Eu acho que a versão atual do GRUB2 não tem suporte para carregar e descriptografar partições LUKS por si só (ele contém algumas cifras, mas eu acho que elas são usadas apenas para seu suporte a senhas). Não consigo verificar o ramo de desenvolvimento experimental, mas há algumas dicas na página do GRUB de que algum trabalho está planejado para implementar o que você deseja fazer.
Atualização (2015) : a versão mais recente do GRUB2 (2.00) já inclui código para acessar as partições criptografadas LUKS e GELI. (O link xercestch.com do OP forneceu as primeiras correções para isso, mas agora elas estão integradas na última versão).
No entanto, se você estiver tentando criptografar todo o disco por motivos de segurança, observe que um carregador de boot não criptografado (como TrueCrypt, BitLocker ou um GRUB modificado) não oferece mais proteção do que uma partição /boot
não criptografada (conforme observado por JV em um comentário acima). Qualquer pessoa com acesso físico ao computador pode facilmente substituí-lo por uma versão personalizada. Isso é mencionado no artigo em xercestech.com que você vinculou:
To be clear, this does not in any way make your system less vulnerable to offline attack, if an attacker were to replace your bootloader with their own, or redirect the boot process to boot their own code, your system can still be compromised.
Observe que todos os produtos baseados em software para criptografia de disco completo têm essa fraqueza, independentemente de usarem um carregador de boot não criptografado ou uma partição de inicialização / pré-inicialização não criptografada. Mesmo produtos com suporte para chips TPM (Trusted Platform Module), como o BitLocker, podem ser enraizados sem modificar o hardware.
Uma abordagem melhor seria:
- descriptografar no nível do BIOS (na placa-mãe ou no adaptador de disco ou hardware externo [cartão inteligente], com ou sem um chip TPM) ou
- carregue o código PBA (autorização de pré-inicialização) (a partição
/boot
neste caso) em um dispositivo removível (como um cartão inteligente ou um pendrive).
Para fazer isso da segunda maneira, você pode verificar o projeto Linux Full Disk Encryption (LFDE) em: link que fornece uma versão posterior script para mover a partição /boot
para uma unidade USB externa, criptografando a chave com GPG e armazenando-a no USB também. Dessa forma, a parte mais fraca do caminho de inicialização (a partição /boot
não criptografada) está sempre com você (você será o único com acesso físico ao código de descriptografia E à chave). ( Nota : este site foi perdido e o blog do autor também desapareceu, mas você pode encontrar os arquivos antigos em link apenas note que o último desenvolvimento foi feito há 6 anos). Como alternativa mais leve, você pode instalar a partição de inicialização não criptografada em um dispositivo USB durante a instalação do sistema operacional.
Atenciosamente, MV