ich bin jetzt doch noch weitergekommen. durch modifizieren des initramfs hooks für systemd konnte ich systemd-debug-generator + debug-shell.service ins initramfs beim build hinzufügen.
in kombination mit dem kernel parameter rd.systemd.debug_shell=1 startet dann wirklich eine shell auf tty9
mit dieser shell hat sich dann gezeigt, dass die beiden files unter /.extra wirklich angelegt werden.
nur scheint sie systemd-cryptsetup an diesem ort nicht zu suchen.
sprich ich habe manuell einen symlink angelegt ln -s /.extra/tpm2-pcr-signature.json /run/systemd/
und schon konnte ich auf tty1 auf der normalen eingabe das luksdevice öffnen.
fazit: dürfte ein bug von systemd sein