Я зашифровал диск, используя LUKS с отдельным заголовком. Заголовок присутствовал на съемном диске.
Как только подключенное устройство (в /dev /mapper) было создано, я удалил диск, содержащий заголовок. Я был в состоянии читать-писать, используя это сопоставленное устройство. Конечно, мне понадобится заголовок снова, если я закрою подключенное устройство.
Я вполне уверен, что фактические ключи хранятся в связке ключей ядра, где они хранятся безопасно и изолированы от других пользователей. (По крайней мере, так же безопасно, как и все на компьютере, пользователь / процесс с доступом с правами root также может читать что угодно).
Картограф знает, где находится устройство и насколько он большой, и ключ. Вы можете увидеть общие параметры со losetup и cryptsetup status и попытаться увидеть список ключей ядра с помощью keyctl .
Вам действительно не нужен заголовок снова, если вы не хотите добавить / удалить / отредактировать ключ. Я сомневаюсь, что вам понадобится заголовок снова, чтобы закрыть устройство, так как "закрытие" просто забывает ключ и прекращает его дешифрование.
