Pergunta
No GRUB, é possÃvel usar o cryptomountcomando para montar uma partição LUKS.
Existe uma maneira de passar esta partição descriptografada para o Linux de forma que ela apareça como uma /dev/mapper/xxxentrada do mapeador de dispositivos ( ) sem precisar executar cryptsetup luksOpen?
Se não for possÃvel com o GRUB, existem outros bootloaders que suportam isso?
Notas
Algumas distribuições suportam parâmetros cryptdevice/cryptkey , porém isso não parece ser um parâmetro padrão do kernel Linux (e não é suportado pela distribuição que eu uso).
Há também o dm-mod.createparâmetro kernel, mas parece que ele só suporta senhas em texto simples (visÃveis em /proc/cmdline) ou usa uma entrada de chaveiro Linux.
Ambos os métodos precisariam descriptografar a partição novamente para que o Linux a montasse, certo? Ou então por que eles precisariam da chave?
O "contexto desbloqueado" do qual você está falando é a chave de descriptografia.
Ou, em outras palavras, a partição não é "descriptografada" ao apertar um botão — não é algum tipo de sessão de hardware ou firmware externo que poderia ser transferida durante o processo de inicialização "se o GRUB não a bloqueasse novamente" (como pode ser o caso com cartões inteligentes ou HDDs autocriptografados OPAL).
Em vez disso, a única coisa que desbloquear o dispositivo LUKS faz é deslacrar a chave 'mestra' do volume de um slot de chaves LUKS, para uso em descriptografia contÃnua que acontece como parte de cada operação de leitura ou gravação. O dispositivo /dev/mapper atua como um filtro que depende de ter a chave mestra para descriptografar dados em tempo real.
Então, a única maneira do GRUB passar o estado desbloqueado para o SO é fazer com que ele armazene a chave 'mestra' do LUKS em algum lugar que o Linux possa encontrá-la e configurar um dispositivo /dev/mapper dm-crypt usando essa chave. Até onde eu posso ver, o GRUB não tem suporte para nada parecido em seu módulo cryptodisk.