Сделать можно, работает в Linux, требуется USB token с поддержкой openpgp, создаёте подпись, подписываете ядро, и Luks шифрование диска с ключевым файлом на токене. Сертификат проверяет подпись ядра на действительность через индикатор на токене сообщает что все ок, а дальше расшифровать диск пин токена+пароль+и ключевой файл на токене