Lo que ha descrito funcionará perfectamente bien, y sugeriría usar TrueCrypt nuevamente para cifrar el archivo de claves, dado que todos los participantes ya saben cómo usarlo. Simplemente cree una partición TrueCrypt en el dispositivo USB y coloque el archivo de clave no cifrado en esa partición.
Hacerlo de esa manera también tiene la ventaja de que es imposible para un usuario dejar el archivo de clave sin cifrar accidentalmente. Si utilizara el cifrado de archivos como openssl
para cifrar y descifrar el archivo de claves, es posible que alguien olvide volver a cifrar el archivo de claves una vez que haya terminado de usarlo. El uso de una partición encriptada a través de TrueCrypt significa que esto no es posible, lo cual es bueno.
El inconveniente aquí es que tiene varias copias de su archivo de claves distribuidas alrededor del lugar. Algunos usuarios pueden pensar que conectar un USB, ingresar su contraseña personal y acceder al archivo de claves cada vez que desean acceder a la partición TrueCrypt compartida es una molestia, y no hay nada que impida que copien el sin cifrar archivo de claves en su disco local por conveniencia, que rompe el cifrado para todos.
También confías en la fortaleza de la contraseña personal más débil, que con un gran número de usuarios probablemente sea muy débil.
También tiene el problema de revocar el acceso: es difícil eliminar a una persona del "círculo de confianza" porque todos conocen la misma clave. Tendría que redistribuir / reemplazar la partición TrueCrypt con una nueva clave maestra y actualizar los archivos de claves de todos para que coincidan.
LUKS soluciona muchos de estos problemas permitiendo que varias contraseñas desbloqueen el mismo disco. Si los permisos se configuran correctamente, es imposible que un usuario obtenga la clave maestra para un disco, incluso si ese usuario conoce una contraseña válida para ese disco. Esto hace que la revocación de acceso sea muy fácil.