GRUB2の現在のバージョンは、LUKSパーティションのロードと復号化をサポートしていません(いくつかの暗号が含まれていますが、パスワードサポートのみに使用されていると思います)。実験的な開発ブランチを確認することはできませんが、GRUBページには、あなたがやりたいことを実装するためのいくつかの作業が計画されているというヒントがあります。
更新(2015):GRUB2の最新バージョン(2.00)には、LUKSおよびGELI暗号化パーティションにアクセスするためのコードが既に含まれています。(OPが提供するxercestch.comリンクには、そのための最初のパッチが記載されていますが、現在は最新リリースに統合されています)。
ただし、セキュリティ上の理由でディスク全体を暗号化しようとする場合、暗号化されていないブートローダー(TrueCrypt、BitLocker、または変更されたGRUBなど)は、暗号化/bootされていないパーティションよりも多くの保護を提供しないことに注意してください(上記のコメントでJV 。コンピュータに物理的にアクセスできる人なら誰でも、簡単にカスタムバージョンに置き換えることができます。リンクしたxercestech.comの記事でも言及されています。
明らかに、これにより、システムがオフライン攻撃に対して脆弱になることはありません。攻撃者がブートローダーを独自のものに置き換えたり、ブートプロセスをリダイレクトして独自のコードをブートした場合でも、システムが侵害される可能性があります。
フルディスク暗号化用のすべてのソフトウェアベースの製品には、暗号化されていないブートローダーまたは暗号化されていないブート/プリブートパーティションを使用しても、この弱点があります。BitLockerなどのTPM(Trusted Platform Module)チップをサポートする製品でも、ハードウェアを変更せずにルート化できます。
より良いアプローチは次のとおりです。
- BIOSレベル(マザーボードまたはディスクアダプターまたは外部ハードウェア[スマートカード]で、TPMチップの有無にかかわらず)で復号化する、または
- PBA(プリブート認証)コード(
/bootこの場合はパーティション)をリムーバブルデバイス(スマートカードやUSBスティックなど)に入れます。
:それを第二の方法を実行するには、Linuxのフルディスク暗号化(LFDE)プロジェクトで確認することができますhttp://lfde.org/移動するために、インストール後のスクリプトを提供/bootして鍵を暗号化、外付けUSBドライブにパーティションをGPGとUSBにも保存します。そのようにして、ブート経路の弱い部分(暗号化されていない/bootパーティション)は常にあなたと共にいます(解読コードとキーに物理的にアクセスできるのはあなただけです)。(注:このサイトは失われ、作者のブログも消えましたが、古いファイルはhttps://github.com/mv-code/lfdeで見つけることができます。最後の開発は6年前に行われただけです)。より軽い代替として、OSのインストール中にUSBスティックに暗号化されていないブートパーティションをインストールできます。
よろしく、MV