現在のバージョンの GRUB2 は、LUKS パーティションのロードと復号化を単独でサポートしていないと思います (いくつかの暗号が含まれていますが、それらはパスワードのサポートにのみ使用されていると思います)。実験的な開発ブランチを確認することはできませんが、GRUB ページには、あなたがやりたいことを実装するための作業が計画されているというヒントがいくつかあります。
アップデート (2015) :GRUB2 の最新バージョン (2.00) には、LUKS および GELI 暗号化パーティションにアクセスするためのコードが既に含まれています。 (OP が提供する xercesch.com リンクには、そのための最初のパッチが記載されていますが、現在は最新のリリースに統合されています)。
ただし、セキュリティ上の理由でディスク全体を暗号化しようとしている場合は、暗号化されていないブート ローダー (TrueCrypt、BitLocker、または変更された GRUB など) は、暗号化されていない /boot よりも保護を提供しないことに注意してください。 パーティション(上記のコメントでJVが指摘したように)。コンピュータに物理的にアクセスできる人なら誰でも、カスタム バージョンに簡単に置き換えることができます。リンクした xercestech.com の記事でも言及されています:
明確にするために言うと、これによってシステムがオフライン攻撃に対して脆弱になることは決してありません。攻撃者がブートローダーを独自のものに置き換えたり、ブート プロセスをリダイレクトして独自のコードを起動したりした場合でも、システムは危険にさらされる可能性があります。
暗号化されていないブート ローダーまたは暗号化されていないブート/プリブート パーティションを使用しているかどうかに関係なく、フル ディスク暗号化用のすべてのソフトウェア ベースの製品にはこの弱点があることに注意してください。 BitLocker などの TPM (Trusted Platform Module) チップをサポートする製品でも、ハードウェアを変更せずにルート化できます。
より良いアプローチは次のとおりです:
<オール>/boot この場合はパーティション) をリムーバブル デバイス (スマートカードや USB スティックなど) に保存します。
2 番目の方法では、/boot を移動するポストインストール スクリプトを提供する Linux Full Disk Encryption (LFDE) プロジェクトを http://lfde.org/ で確認できます。 外部 USB ドライブにパーティションを作成し、キーを GPG で暗号化し、USB にも保存します。そのようにして、ブート経路の弱い部分 (暗号化されていない /boot パーティション) は常にあなたのそばにあります (復号化コードとキーに物理的にアクセスできるのはあなただけです)。 (注意 :このサイトは失われ、著者のブログも消えましたが、古いファイルは https://github.com/mv-code/lfde で見つけることができますが、最後の開発は 6 年前に行われたことに注意してください)。軽量な代替手段として、OS のインストール中に、暗号化されていないブート パーティションを USB スティックにインストールできます。
よろしく、MV
初期 RAM ディスクと /boot フォルダを暗号化しないようにします。
これにより、ドライバーとサポートを備えた「最小限の」カーネルが起動し、「実際の」ルート ファイルシステムに切り替えることができます。
「これはハックだ」と主張する前に - 覚えておいてください - ほとんどの (すべてではないにしても) Linux ディストリビューションは、現在、デフォルトでこの方法で起動します。これにより、ファイルシステムからロードする必要があるモジュールを使用して、システムがルート FS をブートおよびロードできるようになります。 (ニワトリが先か卵が先かという問題のようなもの)。たとえば、ルート ファイルシステムがハードウェア RAID ボリューム上にあり、ルート FS をマウントする前にそのドライバーをロードする必要がある場合などです。
あなたが投稿したリンクを確認しました - ブート パーティションはありませんが、ハード ディスクには暗号化されていないブート ローダーがまだあり、邪悪なメイド攻撃を使用してアクセスおよび侵害される可能性があります。暗号化されていないデータがハードディスク上にない、同様のセットアップを検討してきましたが、これまでのところ、リムーバブル ドライブからブート ローダーを実行する方法しか思いつきませんでした。