Seu kernel não tem suporte para aes-cbc-essiv:sha256 . "Erro alocando crypto tfm" refere-se ao subsistema criptográfico do kernel: algumas estruturas de dados criptográficas necessárias não puderam ser inicializadas. Seu suporte para algoritmos criptográficos vem em módulos, e você tem um módulo para o algoritmo AES e um módulo para o algoritmo SHA-256, mas nenhum módulo para o modo CBC. Você não poderá montar seu dispositivo criptografado sem ele.
Se você compilou seu próprio kernel, certifique-se de ativar todos os algoritmos de criptografia necessários. Se o seu kernel vem da sua distribuição, isso pode ser um bug que você precisa reportar. Em qualquer um dos casos, deve haver um módulo /lib/modules/2.6.32-5-amd64/kernel/crypto/cbc.ko . Se o módulo existir, seu problema será com o script de geração initramfs.
Além do módulo cbc , você precisa de outros componentes do kernel para unir o criptograma. Verifique se CRYPTO_MANAGER , CRYPTO_RNG2 e CRYPTO_BLKCIPHER2 estão definidos na configuração do seu kernel. O script de construção initramfs do Debian deve cuidar destes mesmo se eles forem compilados como módulos. Como o subsistema de criptografia é bastante complexo, pode haver outros componentes vitais que estão faltando no script initramfs. Se você precisar de mais ajuda, leia a discussão do bug # 541835 e publique seu versão exata do kernel, bem como a configuração do seu kernel, se você mesmo compilou.
Você precisará inicializar a partir de um sistema de recuperação com o suporte de criptografia necessário para consertar isso. Monte seu sistema de arquivos raiz, chroot , monte /boot e execute dpkg-reconfigure linux-image-… para gerar novamente o initramfs.