Как зашифровать внешний диск без резервного копирования/восстановления существующих данных?

Это возможно, но со всеми преобразованиями места -существует определенный риск потери данных.

Чтобы освободить место для заголовка LUKS, если вы не собираетесь использовать внешний заголовок, вы должны сначала сжать файловую систему (с помощью resize2fs, если это ext4 ). Для LUKS1 вы должны уменьшить его на 2 МБ. Для LUKS2 вы можете уменьшить его на 4M, 16M или до 64M. Если вы собираетесь использовать расширенные функции (dm -целостность ), вам, возможно, придется уменьшить его еще больше.

В качестве альтернативы сжатию вы также можете увеличить размер раздела, если это позволяет структура разделов диска.

Шифрование существующих данных с помощью автономной cryptsetup-reencryptутилиты :(, установленной не во всех дистрибутивах, может находиться в отдельном пакете, в противном случае брать из источника)

# cryptsetup-reencrypt --new --type luks1 --reduce-device-size 2M /dev/sdXn
Enter new passphrase: 
Verify passphrase: 
[A wild progress bar appears.]

Использование онлайн cryptsetup reencryptдля LUKS2:

# cryptsetup reencrypt --new --reduce-device-size 16M /dev/sdXn

WARNING!
========
This will overwrite data on LUKS2-temp-2c9761be-a765-4349-aa0a-553203e534f1.new irrevocably.

Are you sure? (Type uppercase yes): 

Enter passphrase for LUKS2-temp-2c9761be-a765-4349-aa0a-553203e534f1.new: 
Verify passphrase: 
[A wild progress bar appears.]

Таким образом, это работает, при условии, что в течение всего процесса не произошло перебоев с питанием или кабелем.

Как написано на справочной странице cryptsetup-reencrypt:

ПЕРЕД ИСПОЛЬЗОВАНИЕМ ЭТОГО ИНСТРУМЕНТА ВСЕГДА УБЕДИТЕСЬ, ЧТО У ВАС ЕСТЬ НАДЕЖНАЯ РЕЗЕРВНАЯ КОПИЯ.