Supondo que você esteja executando um sistema EFI, a partição do sistema EFI (normalmente a primeira partição do disco, montada em /boot/efi ) sempre precisará ser descriptografada para que o sistema possa realmente carregar no GRUB.
No entanto, agora você pode colocar /boot em si dentro do LUKS. Um guia para isso está disponível nesta resposta no site, no entanto, isso tem algumas ressalvas:
- Toda vez que você atualizar seu kernel / GRUB, será necessário "reinstalá-lo" em seu sistema e certificar-se de que as coisas o reconheçam. Tanto quanto eu posso dizer, não há gancho automatizado.
- O GRUB não assumirá totalmente o LUKS. Se bem me lembro, ele irá pedir a senha e ir de lá, mas não irá substituir o LUKS.
- Essa configuração, até onde eu sei, tem um potencial muito decente para quebrar de maneiras potencialmente incríveis.
Para ser honesto, há pouco ou nenhum motivo para realmente colocar /boot dentro do LUKS. Apenas provoca um pouco de dor desnecessária e torna a vida muito pior, não por um ganho muito grande. O principal risco (adulteração do kernel) pode ser facilmente mitigado pelo usando o Secure Boot para assinar o kernel e qualquer módulo. Se você quiser executar essa aplicação de assinatura digital, por favor leia toda a página da wiki vinculada.