Der Grund liegt hier drin:
Die Firmware- und Betriebssystempartitionen sind identische Kopien der in den offiziellen Versionen veröffentlichten Images. Die Authentizität und Integrität dieser Partitionen wird bei jedem Booten von einer Vertrauensstelle überprüft. Keine Daten werden von einem dieser Images gelesen, ohne dass sie kryptografisch verifiziert wurden. Verschlüsselung ist nicht möglich, da die Images öffentlich zugänglich sind. Das verifizierte Booten bietet viel stärkere Sicherheitseigenschaften als die Festplattenverschlüsselung. Weitere Einzelheiten werden in einem anderen Abschnitt über verifiziertes Booten in der Zukunft bereitgestellt.
→ https://grapheneos.org/faq#encryption
siehe auch GrapheneOS: Wie google logo entfernen?