То, что вы ищете - проверка того, что операционная система, работающая на компьютере - это та, которой вы доверяете, называется доверенной загрузкой . (Это одна из нескольких вещей, которые иногда называют доверенной загрузкой). Предложенный вами метод не достигает этой цели.
Шифрование не обеспечивает целостность данных или подлинность . Другими словами, это не мешает злоумышленнику изменить содержимое вашего диска и заменить его вредоносной операционной системой. Эту вредоносную операционную систему можно легко запрограммировать на отображение контрольной суммы, которую вы ожидаете для загруженного ядра.
Самый простой путь атаки - « человек посередине», когда злоумышленник запускает вашу обычную операционную систему под некой виртуальной машиной. Уровень виртуальной машины передает ваш ввод в желаемую операционную систему и передает вывод обратно. Но он также записывает нажатия клавиш (мммм, пароли) сбоку, вынимает закрытые ключи из памяти ОС и так далее.
Чтобы избежать этой формы атаки, вам нужен корень доверия : компонент системы, которому вы доверяете не по той причине, что другой компонент системы говорит об этом. Другими словами, вы должны начать где-нибудь. Хорошее начало - начать с имеющегося у вас оборудования; Вы можете оставить свою операционную систему на USB-ключе, который не будет у вас на виду, и подключить его только к оборудованию, в котором вы достаточно уверены (в оборудовании может быть вредоносное ПО !). Имейте в виду, если вы готовы доверять компьютеру, вы можете доверять и его жесткому диску.
Существует техническое решение для преодоления разрыва между доверием небольшого чипа и доверием целого настольного компьютера или ноутбука. Некоторые ПК имеют TPM (модуль доверенной платформы), который, среди прочего, может проверить, что может быть загружена только известная операционная система. Trusted Grub поддерживает TPM, поэтому с TPM plus Trusted Grub вы можете быть уверены, что запущенное вами ядро одобрено.
Обратите внимание, что принятие TPM может работать для вас или против вас. Все зависит от того, у кого есть ключи. Если у вас есть закрытый ключ для вашего TPM, вы можете точно контролировать, что работает на вашем компьютере. Если только у производителя есть закрытый ключ, это способ превратить универсальную платформу в заблокированное устройство.