Ich denke, dass die aktuelle Version von GRUB2 das Laden und Entschlüsseln von LUKS-Partitionen selbst nicht unterstützt (sie enthält einige Chiffren, aber ich denke, sie werden nur für die Passwortunterstützung verwendet). Ich kann den experimentellen Entwicklungszweig nicht überprüfen, aber es gibt einige Hinweise auf der GRUB-Seite, dass einige Arbeiten geplant sind, um das zu implementieren, was Sie tun möchten.
Aktualisierung (2015) :Die neueste Version von GRUB2 (2.00) enthält bereits Code für den Zugriff auf LUKS- und GELI-verschlüsselte Partitionen. (Der xercestch.com-Link des bereitgestellten OP erwähnt die ersten Patches dafür, aber sie sind jetzt in der neuesten Version integriert).
Wenn Sie jedoch aus Sicherheitsgründen versuchen, die gesamte Festplatte zu verschlüsseln, beachten Sie bitte, dass ein unverschlüsselter Bootloader (wie TrueCrypt, BitLocker oder ein modifizierter GRUB) nicht mehr Schutz bietet als ein unverschlüsselter /boot Partition (wie von JV in einem Kommentar oben erwähnt). Jeder, der physischen Zugriff auf den Computer hat, kann ihn genauso einfach durch eine benutzerdefinierte Version ersetzen. Das wird sogar in dem von Ihnen verlinkten Artikel auf xercestech.com erwähnt:
Um es klar zu sagen, dies macht Ihr System in keiner Weise weniger anfällig für Offline-Angriffe. Wenn ein Angreifer Ihren Bootloader durch seinen eigenen ersetzt oder den Boot-Prozess umleitet, um seinen eigenen Code zu booten, kann Ihr System immer noch kompromittiert werden.
Beachten Sie, dass alle softwarebasierten Produkte zur Festplattenverschlüsselung diese Schwachstelle haben, egal ob sie einen unverschlüsselten Bootloader oder eine unverschlüsselte Boot-/Preboot-Partition verwenden. Sogar Produkte mit Unterstützung für TPM-Chips (Trusted Platform Module) wie BitLocker können gerootet werden, ohne die Hardware zu ändern.
Ein besserer Ansatz wäre:
- auf BIOS-Ebene entschlüsseln (in Motherboard oder Festplattenadapter oder externer Hardware [Smartcard], mit oder ohne TPM-Chip) oder
- tragen Sie den PBA-Code (Preboot Authorization) (die
/bootPartition in diesem Fall) auf einem Wechseldatenträger (z. B. einer Smartcard oder einem USB-Stick).
Um dies auf die zweite Art zu tun, können Sie das Linux Full Disk Encryption (LFDE)-Projekt unter http://lfde.org/ überprüfen, das ein Nachinstallationsskript zum Verschieben von /boot bereitstellt Partitionieren Sie auf einem externen USB-Laufwerk, verschlüsseln Sie den Schlüssel mit GPG und speichern Sie ihn auch auf dem USB-Stick. Auf diese Weise wird der schwächere Teil des Startpfads (der unverschlüsselte /boot Partition) ist immer bei Ihnen (Sie werden der einzige sein, der physischen Zugriff auf den Entschlüsselungscode UND den Schlüssel hat). (Hinweis :Diese Seite ist verloren gegangen und der Blog des Autors ist ebenfalls verschwunden, aber Sie können die alten Dateien unter https://github.com/mv-code/lfde finden, beachten Sie nur, dass die letzte Entwicklung vor 6 Jahren durchgeführt wurde). Als einfachere Alternative können Sie die unverschlüsselte Boot-Partition auf einem USB-Stick installieren, während Sie Ihr Betriebssystem installieren.
Grüße, MV
Stellen Sie sicher, dass Ihre Initial RAMdisk und der /boot-Ordner keine Verschlüsselung verwenden.
Dadurch wird ein "minimaler" Kernel mit Treibern und Unterstützung zum Umschalten auf das "tatsächliche" Root-Dateisystem, das ist, angezeigt verschlüsselt.
Bevor Sie behaupten "das ist ein Hack" - denken Sie daran - die meisten (wenn nicht alle) Linux-Distributionen booten heute standardmäßig auf diese Weise. Dies erlaubt Ihrem System explizit, Ihr Root-FS zu booten und zu laden, indem es Module verwendet, die es aus einem Dateisystem laden muss. (Eine Art Henne-Ei-Problem). Wie zum Beispiel, wenn sich Ihr Root-Dateisystem auf einem Hardware-RAID-Volume befand und Sie dessen Treiber laden mussten, bevor Sie Ihr Root-FS einhängen konnten.
Ich habe den von Ihnen geposteten Link überprüft - obwohl es keine Bootpartition gibt, befindet sich immer noch ein unverschlüsselter Bootloader auf der Festplatte, auf den zugegriffen und der mit einem bösen Maid-Angriff kompromittiert werden könnte. Ich habe mich mit einem ähnlichen Setup beschäftigt, bei dem es keine unverschlüsselten Daten auf der Festplatte gibt, aber bisher bin ich nur auf die Idee gekommen, einen Bootloader von einem Wechseldatenträger auszuführen.