Normalerweise ist es so, dass bei S4 (suspend to disk) der gesamte Inhalt der Arbeitsspeichers auf die swap gesichert wird. Mit "resume=/dev/swap" bekommt der Kernel die Info dass auf "/dev/swap" ein resume image liegen könnte. Wenn jetzt /dev/swap nicht auf einem verschlüsselten Datenträger liegt, ist dein ganzer Arbeitsspeicherinhalt zum Zeitpunkt des Suspend für jeden mit physischen Zugang zum Rechner zugänglich (dd if=/dev/swap | hexdump -C). Auch der Masterkey des Lukssystems
Also macht man das meist so, dass man auf das crypt device ein LVM aufsetzt, welches auch swap beinhaltet. Die initramfs kuckt ob es das cryptdevice aufschliessen kann und dann ob dort die LVM Partitionen zu finden sind, dann ist auch swap wieder sichtbar und der Kernel kann seinen alten Arbeitsspeicherinhalt einlesen ohne dass im S4 Zustand jemand ohne den Schlüssel auf den Inhalt des Speichers zugreifen könnte.
Gruß
schorsch