LUKS / dm-cryptで使用するPBKDF2ラウンドを指定できますか？

暗号化されたディスクの作成中に、鍵導出のためにPBKDF2の反復のカスタム量を指定することは可能ですか？

はい。 cryptsetupの-iスイッチを使用して、反復回数を指定できます。 --iter-timeを使用して、システムで特定の実行時間を達成するための反復回数のベンチマークを行う時間を秒単位で指定することもできます。

暗号化されたディスクがすでに作成された後、鍵導出のためにPBKDF2の反復回数を変更することは可能ですか？

はい、少し苦痛ですが。 cryptsetup 1.5.0以降のバージョンには、オフライン再暗号化用のcryptsetup-reencryptツールが付属しており、設定を変更できます。私が読んだことから、それはディスク全体の完全な再暗号化を行いますが、これには長い時間がかかります。技術的には、新しいボリュームヘッダーを再暗号化するだけで済みますが、すべてを再暗号化することにはセキュリティ上の理由があります。