Quando instalei o Debian Buster (com um kernel 4.19 padrão) em meu dispositivo, optei pelo particionamento guiado com criptografia de disco completa.
Portanto, a configuração atual é LVM no LUKS e /boot não é criptografado:
user@HOST:~$ lsblk -f
NAME FSTYPE LABEL UUID FSAVAIL FSUSE% MOUNTPOINT
sda
├sda1 ext2 a81YDwjp-q50N-nbZH-JLwr-Djhhe0aDxI6 94,4M 55% /boot
├sda2
└sda5 crypto_LUKS E5ZYjKug-zrNW-yW4Q-jwFD-MdgSY08zqKo
└sda5_crypt LVM2_member aJTjWXcR-Nxth-LcnV-5tzp-iBzbCU0zy8d
├HOST--vg-root ext4 PHVJaGjc-46vv-u5co-fXxd-NCZJUkzK21Q 129,1G 5% /
└HOST--vg-swap_1 swap 1XZehc8C-2yKA-Y8Qr-eCc1-EI3ezAgVNBo [SWAP]
Agora seria bom evoluir essa configuração e criptografar o volume de troca com uma chave temporária. Mas por que isso? Afinal, a troca já está criptografada, pois reside em um disco rígido criptografado. BTW, eu não uso hibernação.
O que eu gostaria é tirar o máximo proveito possível de camadas adicionais de criptografia em meu sistema. Por exemplo, criptografo alguns dados localmente antes de fazer backup em um local remoto. Essa criptografia também pode servir como uma segunda linha de defesa se a criptografia total do disco rígido for derrotada... mas apenas se a troca não for legível nesse cenário.
A partir da configuração padrão do Debian (ou seja, sem ter que passar pela reinstalação), existe uma maneira de criptografar a troca com chaves temporárias?