куда идут данные, записанные в дескриптор файла, который никогда не открывался

Это зависит от вашей точки зрения. Это более безопасно, так как ключевые файлы обычно действительно случайны, а парольные фразы, как правило, короткие и слабые.

Опять же, парольная фраза сама по себе требует около 5 долларов для взлома, либо с помощью ключа кейлоггера, либо модифицированного загрузчика/initramfs, либо печально известного XKCD дешифровального ключа. То же самое относится и к ключевым файлам, если это только тот файл на USB-накопителе, а загрузчик/initramfs не защищен на жестком диске.

С другой стороны, USB-ключ дает доступ любому, если вы оставите его подключенным к сети вместо того, чтобы постоянно носить его с собой. Любой может скопировать USB-накопитель без присмотра быстро и легко...

Я делаю и то, и другое... USB-ключ, который содержит загрузчик, ядро, initramfs с ключевыми файлами, зашифрованными с помощью LUKS, для доступа к которым требуется парольная фраза. Таким образом, для разблокировки вам потребуется и ключ, и парольная фраза. Не уверен, что вы можете назвать это двухфакторной аутентификацией — это предел того, что я был готов сделать, сохраняя при этом практичность. (Загрузочный USB-накопитель также полезен для переноски дюжины LiveCD).

Какова ваша модель угроз, вы вообще об этом думали?

Если вы позволите мне переехать в ваш дом, вы хотите, чтобы я мог получить доступ к вашим данным практически без усилий?

Если вы завтра умрете, вы хотите, чтобы ваши родственники могли расшифровать ваши вещи?

С USB-ключом, который не использует кодовую фразу, это было бы возможно — и желательно для тех семейных фотографий, копия которых есть только у вас...

У меня есть сервер, который расшифровывает себя при загрузке [используя аппаратные отпечатки пальцев, такие как как процессор, оперативная память, MAC-адрес, ...], никакого взаимодействия вообще не требуется ... модель угрозы здесь заключается в том, что кто-то может извлечь диск и положить его в ящик другого клиента или что-то в этом роде.