Я вполне уверен, что фактические ключи хранятся в связке ключей ядра, где они хранятся безопасно и изолированы от других пользователей. (По крайней мере, так же безопасно, как и все на компьютере, пользователь / процесс с доступом с правами root также может читать что угодно).
Картограф знает, где находится устройство и насколько он большой, и ключ. Вы можете увидеть общие параметры с помощью losetupи cryptsetup status, и попытаться увидеть связку ключей ядра с помощью keyctl.
Вам действительно не нужен заголовок снова, если вы не хотите добавить / удалить / отредактировать ключ. Я сомневаюсь, что вам понадобится заголовок снова, чтобы закрыть устройство, так как «закрытие» просто забывает ключ и прекращает его дешифрование.