Я установил самоподписанный рефинд и ядро Linux. Проблема в том, что intel-ucode и initramfs находятся в / boot, а это незашифрованный файл fat32. ESP filesytem - специфичный для UEFI.
Как я могу защитить свои initramfs и intel-ucode?
Один из вариантов - заставить ядро проверять их на соответствие ключу или загружать их из зашифрованной luks корневой файловой системы (ext4), что я не знаю, возможно ли это.
Другой вариант - заставить ядро проверять их подпись, что тоже не знает, возможно ли это.