Eventualmente, você precisará iniciar o sistema a partir de um stub de texto não criptografado. Se este stub não estiver em clear no disco, a próxima opção seria no firmware; talvez um dia todas as placas-mãe UEFI suportarão criptografia de disco completo.
Dito isso, o que importa com a pequena partição de boot de texto puro é não ter confidencialidade (porque normalmente só contém dados de inicialização conhecidos publicamente), mas ter integridade . Você não quer que um invasor pegue sua máquina enquanto estiver dormindo, e substitua o código de montagem por um malicioso que irá capturar sua senha quando você inseri-la e armazená-la em alguma área oculta do disco.
Este é o problema que o Secure Boot está corrigindo, e você pode (teoricamente) usá-lo no linux, desde que o firmware de inicialização permita usar chaves personalizadas. Um componente de hardware (o TPM) garantirá (usando criptografia) que o sistema irá reclamar ao inicializar se a partição de texto não criptografado tiver sido alterada.
Existe um procedimento básico, incompleto e obsoleto para o Gentoo , que dá uma ideia aproximada do que pode ser feito .