Según tengo entendido, la partición /data del dispositivo permanece descifrada una vez que se ha desbloqueado un dispositivo cifrado durante el arranque. ¿Por qué Android tiene que mantener las claves de cifrado dentro de la RAM si en realidad no ocurre ningún desencriptado / cifrado "en vivo"?
Creo que entiendes mal el concepto. La partición cifrada no se descifra completamente durante el montaje, luego se almacena en algún lugar del dispositivo y luego se vuelve a cifrar (para guardar los cambios) cada vez que la partición se desmonta. En cambio, la clave se conoce con el núcleo (es decir, se encuentra en la RAM) y, por lo tanto, puede descifrar y cifrar los datos sobre la marcha.
Lea otras preguntas en las etiquetas android disk-encryption