暗号化されたブートパーティション：暗号化されたブートパーティションの利点

UEFIシステムがある場合、そのファームウェアはESPで起動したいエントリの最初の部分を少なくとも見つけることを期待します。最初の部分は、GRUBのUEFIバージョン、他のブートローダ（たとえばsystemd-boot）、またはEFISTUBを使用した統合カーネルイメージです。

（Secure Bootを使用していてファームウェアで内蔵Secure Bootキーの変更を許可しない場合は、他のものを使用するshimx64.efi前に最初にSecure Bootシム（）を使用する必要があります。自分のキーでブートローダとカーネルに自己署名すれば、シムは必要ありません。

非常に特別なUEFIファームウェアがなければ、ESPは決して機能しません。暗号化そうしないと、ファームウェアはそれを理解できません。ただし、セキュアブートでは、ESPのすべての実行コードは次のようになります。兆候したがって、ESPを厳しく操作するとシステムが起動しません（実装が正しい場合）。

カーネルが必要な場所は、ブートローダとして何を使用しているかによって異なります。 GRUBを使用している場合、カーネルはGRUBが理解しているすべてのファイルシステム（LVMまたはクラシックパーティション、暗号化のいずれか）に存在できます。これにより、systemd-bootカーネルがESPになければならないことがわかります。 EFISTUBの場合、ファームウェアは適切に準備されたカーネルファイルを直接読み取るように指示するので、明らかにESPに存在する必要があります。

GRUBはいくつかの形式のディスク暗号化を実行できますが、まだ最新のディスク暗号化アルゴリズムをサポートしていない可能性があります。また、スマートカードやYubikeyなどのセキュリティデバイスをディスク暗号化キーとして使用する場合は、セキュリティデバイスにアクセスし、必要なメッセージをシステムに提供するために必要なインフラストラクチャを含むinitramfsファイルが必要になる場合があります。ユーザー。通常、initramfs ファイルはカーネルと同じ場所にあります。

カーネル（および必要に応じてinitramfs）をESPに入れると、別のカーネルがまったく必要なくなる可能性があります/boot（または@muruが述べたように、ESPをそこにインストールできます/boot）。ルートファイルシステム（および必要に応じてinitramfs）から直接カーネルを読み取ることができるGRUBを使用している場合も同様です。つまり、暗号化が必要で、GRUBが提供する暗号化オプションに満足している場合です。

ただし、「一部の利便性を犠牲にして絶対最大セキュリティ」オプションは次のとおりです。

• ESPには、セキュアブートシム（必要な場合）とGRUBのみが含まれており、両方ともセキュアブートシグネチャで保護されています。
• GRUBは暗号化のロックを解除し、/bootそこからカーネルとinitramfsを読み取るためにパスワードを求めるメッセージを表示します（暗号化されていますが、最高の暗号化ではないかもしれません）。
• initramfsには、スマートカード/ Yubikeyなどを要求するためのインフラストラクチャが含まれています。これには、他のファイルシステムのロックを解除するために使用されるキーが含まれます。これで、ハードウェアセキュリティデバイスおよび/またはカーネルがサポートする最も優れた最新の暗号化アルゴリズムを使用できるようになりました。システムにTPMチップが含まれている場合は、PCRレジスタを使用して、ファームウェアまたはブートプロセスの以前のコンポーネントが変調されていないことを確認することもできます。