Una trappola standard della crittografia del disco su Linux ha bisogno / boot non crittografato. Specificamente il bootloader e initrd. Crittografare l'intero disco significa metterlo da qualche altra parte, ad es. su una penna USB.
edit: ora ho appreso che grub può decrittografare un filesystem contenente il kernel all'avvio quindi è solo il bootloader che deve essere decodificato sotto Linux
Ho l'impressione che sia "noto" che FileVault implementa l'intera crittografia del disco. Ho certamente creduto che fosse così. Questo è un po 'difficile da dimostrare senza un sacco di link a siti esterni. Un paio di quelli interni:
crittografia brute-force-on-whole-disk e whole-disk-encryption-with-a-windows-only- Bootcamp
E una domanda esistente che risponde essenzialmente a questa domanda is-file-vault-2- intero-disk-crittografia-o-tutto-partizione-crittografia
Sembra abbastanza chiaro che il vault funzioni alla granularità della partizione e che Apple usi una partizione di avvio separata. Non riesco a trovare alcuna prova che suggerisca che il vault possa essere usato sulla partizione di avvio.
Non capisco come possa essere avviato fino al punto di offrire un prompt di login se l'intero disco è crittografato. Cosa mi manca?
Per riferimento, il sistema che mi interessa è usare apfs piuttosto che cs e non ha un chip T2.