Sancho_Pansa, все есть в репозитории, пакет gpg для генерации серта/подписи, токен на который экспортнуть, собрать initramfs с необходимыми библиотеками для инициализации, и пара скриптов. Ну и настроить все точки монтирования, дело не простое. Есть вариант по проще с veracrypt и полным шифрованием системы. Только проверки по токену на изменение и ключевого файла не будет. Про шифрование luks с ключевым файлом писали. На сайте рутокен можно посмотреть в инструкциях что нибудь найдётся. У меня эцп 2.0 флеш, так загрузчик и первичный initramfs на нем находятся. Он сначала расшифровывает раздел с ядром и потом его запускает а там уже стандартный запуск. А т.к. раздел на токене не изменяем без в режиме r/o изменить его случайно не удасться.
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.