[параноя] хочу загрузочную флешку с шифрованным разделом

http://kastaneda.kiev.ua/desktop/live_usb.html

1) Разбиваем на разделы. Windows видит на флешках только первый раздел, так что именно его мы отформатируем в fat32 и зададим ему некоторую метку.
Второй мы сделаем небольшим (200..500M) - там будет установлен загрузчик (ФС ext2; обязательно устанавливаем ему метку или монтируем по UUID).
2) Третий раздел - шифрованный, выполняем: cryptsertup luksFormat /dev/sdz3
Подключаем шифрованный блочный девайс: cryptsetup luksOpen /dev/sdz3 flashroot # получаем /dev/mapper/flashroot
Форматируем flashroot во что-нибудь. Рекомендую ext2 или ext4 без журнала.
3) Ставим систему (Debian):
mount /dev/mapper/flashroot /mnt
mkdir /mnt/boot
mount /dev/sdz3 /mnt/boot
mkdir /mnt/media/data
mount /dev/sdz1 /mnt/media/data
for fs in dev proc sys; do mount -o bind /$fs /mnt/$fs; done
debootstrap --arch i386 squeeze /mnt/pendrive

4) LC_ALL=C chroot /mnt/ /bin/bash
Редактируем конфиги:
/etc/fstab:
/dev/mapper/flashroot / extчтототам defaults,errors=remount-ro,noatime 0 0
LABEL=FLASHBOOT /boot ext2 defaults,errors=remount-ro,noatime 0 0 # или UUID=uuid-этого-раздела
LABEL=somedata /media/data vfat iocharset=koi8-u,codepage=866,uid=1000,quiet 0 0 # опять же, можно по UUID
proc /proc proc defaults 0 0
tmpfs /tmp tmpfs defaults,noatime 0 0
tmpfs /var/lock tmpfs defaults,noatime 0 0
tmpfs /var/log tmpfs defaults,noatime 0 0
tmpfs /var/run tmpfs defaults,noatime 0 0
tmpfs /var/tmp tmpfs defaults,noatime 0 0

/etc/crypttab:
flashroot UUID=uuid-раздела-/dev/sdz3 none luks # первое поле - имя файла в /dev/mapper/

5) Ставим ядро и загрузчик (благодаря mount --bind для /proc, /sys и /dev можно ставить загрузчик прямо из chroot), не забываем пакет cryptsetup.

6) Выходим из chroot.
for fs in sys proc dev; do umount /mnt/$fs; done
umount /mnt/media/data
umount /mnt/boot
umount /mnt
cryptsetup luksClose flashroot

7) Готово, можно пробовать загрузиться.

Спасибо, буду пробовать.