[Aufgegeben] Echte Full Disk Encryption

[tobo]

Auf einem BIOS-System ist das der Bootsektor und dieser 1. Sektor (MBR) ist 512 Bytes groß und darauf liegen ~400 Bytes unverschüsselter GRUB Stage1 (ähnlich für GPT).

Genau genommen sind im MBR 446 Bytes Platz für Maschinencode. Das reicht aber nicht, um dort eine Entschlüsselng samt Passphraseeingabe zu realisieren, um die nächste Bootphase verschlüsselt zu laden.

Die Initialisierung offensichtlich doch, denn die volle Entschlüsselung von /boot erfolgt logischerweise vor dem Laden von Stage2. Ziemlich langsam zur eigentlichen Entschlüsselung, aber immerhin.

[slu]

Ich denke hier geht es um unterschiedliche Punkte.
Für mich dient eine Verschlüsselung vor allem dafür das ein versehentlich verloren gegangenes Gerät (Notebook ausgeschaltet im Zug liegen lassen) keine Probleme bereitet.
Da sollte ein unverschlüsseltes /boot kein Problem sein wie ich das dem Thread entnehmen.

Ganz anders sieht es jedoch aus wenn das Gerät bewusst manipuliert wird um an das Passwort zu kommen, aber würden solche "Dienste" nicht einfach online auf das Gerät zugreifen?
Wenn es erst mal läuft ist es ohnehin "entschlüsselt"..