Зависит от того, что понимается под словом "шифрование". Если только некоторое преобразование, не позволяющее восстановить исходные данные без знания ключа, то это будет защищать от злоумышленника, который украл носитель (жёсткий диск, например) с целью получить доступ к данным при условии, что прежний владелец больше не будет пользоваться этим диском. При условии, что ключ злоумышленнику неизвестен, обратить преобразование он не сможет.

Но если злодей достаточно подкован в вопросах компьютерной безопасности, то он может изменить поведение системы таким образом, чтобы ничего не подозревающий пользователь выдал свой ключ. Например, отредактировать программу, запрашивающую ключ при загрузке, чтобы она сохраняла его куда-то ещё (например, на тот же носитель; или, что часто бывает удобнее, раскрывала информацию по сети, когда связность будет установлена). Таким образом, имея заранее сделанную копию диска, и получив ключ, злоумышленник сможет воспользоваться данными.

Технология SecureBoot направлена на защиту от модификации загрузочных программ. Если эти программы не будут иметь правильной (разрешённой биосом) подписи, то система не загрузится. Но имея физический доступ к железу эту защиту можно обойти/отключить, либо же ограничиться модификацией тех программ, которые не считаются загрузочными.

Некоторые алгоритмы шифрования включают в себя ещё и контроль целостности данных, что мешает злоумышленнику модифицировать зашифрованные данные.

Ответы на вопросы:

1. Включенный SecureBoot не позволит злоумышленнику, имеющему (возможно временно) права рута на машине изменить загрузочные программы. Некоторые реализации SecureBoot не позволяют владельцу оборудования сменить набор ключей, которые используются для валидации подписей, ограничивая доступные для запуска загрузочные программы (и, соответственно, операционные системы).

2. Да, стоит. Шифровать только /home экономичнее по ресурсам, но есть риск утечки секретных данных в различные места в системе. Например, часть информации может оказаться в логах, которые находятся за пределами /home (например, в /var/log) или временных файлах (/tmp, /var/tmp).

3. Если зашифровать /boot, то понадобится какой-то хитрый механизм загрузки, позволяющий расшировывать /boot в памяти в момент старта системы. В Windows для этого используется набор микросхем TPM. Текущие реализации в Linux поддерживают далеко не все варианты TPM.

4. Злоумышленник может подменить загрузочные программы, обеспечив сохранение ключа в момент его ввода. SecureBoot и/или TPM позволяют усложнить этот процесс.

5. LibreBoot нужно собирать (или находить уже собранные бинарники) под каждую конкретную железку. Риск есть, но его можно свести к минимуму, купив программатор и сохранив содержимое своей флеш-микросхемы. Его плюс в том, что /boot частично или полностью перемещается внутрь BIOS, что не даёт злоумышленнику возможности перезаписать загрузочные программы просто вытащив жёсткий диск (понадобится подключать флеш-программатор к микросхеме BIOS, что заметнее и сложнее).