Je pense que la version actuelle de GRUB2 ne prend pas en charge le chargement et le décryptage des partitions LUKS par elle-même (elle contient des chiffres mais je pense qu'ils ne sont utilisés que pour la prise en charge des mots de passe). Je ne peux pas vérifier la branche de développement expérimental, mais il y a quelques indices dans la page GRUB que certains travaux sont prévus pour implémenter ce que vous voulez faire.
Mise à jour (2015) : la dernière version de GRUB2 (2.00) inclut déjà du code pour accéder aux partitions chiffrées LUKS et GELI. (Le lien xercestch.com fourni par l'OP mentionne les premiers correctifs pour cela, mais ils sont désormais intégrés dans la dernière version).
Cependant, si vous essayez de chiffrer le disque entier pour des raisons de sécurité, veuillez noter qu'un chargeur de démarrage non chiffré (comme TrueCrypt, BitLocker ou un GRUB modifié) n'offre pas plus de protection qu'une /boot
partition non chiffrée (comme l'a noté JV dans un commentaire ci-dessus) . Toute personne disposant d'un accès physique à l'ordinateur peut tout aussi facilement le remplacer par une version personnalisée. Cela est même mentionné dans l'article de xercestech.com que vous avez lié:
Pour être clair, cela ne rend en rien votre système moins vulnérable aux attaques hors ligne, si un attaquant devait remplacer votre chargeur de démarrage par le sien, ou rediriger le processus de démarrage pour démarrer son propre code, votre système pourrait toujours être compromis.
Notez que tous les produits logiciels pour le chiffrement complet du disque présentent cette faiblesse, qu'ils utilisent un chargeur de démarrage non chiffré ou une partition de démarrage / pré-démarrage non chiffrée. Même les produits prenant en charge les puces TPM (Trusted Platform Module), comme BitLocker, peuvent être enracinés sans modifier le matériel.
Une meilleure approche serait de:
- déchiffrer au niveau du BIOS (dans la carte mère ou l'adaptateur de disque ou le matériel externe [carte à puce], avec ou sans puce TPM), ou
- transporter le code PBA (autorisation de pré-démarrage) (la
/boot
partition dans ce cas) dans un périphérique amovible (comme une carte à puce ou une clé USB).
Pour le faire de la deuxième façon, vous pouvez vérifier le projet Linux Full Disk Encryption (LFDE) à: http://lfde.org/ qui fournit un script de post-installation pour déplacer la /boot
partition vers un lecteur USB externe, en chiffrant la clé avec GPG et le stocker également sur l'USB. De cette façon, la partie la plus faible du chemin de démarrage (la /boot
partition non chiffrée ) est toujours avec vous (vous serez le seul à avoir un accès physique au code de déchiffrement ET à la clé). ( Remarque : ce site a été perdu et le blog de l'auteur a également disparu, mais vous pouvez trouver les anciens fichiers sur https://github.com/mv-code/lfde juste noter que le dernier développement a été fait il y a 6 ans). Comme alternative plus légère, vous pouvez installer la partition de démarrage non chiffrée sur une clé USB lors de l'installation de votre système d'exploitation.
Cordialement, MV