Se a minha outra resposta, por algum motivo, não atender aos seus requisitos (por exemplo, porque você não deseja um arquivo-chave em seu volume ou seu /boot não está criptografado), também posso recomendar este projeto: link
Existe uma maneira de kexec reiniciar um kernel em execução sem precisar descriptografar um sistema de arquivos raiz LUKS criptografado?
Eu não imagino, mas não tenho certeza se há uma solução alternativa para isso.
Se a minha outra resposta, por algum motivo, não atender aos seus requisitos (por exemplo, porque você não deseja um arquivo-chave em seu volume ou seu /boot não está criptografado), também posso recomendar este projeto: link
Como o grub2 suporta a descriptografia de volumes criptografados pelo LUKS, assumirei que sua partição /boot também está criptografada. Isso também frustra alguns ataques da empregada malvada.
Se este for o caso, você pode seguramente ter uma chave que pode descriptografar o volume dentro de seu initramfs. Agora, quando o kexec carrega seu initramfs em ram, ele poderá descriptografar sua partição ao carregar o novo kernel.
Porque este guia para configurar um arquivo-chave luks dentro do initramfs, que também resolve o problema de ter que digitar a frase-chave duas vezes (primeiro no grub, segundo quando o initramfs está carregando).