Один зашифрованный системный раздел без загрузочного раздела — как это возможно?

Есть несколько возможностей:

• при использовании разбиения MBR/DOS, GRUB с поддержкой криптодиска и LUKS 1 (или LUKS 2 с парольной фразой PBKDF2 )загрузочный раздел не требуется. Будущие версии GRUB могут полностью поддерживать LUKS 2, но на самом деле это еще не совсем так(пока нет поддержки argon2i).

• Файлы kernel/initramfs могут быть сохранены извне и загружены непосредственно qemu/KVM путем передачи соответствующих -kernel -initrdпараметров в qemu. В этом случае сам qemu действует как загрузчик, поэтому нет необходимости в загрузочном разделе внутри виртуальной машины.

• Образ ядра может существовать по определенному смещению устройства перед первым разделом -не в виде раздела/файловой системы/файла, а напрямую записанного в виде необработанных данных на устройство, и загрузчик знает, где его искать. Этот подход обычно наблюдается только на встроенных устройствах.

why do we ever create the (unencrypted) boot partition at all, and not just the standalone encrypted partition, like this?

Проблема в том, что загрузчик все-таки должен куда-то идти, поэтому при разбиении на разделы MBR/DOS большая часть этого остается в неразмеченном пространстве. Конечно, это может работать... пока две разные вещи не попытаются разместить свои данные по одному и тому же смещению и в любом случае перезаписать друг друга.

Было решено, что лучше иметь для них соответствующие разделы. Таким образом, с GPT вы получаете раздел EFI, и/или GRUB получает раздел grub bios _для своего основного образа и так далее.

В идеале вы можете посмотреть на таблицу разделов и узнать, как она устроена, а не ломать голову и спрашивать, как вообще все работает, потому что все это где-то спрятано и спрятано за пределами разделения.