Sua pergunta provavelmente é muito ampla para uma resposta de tamanho razoável, mas aqui estão algumas dicas:
Você quer ir com o Linux. O Windows não gosta de ser transplantado para outras máquinas. Você também desejará usar a inicialização UEFI, não a inicialização da BIOS. Esta é a solução mais portátil no momento.
Use o LUKS para criptografia completa de disco na partição raiz ( / ) armazenada no SSD. Coloque a partição /boot não criptografada na unidade flash. Sua chave está no mesmo dispositivo, então não há sentido em criptografar os dados armazenados lá. ESP (EFI System Partition) também deve ser armazenado na unidade flash. Instale o GRUB nele; será o ponto de entrada da inicialização.
ESP e /boot são elementos da cadeia de inicialização, portanto nunca deixe a unidade flash desacompanhada. Quando isso acontecer, você deve considerar a cadeia de inicialização comprometida - ESP e /boot podem ter foi adulterado. /boot pode ser criptografado com senha adicional para evitar isso, mas o ESP não pode ser criptografado. Então, se você suspeitar que o pen drive pode estar comprometido, mas o SSD está em um local seguro, você precisa:
- Encontre uma máquina Linux confiável.
- Nuke ESP e
/boot, em seguida, recrie-os a partir de um backup seguro ou reconstrua a partir do zero. - Gere novas chaves de criptografia e
cryptsetup-reencryptdo SSD.
O problema do ESP não criptografado pode ser atenuado por:
- Assinando os arquivos de inicialização com sua chave privada
- Protegendo UEFI por senha para evitar adulterações em bancos de dados de assinatura
- Atualizando bancos de dados de assinatura do UEFI para conter apenas sua chave pública
- Ativando a inicialização segura para impedir a inicialização de binários não assinados
- Assinando o kernel e o initrd
- Criando um binário GRUB autônomo assinado com configuração integrada e aplicação de assinatura do kernel
Você não pode fazer isso, porque deseja que sua configuração não seja limitada a nenhuma máquina física.