Шифрованный /boot выносят на флешку и хранят в нём заглавие LUKS от шифрованного диска ноута, чтобы:
1. Скрыть методы шифрования диска ноута и крайне затруднить извлечение из него данных.
2. Сам /boot шифруют, чтобы защитить ядро содержащие публичные ключи для верификации модулей ядра и IMA/EVM, initrd, а в нашем случае еще и заглавие LUKS для расшифровки диска ноута. Флеху с заглавием, по очевидной причине необходимо бекапить, а держать на бекапе не шифрованный /boot с ядром, initrd и заглавием LUKS не хорошо. Флеху могут украсть вместе с ноутом.Если использовать загрузчик GNU GRUB, то есть возможность иметь шифрованный /boot раздел и ещё верифицировать при загрузке все модули и настройки GRUB, ядро, initrd по цифровой подписи.
Не шифрованным на флехе есть только файл core.img от GRUB который содержит минимальный набор модулей GRUB необходимый для расшифровки раздела /boot, верификации цифровой подписи и публичный ключ для проверки цифровой подписи. Этот core.img должен быть подписан вашим ключом с UEFI Secure Boot, для его верификации и соблюдения верифицированной цепочки при загрузке системы.
https://www.gnu.org/software/grub/manual/grub/grub.html#Usin...
https://www.gnu.org/software/grub/manual/grub/grub.html#cryp...
https://www.gnu.org/software/grub/manual/grub/grub.html#Devi...
https://wiki.archlinux.org/title/Dm-crypt/Encrypting_an_enti...
https://cryptsetup-team.pages.debian.net/cryptsetup/encrypte...
https://wiki.gentoo.org/wiki/Security_Handbook/Boot_Path_Sec...
https://www.unixsheikh.com/tutorials/real-full-disk-encrypti...
https://www.unixsheikh.com/tutorials/real-full-disk-encrypti...