LUKS & boot

[Xanatos]

Bonjour,

J'avais un peu oublié ce forum, je jette une pierre ici, on ne sait jamais.

Avec l'arrivée d'une nouvelle machine je souhaite me mettre un peu à jour sur l'organisation des fs et LUKS.
Jusqu'à présent j'installe sous cette forme:

NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 59,6G 0 disk
├─sda1 8:1 0 190M 0 part /boot
└─sda2 8:2 0 59,4G 0 part
└─sda2_crypt 253:0 0 59,4G 0 crypt /

Oui pas de SWAP et vieux coucous en BIOS, ce n'est pas le débat.

/boot non chiffré m'a toujours embêté et je m'aperçois que depuis grub2 le déchiffrement de LUKS 1 est réalisable, avec 2 possibilités soit une partition boot en LUKS 1 et le reste en LUKS 2 soit boot sous /root mais alors tout en LUKS 1.
Je me perds dans différentes lectures, notamment:

Initial LUKS2 support was added to GRUB 2.06, but with several limitations that are only partially addressed in GRUB 2.12rc1. See GRUB bug #55093.
Since GRUB 2.12rc1, grub-install can create a core image to unlock LUKS2. However, it only supports PBKDF2, not Argon2.
Argon2id (cryptsetup default) and Argon2i PBKDFs are not supported (GRUB bug #59409), only PBKDF2 is.

Tip: You can use grub-improved-luks2-gitAUR that has been patched for LUKS2 as well as Argon support. Note the package's Argon support requires an UEFI system.[3]

https://wiki.archlinux.org/title/GRUB#LUKS2

Je ne suis pas vraiment au fait des algos, si c'est significativement différent entre Argon2id et PBKDF.
De plus éviter de faire du bricolage m'arrangerait pour éviter de tout casser à chaque montée de version de Debian.

On me dit partition UEFI, soit, mais si je verrouille le /boot et laisse UEFI ouvert c'est déporter le problème ?

Au fil des lectures je suis aussi tombé sur une autre gestion du chiffrement qui englobe le boot avec un sous composant de systemd: systemd-boot, sur popOs notamment, bref.

Autant créer le partitionnement en live puis lancer l'installation ok, mais je ne vois pas trop comment faire à l'installation un changement de grub vers systemd-boot par exemple.

Comment gérez-vous vos LUKS ?

(la cible: UEFI & Debian)

[L33thium]

/boot non chiffré ne pose aucun problème de sécurité puisqu'il ne contient que le noyau en gros, à moins que la clé LUKS y soit enregistrée pour un boot sans prompt