Saya pikir versi GRUB2 saat ini tidak memiliki dukungan untuk memuat dan mendekripsi partisi LUKS dengan sendirinya (berisi beberapa cipher tetapi saya pikir mereka hanya digunakan untuk dukungan kata sandinya). Saya tidak dapat memeriksa cabang pengembangan eksperimental, tetapi ada beberapa petunjuk di halaman GRUB bahwa beberapa pekerjaan direncanakan untuk mengimplementasikan apa yang ingin Anda lakukan.
Pembaruan (2015) :versi terbaru GRUB2 (2.00) sudah menyertakan kode untuk mengakses partisi terenkripsi LUKS dan GELI. (Tautan xercestch.com yang disediakan OP menyebutkan tambalan pertama untuk itu, tetapi sekarang terintegrasi dalam rilis terbaru).
Namun, jika Anda mencoba untuk mengenkripsi seluruh disk untuk alasan keamanan, perhatikan bahwa pemuat boot yang tidak terenkripsi (seperti TrueCrypt, BitLocker atau GRUB yang dimodifikasi) tidak menawarkan perlindungan lebih dari /boot
yang tidak terenkripsi partisi (seperti dicatat oleh JV dalam komentar di atas). Siapa saja yang memiliki akses fisik ke komputer dapat dengan mudah menggantinya dengan versi khusus. Itu bahkan disebutkan dalam artikel di xercestech.com yang Anda tautkan:
Jelasnya, ini sama sekali tidak membuat sistem Anda kurang rentan terhadap serangan offline, jika penyerang mengganti bootloader Anda dengan milik mereka, atau mengalihkan proses boot untuk mem-boot kode mereka sendiri, sistem Anda masih dapat disusupi.
Perhatikan bahwa semua produk berbasis perangkat lunak untuk enkripsi disk lengkap memiliki kelemahan ini, tidak peduli apakah mereka menggunakan boot loader yang tidak terenkripsi atau partisi boot/preboot yang tidak terenkripsi. Bahkan produk dengan dukungan chip TPM (Trusted Platform Module), seperti BitLocker, dapat di-root tanpa memodifikasi hardware.
Pendekatan yang lebih baik adalah dengan:
- mendekripsi di tingkat BIOS (di motherboard atau adaptor disk atau perangkat keras eksternal [smartcard], dengan atau tanpa chip TPM), atau
- membawa kode PBA (otorisasi preboot) (
/boot
partisi dalam hal ini) di perangkat yang dapat dilepas (seperti kartu pintar atau stik USB).
Untuk melakukannya dengan cara kedua, Anda dapat memeriksa proyek Linux Full Disk Encryption (LFDE) di:http://lfde.org/ yang menyediakan skrip pasca pemasangan untuk memindahkan /boot
partisi ke drive USB eksternal, mengenkripsi kunci dengan GPG dan menyimpannya di USB juga. Dengan cara itu, bagian yang lebih lemah dari jalur boot (/boot
yang tidak dienkripsi partisi) selalu bersama Anda (Anda akan menjadi satu-satunya yang memiliki akses fisik ke kode dekripsi DAN kuncinya). (Catatan :situs ini telah hilang dan blog penulis juga menghilang, namun Anda dapat menemukan file lama di https://github.com/mv-code/lfde perhatikan saja pengembangan terakhir dilakukan 6 tahun yang lalu). Sebagai alternatif yang lebih ringan, Anda dapat menginstal partisi boot yang tidak terenkripsi di stik USB saat menginstal OS Anda.
Salam, MV
Jadikan RAMdisk Awal Anda, dan folder /boot tidak menggunakan enkripsi.
Ini akan memunculkan kernel "minimal", dengan driver dan dukungan untuk beralih ke sistem file root "sebenarnya" yang adalah dienkripsi.
Sebelum Anda mengklaim "ini adalah peretasan" - ingat - sebagian besar (jika tidak semua) distro Linux mem-boot dengan cara ini hari ini secara default. Ini secara eksplisit memungkinkan sistem Anda untuk mem-boot dan memuat FS root Anda, menggunakan modul yang perlu dimuat dari sistem file. (Semacam masalah ayam-dan-telur). Misalnya, jika sistem file root Anda menggunakan volume RAID perangkat keras, dan Anda perlu memuat drivernya sebelum dapat memasang FS root.
Saya meninjau tautan yang Anda posting - meskipun tidak ada partisi boot, masih ada boot loader yang tidak terenkripsi di hard disk yang dapat diakses dan disusupi menggunakan serangan pembantu jahat. Saya telah mencari penyiapan yang serupa, di mana tidak ada data yang tidak terenkripsi di hard disk, tetapi sejauh ini saya hanya menjalankan boot loader dari drive yang dapat dilepas.