Вы шифровали всё или только какие-то конкретные разделы?

Самое главное для работы данного сценария:
1) Закрытый ключ должен находится в директории, которая не шифруется через LUKS. В нашей статье, мы выбрали /boot/. Это очень важно, ведь расшифровать основной диск с помощью Рутокена не получится, если ключ расшифровки (rootkey.enc) будет лежать в этом самом зашифрованном разделе.
Если в вашем случае данный способ не подходит, можете попробовать переместить ключ в другую директорию, которая не шифруется, после чего необходимо указать путь к rootkey.enc в crypttab и обновить initramfs.
Поэтому, настройка может немного отличаться в зависимости от того, как вы настраивали шифрование LUKS.

2) Закрытый ключ для расшифровки файла rootkey.enc, должен быть на Рутокене. Это можно проверить, выполнив пункт 8 из инструкции и расшифровать файл rootkey.enc вручную.
В вашем случае, расшифровка ключа с помощью Рутокена проходила без ошибок, если я правильно помню.

3) Сервис pcscd запускался при старте системы, чтобы ОС могла обращаться к Рутокену для разблокировки.

возможно "не так" создался initramfs или чтото еще ...

# systemctl list-units --all|grep -i pcscd
  pcscd.service                                                                                                          loaded    inactive dead      PC/SC Smart Card Daemon
  pcscd.socket                                                                                                           loaded    active   listening PC/SC Smart Card Daemon Activation Socket

подобное упоминается в https://blog.apdu.fr/posts/2022/10/ubun … t-failure/
и в https://forums.mageia.org/en/viewtopic. … mp;t=12383

работа рутокена и ubuntu 24.04 вами проверялась в аналогично моей конфигурации и успешно ?

Попробуйте заново добавить службу pcscd в автозапуск:
sudo systemctl disable pcscd.socket
sudo systemctl enable pcscd.service
sudo systemctl start pcscd.service

После чего, перезагрузите ОС и проверьте статус службы:
sudo systemctl status pcscd.service

Статус должен измениться на Active: active (running).
Без активного сервиса pcscd, операционная система не сможет обращаться к токену, из-за чего и запрашивается пароль для расшифровки Luks-раздела вместо pin-кода.

1. Пакет cryptsetup-initramfs уже был установлен ранее
2.

ls -l /lib/cryptsetup/scripts/decrypt_opensc
-rwxr-xr-x 1 root root 1396 июн  5  2024 /lib/cryptsetup/scripts/decrypt_opensc

3. после загрузки:

# systemctl status pcscd
○ pcscd.service - PC/SC Smart Card Daemon
     Loaded: loaded (/usr/lib/systemd/system/pcscd.service; indirect; preset: enabled)
     Active: inactive (dead)
TriggeredBy: ● pcscd.socket
       Docs: man:pcscd(8)

4. journalctl -u pcscd

-- Boot c259bf02318843039be2cd38e5f0f12c --
янв 08 17:25:42 hp250 (pcscd)[2875]: pcscd.service: Referenced but unset environment variable evaluates to an empty string: PCSCD_ARGS
янв 08 17:25:42 hp250 systemd[1]: Started pcscd.service - PC/SC Smart Card Daemon.
янв 08 17:26:44 hp250 systemd[1]: pcscd.service: Deactivated successfully.

sudo apt install cryptsetup-initramfs

Убедитесь, что скрипт decrypt_opensc существует и доступен.
Проверьте файл /lib/cryptsetup/scripts/decrypt_opensc:

ls -l /lib/cryptsetup/scripts/decrypt_opensc

Также, проверьте статус службы pcscd:

sudo systemctl status pcscd

Если она неактивна, запустите её:

sudo systemctl start pcscd

Установите автозапуск службы:

sudo systemctl enable pcscd

Проверьте, нет ли ошибок в конфигурации:

journalctl -u pcscd

1. службу pcscd запустил и разрешил
2. /etc/crypttab сделал как предложили
3. выполнил update-initramfs -u
4. перегрузился

5. пароль все еще запрашиватеся
6. служба pcscd почемуто inactive
7. в логе вижу такое:
journalctl -b|grep crypttab
дек 13 15:29:29 hp250 systemd-cryptsetup[1439]: Encountered unknown /etc/crypttab option 'keyscript=decrypt_opensc', ignoring.

keystore-rpool UUID=18114400123631025246 /boot/rootkey.enc luks,keyscript=decrypt_opensc

Объяснение параметров:
•    keystore-rpool: это имя, которое будет использоваться для отображения в /dev/mapper/. Его можно изменить.

•    UUID=<UUID>: это UUID зашифрованного раздела /dev/nvme0n1p4.

