А нужно ли? Стоит ли тянуть случайный непроверенный код на уровень загрузочной прошивки? Лично вы его читали? Проверяли на безопасность и отсутствие закладок? Проверяли надёжность реализации криптографии? Подумайте.
Лично я бы не стал вообще тащить подобное в критически важные для безопасности компоненты системы. Лучше подождать оффициальной поддержки argon2id в GRUB2.
Тем не менее, воля ваша, можете рискнуть:
Установите пакет "patch". В директории с исходным кодом coreboot найдите код GRUB2. Проверьте, чтобы патч и версия GRUB2 были идентичными. Далее команда "patch -p1 < ваш_патч.patch". И ждите исполнения команды.
Возможно, этот патч будет конфликтовать с другими, применяемыми coreboot, тогда ничего не выйдет.
После этого вы можете собрать coreboot как обычно, он сам скомпилирует GRUB2 в процессе, если вы выберете его в качестве payload'а.
Dark10 пишет: В ответ на эту новость, создатель LUKS утверждает что не возможно взломать LUKS если парольная фраза не меньше 13 символов в рандомном порядке и в данном случае спецслужбы получили доступ по какой то иной причине
https://www.reddit.com/r/linux/comments/12q51ce/psa_upgrade_your_luks_key_derivation_function/ , а другой пользователь там же выдвигает предположение, что спецслужбы получили доступ в виду того, что на момент захвата ноутбук не был полностью выключен и ключ расшифровки ОС находился в ОЗУ.
Взломать-то сам LUKS2 не получится, там не в пароле дело и не в реализации стандарта. А в KDF, Key Derivation Function, в функции создания ключа на основе пароля. Ключ используется в шифровании, не пароль. Пароль выступает основой для ключа. Суть в использовании устаревшей KDF, которая уязвима к перебору на GPU. Поэтому и нужно обновляться, чтобы не перебрали.
Ну а "невозможно взломать" только в сказке.
Атаку с получением ключа из ОЗУ вообще не стоит относить к атакам на LUKS2, они не сильно связаны, это косвенная угроза. С помощью DMA доступа к RAM можно получить кучу данных, не только ключ шифрования.
Эдак можно и паяльник отнести к прямым уязвимостям LUKS2.
Всё это не отменяет необходимости своевременных обновлений в целом и перехода на argon2id в частности.