Ist mangels EFI doch ein bisschen kompliziert - korrigiert mich ggf.:
Also /boot hat die Kernel und muss auf jeden Fall unverschlüsselt sein. EFI hin oder her.
Wenn noch EFI mit Ordner /boot/efi dazukommt, ist das auch unverschlüsselt und liegt in der EFI-Partition, also einer kleinen FAT-Partition, die auch andere Systeme wie Startdateien von Windows beherbergt.
Seitens Windows ist die nicht sehr groß, so dass es sinnvoll ist, die Kernel nicht mit dort abzulegen, sondern in einer eigenen /boot-Partition, zumal FAT dafür nicht geeignet ist.
Man bräuchte also eigentlich bei EFI ohne Verschlüsselung nur eine /boot/efi-Partition, aber wegen der Verschlüsselung braucht man noch extra eine /boot-Partition. Diese sollte aufgrund des FAT-Dateisystems sowie begrenzten Platzes nicht in der /boot/efi-Partition liegen, zumal ich letztens las, dass Grub gar kein FAT (mehr) kann? (außer vielleicht Grub4DOS).
Müsste also doch schon seine Richtigkeit haben, wenn man das nochmal mit etwas Abstand betrachtet. Im Zweifel muss man es ausprobieren. Am besten weiß das sicher jemand wie syscon-hh - ich schick ihm mal einen Link und mit etwas Glück sagt er was dazu. Vielleicht klappt es ja doch in einer /boot/efi mit FAT und ausreichend Platz.
Grüße, Benno