího stolního počítače je sice menší než u notebooku, ale není nulové. Navíc počítač se jednou může prodávat, darovat, reklamovat, opravovat nebo vyhazovat.

Proto dává LUKS smysl i u domácích počítačů, pokud na nich jsou osobní data.

U herního počítače je dobré rozlišit dvě věci.

Samotné hraní her bývá závislé hlavně na grafické kartě, procesoru a paměti RAM. LUKS obvykle výrazně neovlivňuje počet snímků za sekundu ve hře.

Šifrování se může více projevit při:

U běžného herního počítače s osobními daty bych LUKS klidně zapnul. Pokud jde o čistě herní testovací stroj bez osobních dat, není to nutné.

U serveru je situace složitější. Pokud server běží doma a po výpadku elektřiny se má automaticky znovu spustit, LUKS může být nepraktický. Po restartu totiž systém čeká na zadání hesla.
Existují pokročilejší způsoby odemykání, například pomocí TPM, FIDO2 tokenu nebo síťového odemykání. Ty už ale patří do pokročilejší správy systému. Systemd například umí do LUKS2 přidávat různé způsoby odemykání včetně TPM2, FIDO2 a obnovovací klíč (recovery key).

LUKS není nutné zapínat vždy za každou cenu.

Není obvykle potřeba u:

Pokud na počítači nejsou žádná osobní data a systém bude za pár dnů stejně přeinstalován, šifrování může být zbytečná komplikace.

U běžného moderního počítače většinou ne tak, aby si toho uživatel všiml.

Při běžné práci, jako je internet, e-mail, dokumenty, fotky, hudba nebo video, bývá rozdíl velmi malý. Moderní procesory mají hardwarovou podporu pro šifrovací operace a Linux provádí šifrování na úrovni jádra.

Rozdíl se může projevit hlavně tam, kde se pracuje s velkým množstvím dat:

U obyčejného domácího počítače bude výkonový dopad většinou menší než praktický bezpečnostní přínos. U extrémně rychlých diskových sestav nebo serverových úloh už může být šifrování měřitelné výrazněji.

Pro hráče je důležitá praktická otázka: sníží LUKS výkon ve hrách?

Toto je velmi důležité.

Šifrování chrání data před cizím člověkem. Nechrání data před ztrátou.

Pokud se disk porouchá, omylem smažete soubory nebo zapomenete heslo k LUKS, šifrování vám nepomůže. Naopak může obnovu dat zkomplikovat.

Proto platí jednoduché pravidlo:

LUKS chrání soukromí. Záloha chrání před ztrátou dat. Potřebujete obojí.

U důležitých dat je vhodné mít zálohu na jiném zařízení. Ideálně také šifrovanou, pokud obsahuje osobní nebo citlivé informace.

U nešifrovaného systému lze někdy data zachránit i při zapomenutém hesle uživatele. U LUKS je situace jiná.

Pokud zapomenete heslo k šifrovanému disku a nemáte jiný platný způsob odemčení, k datům se nedostanete.

To není chyba. To je vlastnost šifrování.

Proto je vhodné:

LUKS má na disku takzvanou hlavičku (LUKS header). Ta obsahuje důležitá metadata potřebná k odemčení šifrovaného zařízení. Pokud by se tato část poškodila a nebyla k dispozici záloha, může být problém data obnovit.

Nástroj cryptsetup umožňuje zálohu LUKS hlavičky pomocí příkazu luksHeaderBackup. Dokumentace zároveň upozorňuje, že takovou zálohu je nutné pečlivě chránit, protože při znalosti platného hesla může umožnit přístup k datům.

Pro běžného začátečníka to není nutné řešit hned při první instalaci. U důležitých systémů je ale dobré vědět, že LUKS header existuje a že šifrovaný disk vyžaduje odpovědný přístup k zálohám.

LUKS je standardní linuxové řešení pro šifrování disků. Je vhodný hlavně pro systémové disky a linuxové instalace.

Pokud instalujete Linux jako hlavní operační systém, LUKS je obvykle nejvhodnější volba.

BitLocker je šifrování disku ve Windows. Microsoft jej popisuje jako ochranu proti úniku dat ze ztracených, odcizených nebo nevhodně vyřazených zařízení.

Pro uživatele Windows je BitLocker přirozená volba. Pro Linuxový systémový disk ale BitLocker není správné řešení.

VeraCrypt je svobodný nástroj pro šifrování dostupný pro Windows, Linux a macOS. Je velmi užitečný například pro šifrované kontejnery nebo externí disky.

VeraCrypt umí také systémové šifrování, ale jeho vlastní dokumentace tuto funkci popisuje pro systémový oddíl nebo disk, kde je nainstalovaný Windows.

Pro běžnou instalaci Linuxu je proto vhodnější LUKS. Pro šifrovaný přenosný kontejner, který chcete používat mezi různými systémy, může být VeraCrypt naopak dobrá volba.

Ne. Pokud používáte LUKS v Linuxu běžným způsobem, tedy s ručním zadáním hesla při startu počítače, tato konkrétní chyba se vás netýká.

YellowKey, sledovaný jako CVE-2026-45585, je popisovaný jako chyba typu obejití bezpečnostní funkce ve Windows, která se týká BitLockeru a Windows Recovery Environment. Veřejná databáze bezpečnostních zranitelností NVD uvádí, že jde o zranitelnost veřejně označovanou jako YellowKey, pro kterou Microsoft vydal dočasná ochranná opatření do doby vydání bezpečnostní aktualizace.

Podle dostupných popisů nejde o prolomení samotného šifrovacího algoritmu. Problém je v okolním mechanismu Windows a BitLockeru, zejména v cestě přes recovery prostředí. Help Net Security popisuje, že zneužití vyžaduje fyzický přístup k postiženému zařízení a týká se ochrany poskytované BitLockerem ve Windows.

To znamená:

Klasický LUKS v Linuxu s ručním zadáním hesla při startu není na chybu YellowKey náchylný stejným způsobem, protože nepoužívá Windows Recovery Environment ani BitLocker.

To ale neznamená, že Linux s LUKS je automaticky neprůstřelný.

U Linuxu se řeší jiné scénáře:

Pokud používáte LUKS jednoduše s heslem při startu, jde o velmi srozumitelný bezpečnostní model: bez hesla se disk neodemkne.

Pokud byste místo hesla chtěli používat automatické odemykání přes TPM, dostáváte se do pokročilejší oblasti. Takové řešení může být pohodlné, ale musí být správně navržené. Pohodlí nesmí nahradit pochopení toho, co se při startu počítače skutečně ověřuje.

Pro běžného uživatele Linuxu bych doporučil jednoduché pravidlo:

LUKS zapněte, pokud:

LUKS zvažte, pokud:

LUKS není nutný, pokud:

Pokud instalujete Linux jako hlavní systém na osobní notebook nebo domácí počítač, šifrování disku pomocí LUKS je velmi rozumná volba.

U běžného moderního počítače výkonový rozdíl většinou nepoznáte. Naopak při ztrátě, krádeži, servisu, prodeji nebo vyřazení počítače může být rozdíl zásadní.

LUKS ale není náhrada zálohování, silných hesel ani rozumného používání počítače. Je to jedna důležitá vrstva ochrany. Velmi užitečná, ale ne jediná.

Pro hlavní osobní počítač s Linuxem tedy platí jednoduché doporučení: