Penso che l'attuale versione di GRUB2 non abbia il supporto per il caricamento e la decrittografia delle partizioni LUKS da sola (contiene alcune cifre ma penso che vengano utilizzate solo per il supporto della password). Non riesco a controllare il ramo di sviluppo sperimentale, ma ci sono alcuni suggerimenti nella pagina di GRUB che è pianificato un lavoro per implementare ciò che si desidera fare.
Aggiornamento (2015) : l'ultima versione di GRUB2 (2.00) include già il codice per accedere alle partizioni crittografate LUKS e GELI. (Il link xercestch.com fornito dall'OP menziona le prime patch per questo, ma ora sono integrate nell'ultima versione).
Tuttavia, se si sta tentando di crittografare l'intero disco per motivi di sicurezza, si noti che un boot loader non crittografato (come TrueCrypt, BitLocker o un GRUB modificato) non offre più protezione di una /boot
partizione non crittografata (come notato da JV in un commento sopra) . Chiunque abbia accesso fisico al computer può facilmente sostituirlo con una versione personalizzata. Questo è anche menzionato nell'articolo su xercestech.com che hai collegato:
Per essere chiari, questo non rende in alcun modo il tuo sistema meno vulnerabile agli attacchi offline, se un attaccante dovesse sostituire il tuo bootloader con il proprio, o reindirizzare il processo di avvio per avviare il proprio codice, il tuo sistema può comunque essere compromesso.
Tutti i prodotti basati su software per la crittografia del disco completo presentano questa debolezza, indipendentemente dal fatto che utilizzino un caricatore di avvio non crittografato o una partizione di avvio / pre-avvio non crittografata. Anche i prodotti con supporto per chip TPM (Trusted Platform Module), come BitLocker, possono essere rootati senza modificare l'hardware.
Un approccio migliore sarebbe:
- decifrare a livello di BIOS (nella scheda madre o nell'adattatore del disco o hardware esterno [smartcard], con o senza un chip TPM), o
- portare il codice PBA (autorizzazione al riavvio) (la
/boot
partizione in questo caso) in un dispositivo rimovibile (come una smartcard o una chiavetta USB).
Per farlo nel secondo modo, puoi controllare il progetto Linux Full Disk Encryption (LFDE) su: http://lfde.org/ che fornisce uno script post-installazione per spostare la /boot
partizione su un'unità USB esterna, crittografando la chiave con GPG e archiviazione anche su USB. In questo modo, la parte più debole del percorso di avvio (la /boot
partizione non crittografata ) è sempre con te (sarai l'unico con accesso fisico al codice di decodifica E alla chiave). ( Nota : questo sito è stato perso e anche il blog dell'autore è scomparso, tuttavia puoi trovare i vecchi file su https://github.com/mv-code/lfde, solo che l'ultimo sviluppo è stato fatto 6 anni fa). Come alternativa più leggera, è possibile installare la partizione di avvio non crittografata in una chiavetta USB durante l'installazione del sistema operativo.
Saluti, MV