Seguindo o exemplo de como adicionar uma chave FIDO2 de um YubiKey, mas não consigo descobrir como usar o YubiKey para desbloqueá-lo na linha de comando. As instruções falam sobre desbloquear na inicialização - mas não é isso que eu quero.

Configurar

Crie um arquivo de 128 MiB, torne-o um dispositivo de bloco loop0e configure o LUKS.

$ dd if=/dev/urandom of=disk.bin bs=1M count=128 
128+0 records in
128+0 records out
134217728 bytes (134 MB, 128 MiB) copied, 0.534038 s, 251 MB/s
$ losetup /dev/loop0 disk.bin 
$ cryptsetup luksFormat -y /dev/loop0

WARNING!
========
This will overwrite data on /dev/loop0 irrevocably.

Are you sure? (Type 'yes' in capital letters): YES
Enter passphrase for temp.bin: 
Verify passphrase: 

Adicione o Yubikey.

$ systemd-cryptenroll /dev/loop0 --fido2-device=auto  --fido2-with-client-pin=yes
? Please enter current passphrase for disk /dev/loop0: ****                    
Requested to lock with PIN, but FIDO2 device /dev/hidraw9 does not support it, disabling.
Initializing FIDO2 credential on security token.
? (Hint: This might require confirmation of user presence on security token.)
Generating secret key on FIDO2 security token.
? In order to allow secret key generation, please confirm presence on security token.
New FIDO2 token enrolled as key slot 1.

Remova a chave não-FIDO2.

$ cryptsetup -q -v luksKillSlot /dev/loop0 0
Keyslot 0 is selected for deletion.
Key slot 0 removed.
Command successful.

Problema

O que agora? Isso não funciona:

$ cryptsetup open /dev/loop0 loop0_encrypted
Enter passphrase for disk.bin:

Agora tenho um disco LUKS, mas não sei como desbloqueá-lo. Todos os tutoriais que encontrei dizem para fazer modificações /etc/crypttabe dar instruções para montagens na inicialização. Quero montar sem reiniciar e (de preferência) sem modificar /etc/crypttab. o que estou perdendo?