Je pense que la version actuelle de GRUB2 ne prend pas en charge le chargement et le décryptage des partitions LUKS par elle-même (elle contient quelques chiffrements mais je pense qu'ils ne sont utilisés que pour son support de mot de passe). Je ne peux pas vérifier la branche de développement expérimental, mais il y a quelques indices dans la page GRUB que certains travaux sont prévus pour implémenter ce que vous voulez faire.
Mise à jour (2015) :la dernière version de GRUB2 (2.00) inclut déjà le code pour accéder aux partitions cryptées LUKS et GELI. (Le lien xercestch.com fourni par l'OP mentionne les premiers correctifs pour cela, mais ils sont maintenant intégrés dans la dernière version).
Cependant, si vous essayez de chiffrer l'intégralité du disque pour des raisons de sécurité, veuillez noter qu'un chargeur de démarrage non chiffré (comme TrueCrypt, BitLocker ou un GRUB modifié) n'offre pas plus de protection qu'un /boot non chiffré partition (comme noté par JV dans un commentaire ci-dessus). Toute personne ayant un accès physique à l'ordinateur peut tout aussi facilement le remplacer par une version personnalisée. Cela est même mentionné dans l'article de xercestech.com que vous avez lié :
Pour être clair, cela ne rend en aucun cas votre système moins vulnérable aux attaques hors ligne, si un attaquant devait remplacer votre chargeur de démarrage par le sien, ou rediriger le processus de démarrage pour démarrer son propre code, votre système peut toujours être compromis.
Notez que tous les produits logiciels pour le chiffrement intégral du disque présentent cette faiblesse, qu'ils utilisent un chargeur de démarrage non chiffré ou une partition de démarrage/pré-amorçage non chiffrée. Même les produits prenant en charge les puces TPM (Trusted Platform Module), comme BitLocker, peuvent être rootés sans modifier le matériel.
Une meilleure approche serait de :
- déchiffrer au niveau du BIOS (dans la carte mère ou l'adaptateur de disque ou le matériel externe [carte à puce], avec ou sans puce TPM), ou
- porter le code PBA (autorisation de pré-démarrage) (le
/bootpartition dans ce cas) dans un périphérique amovible (comme une carte à puce ou une clé USB).
Pour le faire de la deuxième manière, vous pouvez consulter le projet Linux Full Disk Encryption (LFDE) sur :http://lfde.org/ qui fournit un script de post-installation pour déplacer le /boot partition sur un lecteur USB externe, cryptant la clé avec GPG et la stockant également dans l'USB. De cette façon, la partie la plus faible du chemin de démarrage (le /boot non chiffré partition) est toujours avec vous (vous serez le seul à avoir physiquement accès au code de déchiffrement ET à la clé). (Remarque :ce site a été perdu et le blog de l'auteur a également disparu, cependant vous pouvez trouver les anciens fichiers sur https://github.com/mv-code/lfde juste noter que le dernier développement a été fait il y a 6 ans). Comme alternative plus légère, vous pouvez installer la partition de démarrage non chiffrée sur une clé USB lors de l'installation de votre système d'exploitation.
Cordialement, MV
Assurez-vous que votre disque RAM initial et le dossier /boot n'utilisent pas de cryptage.
Cela fera apparaître un noyau "minimal", avec des pilotes et un support pour passer au système de fichiers racine "réel" qui est crypté.
Avant de prétendre "c'est un hack" - rappelez-vous - la plupart (sinon la totalité) des distributions Linux démarrent de cette façon aujourd'hui par défaut. Cela permet explicitement à votre système de démarrer et de charger votre FS racine, en utilisant les modules qu'il doit charger à partir d'un système de fichiers. (Une sorte de problème de poule et d'œuf). Comme par exemple, si votre système de fichiers racine se trouvait sur un volume RAID matériel et que vous deviez charger son pilote avant de pouvoir monter votre FS racine.
J'ai examiné le lien que vous avez posté - bien qu'il n'y ait pas de partition de démarrage, il y a toujours un chargeur de démarrage non chiffré sur le disque dur qui pourrait être consulté et compromis à l'aide d'une attaque de femme de chambre maléfique. J'ai étudié une configuration similaire, dans laquelle il n'y a pas de données non chiffrées sur le disque dur, mais jusqu'à présent, je n'ai trouvé que l'exécution d'un chargeur de démarrage à partir d'un lecteur amovible.