Myślę, że obecna wersja GRUB2 nie obsługuje sama ładowania i deszyfrowania partycji LUKS (zawiera kilka szyfrów, ale myślę, że są one używane tylko do obsługi hasła). Nie mogę sprawdzić eksperymentalnej gałęzi programistycznej, ale na stronie GRUB znajduje się kilka wskazówek, że planowane są prace nad wdrożeniem tego, co chcesz zrobić.
Aktualizacja (2015) : najnowsza wersja GRUB2 (2.00) zawiera już kod dostępu do partycji zaszyfrowanych LUKS i GELI. (Link do strony xercestch.com podany przez OP wspomniał o pierwszych łatach, ale są one teraz zintegrowane z najnowszą wersją).
Jeśli jednak próbujesz zaszyfrować cały dysk ze względów bezpieczeństwa, pamiętaj, że niezaszyfrowany moduł ładujący (taki jak TrueCrypt, BitLocker lub zmodyfikowany GRUB) oferuje nie więcej ochrony niż niezaszyfrowana /boot
partycja (jak zauważył JV w komentarzu powyżej) . Każdy, kto ma fizyczny dostęp do komputera, może równie łatwo zastąpić go niestandardową wersją. Jest to nawet wspomniane w artykule na stronie xercestech.com, który podłączyłeś:
Dla jasności, w żaden sposób nie zmniejsza to odporności systemu na atak offline, jeśli osoba atakująca zastąpi program ładujący własnym programem lub przekieruje proces rozruchu w celu uruchomienia własnego kodu, system nadal może zostać zagrożony.
Należy pamiętać, że wszystkie produkty programowe do pełnego szyfrowania dysku mają tę słabość, bez względu na to, czy używają niezaszyfrowanego modułu ładującego rozruchu, czy niezaszyfrowanej partycji rozruchowej / przedbootowej. Nawet produkty obsługujące układy TPM (Trusted Platform Module), takie jak BitLocker, można zrootować bez modyfikowania sprzętu.
Lepszym podejściem byłoby:
- odszyfrować na poziomie systemu BIOS (w płycie głównej lub na dysku lub w sprzęcie zewnętrznym [karta inteligentna], z układem TPM lub bez), lub
- przenieś kod PBA (autoryzacja przed uruchomieniem) (
/boot
w tym przypadku partycję) na urządzenie wymienne (takie jak karta inteligentna lub pamięć USB).
Aby to zrobić w drugi sposób, możesz sprawdzić projekt Linux Full Disk Encryption (LFDE) na stronie: http://lfde.org/, który zawiera skrypt poinstalacyjny do przeniesienia /boot
partycji na zewnętrzny dysk USB, szyfrując klucz za pomocą GPG i przechowywanie go również w pamięci USB. W ten sposób słabsza część ścieżki rozruchowej (niezaszyfrowana /boot
partycja) jest zawsze przy Tobie (tylko Ty będziesz mieć fizyczny dostęp do odszyfrowującego kodu ORAZ klucza). ( Uwaga : ta witryna została utracona, a blog autora również zniknął, jednak stare pliki można znaleźć na stronie https://github.com/mv-code/lfde. Uwaga: ostatnie opracowanie zostało zrobione 6 lat temu). Jako lżejszą alternatywę można zainstalować niezaszyfrowaną partycję rozruchową w pamięci USB podczas instalacji systemu operacyjnego.
Pozdrawiam, MV