Сделал шифрование основного раздела через crypsetup.
В принципе все работает, только, как ни странно, устройство /dev/mapper/gentoo отсутствует, хотя mount утверждает обратное
dev/mapper/gentoo on / type ext2
Заметил это, когда при загруске стала выдавать fsck сообщение о том, что не может запустить проверку (и речь шла о ext2, хотя в fstab - ext4)
initrd самый простой: crypsetup luksOpen, далее mount -r /dev/mapper/gentoo и переключение на новый рут.
Если подключать в ручную через лавсиди, то никакий отклонений нет.