I dati dell'utente sul disco rigido sono crittografati (e MACd) per impedire la lettura non autorizzata e per rilevare le modifiche. L'ultima parte significa che un utente malintenzionato potrebbe cancellare l'intero disco e scrivere le proprie cose lì, ma la sostituzione di singoli file ecc. Con qualcosa di sano non è possibile.
Se / boot è anch'esso crittografato ("if", perché molte istruzioni lasciano / boot non crittografate), per cosa? Per evitare di leggere Grub (è un software conosciuto)? No. Per prevenire modifiche dannose? Forse, ma niente mi impedisce (diciamo che sono l'attaccante) di sovrascrivere la "intera" partizione Grub con il mio malevolo bootloader (o fornire un secondo disco con un proprio bootloader). Non conosco i tuoi file, ma so come creare una partizione / boot. ... Significa, hai perso. Il mio bootloader può prendere il controllo del computer non appena lo accendi e spiare il tuo tasto HDD in seguito.
La console di configurazione di GRUB, che impedisce l'accesso senza password, ha senso in una situazione specifica: l'utente malintenzionato può non accedere al disco rigido. Pensa ATM. (Se può, come detto sopra, anche la password è inutile.)
Simile alla password delle impostazioni UEFI: se riesco ad accedere all'hardware (sostituendo le schede madri, i chip lampeggianti, ...), è completamente inutile.
In conclusione, cosa vuoi?
-
Proteggi i tuoi file dalla lettura, ma se il tuo computer viene rubato non puoi più fidarti (anche se lo riapri)? Mantieni la crittografia del disco e ignora il resto.
-
Proteggi il tuo computer da furti e / o modifiche? Usa tutto e mettilo in una cassastrong, con uno schermo anti-radiazioni e molto altro.
-
Qualcos'altro? Impossibile.