É possível executar uma criptografia no local, mas sugiro que você faça um backup primeiro. Escrevi uma ferramenta experimental que chamei de inCrypt que pode converter entre formatos brutos (sem criptografia), simples (dm-crypt) e LUKS.
A conversão de um dispositivo não criptografado para o LUKS requer que todos os dados pré-existentes no dispositivo precisem ser deslocados para deixar um espaço de cerca de 2 MiB no início, de modo que um cabeçalho possa ser instalado ali. Alternativamente, você pode destacar o cabeçalho e armazená-lo em um dispositivo separado (como uma chave USB).
Se você usar um cabeçalho LUKS separado ou escolher o modo simples-crypt em vez disso, não haverá necessidade de deslocar os dados, eles poderão ser convertidos no local.
Eu escrevi a teoria com exemplos aqui e você também pode ler sobre o deslocamento para a direita e seus problemas inerentes em esta questão .
Para resumir, você pode executar a criptografia no local usando dd para copiar em um mapeador de dispositivo dm-crypt do dispositivo bruto subjacente:
$ cryptsetup open "${raw_device}" crypt_device --type plain ${cryptsetup_args}
$ dd if="${raw_device}" conv=notrunc of=/dev/mapper/crypt_device
$ cryptsetup close crypt_device
(as variáveis são espaços reservados para você fornecer os parâmetros relevantes para o seu ambiente; é mais completamente explicado no script e nas páginas vinculadas acima)
Esta é uma operação arriscada - se falhar parcialmente (perda de energia, dedos gordos ou por qualquer outro motivo), então você está recheado. Faça um backup primeiro .
Note que usei as palavras backup , experimental e teoria . Caveat Emptor , e tudo isso!