•    /boot/rootkey.enc: ключ, который будет использоваться для разблокировки.

•    luks: указывает, что используется шифрование LUKS.

•    keyscript=decrypt_opensc: скрипт для разблокировки.

Я предполагаю, что в вашем случае необходимо расшифровывать именно раздел /dev/nvme0n1p4, потому что исходя из команды blkid, этот раздел имеет LABEL: rpool и TYPE="zfs_member".
В стандартной установке Ubuntu с ZFS корневая файловая система (/) монтируется из ZFS пула под именем rpool (root pool), и, как правило, именно этот раздел должен быть доступен после расшифровки.

Не забудьте обновить initramfs:

sudo update-initramfs -u

Также проверьте, включена ли служба pcscd:
sudo systemctl status pcscd

Если служба не запущена, выполните:
sudo systemctl start pcscd
sudo systemctl enable pcscd

После загрузки выполните:
ls /dev/mapper/

Убедитесь, что присутствуют следующие устройства:
keystore-rpool

Если советы выше не помогут, то советую переместить /boot/rootkey.enc в раздел /root/rootkey.enc или даже в initramfs. Возможно, в вашем случае, раздел boot монтируется после разблокировки LUKS, перед загрузкой ОС.  Только не забудьте обновить initramfs после переноса ключа, и прописать актуальный путь к ключу в crypttab.
Главное, чтобы файл rootkey.enc был доступен на незашифрованном разделе для расшифровки LUKS диска. Хранение rootkey.enc на незашифрованном разделе необходимо и безопасно, ведь сам ключ расшифровывается через Рутокен с момент расшифровки LUKS диска.
Для безопасности, рекомендую удалить расшифрованный ключ, а именно rootkey.dec, как указано в нашей статье.

Данная инструкция не проверялась на Ubuntu 24.04.1, но механизмы работы LUKS с версии Ubuntu 22.04.3 LTS, насколько мне известно, не изменились. Предполагаю, что инструкция должна работать исправно и на этой версии ОС.

2.

~$ ls  /dev/mapper/ -al
total 0
drwxr-xr-x  2 root root     100 дек 12 08:22 .
drwxr-xr-x 21 root root    4740 дек 12 08:22 ..
crw-------  1 root root 10, 236 дек 12 08:22 control
lrwxrwxrwx  1 root root       7 дек 12 08:22 dm_crypt-0 -> ../dm-1
lrwxrwxrwx  1 root root       7 дек 12 08:22 keystore-rpool -> ../dm-0

3.

$ blkid
/dev/nvme0n1p1: UUID="AE1E-FDA7" BLOCK_SIZE="512" TYPE="vfat" PARTUUID="65de66ef-6e00-4b2c-b308-de9473a6196c"
/dev/nvme0n1p4: LABEL="rpool" UUID="18114400123631025246" UUID_SUB="10476213877615129471" BLOCK_SIZE="4096" TYPE="zfs_member" PARTUUID="c4beaead-adb8-47a0-b3a6-22fd50e8ca6d"
/dev/nvme0n1p2: LABEL="bpool" UUID="361276454038406966" UUID_SUB="6039663864063551006" BLOCK_SIZE="4096" TYPE="zfs_member" PARTUUID="d35d33a0-e783-432c-b3d7-757575b43135"
/dev/mapper/keystore-rpool: LABEL="keystore-rpool" UUID="b7073ee6-6d1a-48e1-b597-222a84b7579e" BLOCK_SIZE="4096" TYPE="ext4"

какая в моем случаи должна быть строка в  /etc/crypttab ?

4. я случайно не удалял файлы /boot )
видимо так создается initramfs по инструкции. файлы появляются обратно (и есть они сейчас) если загрузится в emergency и переделать initramfs

 ls -al /boot
total 93617
drwxr-xr-x  4 root root       18 дек 10 15:05 .
drwxr-xr-x 22 root root       26 дек  8 22:16 ..
-rw-r--r--  1 root root   287459 ноя  1 13:56 config-6.8.0-49-generic
drwxr-xr-x  3 root root     4096 янв  1  1970 efi
drwxr-xr-x  5 root root        9 дек 10 10:49 grub
lrwxrwxrwx  1 root root       27 дек  8 16:16 initrd.img -> initrd.img-6.8.0-49-generic
-rw-r--r--  1 root root 77605124 дек 10 15:05 initrd.img-6.8.0-49-generic
lrwxrwxrwx  1 root root       27 дек  8 16:16 initrd.img.old -> initrd.img-6.8.0-49-generic
-rw-r--r--  1 root root   142796 апр  8  2024 memtest86+ia32.bin
-rw-r--r--  1 root root   143872 апр  8  2024 memtest86+ia32.efi
-rw-r--r--  1 root root   147744 апр  8  2024 memtest86+x64.bin
-rw-r--r--  1 root root   148992 апр  8  2024 memtest86+x64.efi
-rw-r--r--  1 root root      245 дек 10 14:53 rootkey.dec
-rw-r--r--  1 root root      256 дек  9 14:11 rootkey.enc
-rw-------  1 root root  9064172 ноя  1 13:56 System.map-6.8.0-49-generic
lrwxrwxrwx  1 root root       24 дек  8 16:16 vmlinuz -> vmlinuz-6.8.0-49-generic
-rw-------  1 root root 14956936 ноя  1 14:41 vmlinuz-6.8.0-49-generic
lrwxrwxrwx  1 root root       24 дек  8 16:16 vmlinuz.old -> vmlinuz-6.8.0-49-generic

