Я тут недавно перешёл на fedora, а потом подумал: "да ну его нахуй этого Фёдора, мне на Арче лучше было", как сказал, так и сделал, но не просто сделал, а полностью ебанулся.
Есть USB флешка, на ней два раздела, один для boot(luks2), другой для efi.
Технология простая.
Шифрую второй раздел на luks2, создаю там крипто-контейнер, открываю крипто-контейнер, шифрую ssd и выношу заголовок luks2 на boot, а крипто-контейнер использую как ключ-файл, пишу свой хук, потом немного магии от grub, да бля забыл создать ключ-файл для boot, ввожу пароли три раза, за место двух раз, добавляю ключ-файл и кидаю его в rootfs, радуюсь двум паролям, я молодец)))
Если кому интересно, могу скинуть hook и рассказать как это говно настроить.
Итог: если потеряю флешку, пизда всем данным, лучше поставить замок на дверь, а то дети флешку съедят(такое уже было с MicroSD)