Sagt ja niemand, das man nur den MBR benutzen muss. Man kann ja einfach eine Partition auf den Stick anlegen, wo man dann den Rest des Loaders unterbringt.
na logo, ich glaube, das wäre das, was jeder sofort denkt und auch anhand des Handbuches zumindest im Ansatz lesen kann.
Mir ging halt durch den Kopf, was es minimal braucht.
Aber davon abgesehen: externes Booten.
Also, dass ein System nun nicht dadurch bootet, dass man einen Einschalt-Knopf drückt, sollte vielleicht jedem klar sein.
Dass es gewiefte Gegner gibt, die sich hinlänglich auskennen, und einfach ein Live-System (ich nannte oben nomad-bsd) booten können, sollte vielleicht auch jedem klar sein.
Wie weit jeder nun sein System schützen möchte, muss jeder auch für sich entscheiden. Ich nutze immer noch unverschlüsselte Festplatten, weil ich das für mich so entschieden habe. Aber ich transportiere nicht irgendwelche Daten auf Sticks (die ich vielleicht verlieren könnte), ohne die zu verschlüsseln.
Wenn tatsächlich ein Szenario besteht, wo ein unbequemer Angreifer den eignen PC erreichen kann, also in die Hand nehmen und davon booten kann, dann genügt es in meinen Augen einfach nicht, (zB), nur die EFI-Partition weg zu lassen und dann jene von einem Stick zu nehmen.
Sogar manche moderne Linux-(Live)-Systeme können inzwischen ZFS out of the box. Da braucht es gar keinen FreeBSD geschulten Angreifer mehr, sondern einfach ein aktuelles MINT oder wie die Dinger auch immer heißen, einen Mausklick und "schwubs ist man drin".
Gerade so, wie wir das ja auch schon 20 Jahren mit unverschlüsselten NTFS-Partitionen konnten.