Parece que o Grub basicamente cuida disso. Observe que, embora seja solicitada a frase secreta antes do menu do Grub, ela é exibida após a mensagem "Bem-vindo ao Grub".
Dê uma olhada no arquivo grub.cfg
nas seguintes entradas:
insmod cryptodisk
insmod luks
insmod gcry_rijndael
insmod gcry_sha256
...
cryptomount -u [encrypted container UUID]
set root='cryptouuid/[encrypted container UUID]
...
search ... --hint='cryptouuid/[encrypted container UUID]
Após o Grub, existem algumas configurações obviamente importantes em /etc/mkinitcpio.conf:
FILES="/crypto_keyfile.bin"
HOOKS="[nothing out of the ordinary except 'encrypt']"
É um recurso recente do instalador do Calamares que forneceu essa funcionalidade na instalação.
Além disso, dê uma olhada em isto se ainda não o fez.