Criptografar / descriptografar o arquivo contêiner do sistema de arquivos com o smartcard no linux

Eu quero criptografar e descriptografar um arquivo contêiner do sistema de arquivos com luks e um cartão inteligente no debian linux.

O smartcard é um Nitrokey Start, que é basicamente um cartão inteligente compacto em um leitor usb.

Eu sei como criar e montar um arquivo contêiner com dd, cryptsetup e um arquivo de chave. Mas não consigo descobrir como usar um cartão inteligente em vez de um arquivo de chave.

Eu li algo sobre isso não ser possível porque você não pode ler a chave do cartão inteligente.

Então eu entendi direito, eu tenho que:

• crie um contêiner
• gerar um arquivo de chave
• use o cryptsetup e o arquivo de chave para criptografar o contêiner
• use o cartão inteligente para criptografar o arquivo de chave
• exclua o arquivo de chave não criptografado

E toda vez que eu quero descriptografar o formigueiro, eu preciso:

• descriptografar o arquivo de chave com o cartão inteligente
• descriptografar o contêiner com o arquivo de chaves descriptografado
• exclua o arquivo de chave não criptografado

Isso está correto? Há alguma maneira melhor de obter a criptografia do HDD (ou do contêiner do sistema de arquivos) com um cartão inteligente?

Nota: Eu não sou obrigado a cryptsetup e luks, então se houver ferramentas melhores para alcançar meu objetivo, por favor, me diga.