5. диск шифровался штатным установщиком ubuntu 24.04.1 LTS

6. актуальна ли инструкция для ubuntu 24.04.1 ?

Ваша строка начинается с dm_crypt-0. Убедитесь, что это имя соответствует логическому устройству, которое используется для шифрованного раздела. Обычно используется что-то вроде sda2_crypt.

Убедитесь, что имя устройства dm_crypt-0 соответствует имени, указанному в или в /dev/mapper/
ls  /dev/mapper/

Убедитесь, что вы указали верный UUID тома.
PARTUUID используется только для разделов, а UUID обычно применяется к файловым системам или шифрованным томам.
Проверьте UUID вашего раздела с помощью:
blkid /dev/sdX

Обращаю ваше внимание, что в данной команде необходимо заменить sdX имя того диска, который вы используете для шифрования.
Если /boot/ стал пустым, это может означать, что /boot/ больше не примонтирован, или вы случайно удалили файлы.
Смонтируйте /boot/, чтобы убедиться, что файл /boot/rootkey.enc существует.
mount /boot/
ls /boot/

Если файл отсутствует, повторите процесс его генерации и убедитесь, что файл скопирован правильно. Убедитесь, что файл был зашифрован с использованием открытого ключа, извлеченного из Рутокен.

Если /boot/ был не смонтирован во время выполнения update-initramfs -u, то изменения не были применены.

Если служба pcscd не запущена, то доступ к Рутокен невозможен.
Убедитесь, что служба запущена:
systemctl status pcscd

Если служба не запущена, выполните:
systemctl start pcscd
systemctl enable pcscd

Расскажите, каким именно образом вы шифровали диски через LUKS?
Какие ошибки связанные с cryptsetup появляются в journalctl после неудачной попытки расшифровки с помощью Рутокен?

Наша инструкция проверялась на Ubuntu 22.04.3 LTS.

поправил имя PARTUUID на UUID, лучше не стало

при этом /boot почемуто пустой стал

может инструкция уже неактуальна на последних версиях ubuntu ?

Убедитесь, что в ОС включен модуль pcscd:
sudo systemctl enable pcscd
sudo systemctl start pcscd

Проверьте наличие и правильность скрипта decrypt_opensc. Он располагается по пути: /usr/lib/cryptsetup/scripts/decrypt_opensc.

По возможности, попробуйте заменить PARTUUID на UUID в соответствии с идентификатором вашего раздела. Различие между UUID и PARTUUID: UUID относится к файловой системе, в то время как PARTUUID относится к разделу диска.

Так же, можете посмотреть системные логи после запуска ОС через journalctl.
Посмотрите сообщения, связанные с cryptsetup.

dm_crypt-0 PARTUUID=9a6868cd-265e-4661-b28a-3dcb2d630b0b /boot/rootkey.enc luks,keyscript=decrypt_opensc

подал update-initramfs -u

но при загрузке приходится вводить пароль, а ключ не используется

как диагностировать проблему ?

где
- mapped_device_name — это имя, под которым расшифрованное устройство будет доступно в /dev/mapper.
- source_block_device — это UUID шифрованного тома, используемого в качестве источника. Записывать его нужно в формате UUID=. Чтобы узнать UUID шифрованного тома, воспользуйтесь командой sudo cryptsetup luksUUID /dev/sda2 (вместо sda2, укажите ваш диск)
- key_file — это путь к файлу, который содержит ключ, необходимый для расшифровки устройства. В нашей инструкции это -  /boot/rootkey.enc
- luks — предполагает, что шифрование выполнено с использованием LUKS (Linux Unified Key Setup).
- keyscript=decrypt_opensc — это опция, указывающая, что для расшифровки ключа, содержащегося в /boot/rootkey.enc, используется скрипт decrypt_opensc.

Далее, выполните пункт 13 из инструкции на github, без указания decrypt_opensc.patch.