Partição de boot com criptografia no Linux (RHEL)

ALL,

Recentemente, passamos pelo processo de certificação e descobrimos que um invasor pode ter acesso à partição / boot.

Foi sugerido para criptografar todo o disco rígido, incluindo a partição / boot, para atenuar isso.

Aqui estão as perguntas que tenho:

1. Como a senha do procedimento de inicialização é gerada para descriptografar a partição / boot? Nós, como equipe de desenvolvedores / IA, temos controle para gerá-lo?

A razão para eles é que temos um processo de duplicação do disco rígido depois de criar o lançamento e colocá-lo no disco rígido. Também é possível que o disco rígido possa ser colocado em uma máquina diferente.

Como essa situação será tratada? A senha terá que ser gerada após cada cópia do HD? A senha será copiada em cada release e acabaremos com a mesma senha para vários discos rígidos? A senha dependerá do hardware usado para criá-la ou será feita por outros meios?

Quais são os outros culpados que devemos analisar para ver se é viável ou não pode ser feito por causa do tempo / dinheiro / processo?

Obrigado por qualquer indicação que você possa fornecer. Esta é a primeira vez que vamos passar por este teste e este nos tropeça.