Un disco duro externo está conectado a un sistema Debian a través de USB. El disco está encriptado usando LUKS cryptsetup y está correctamente abierto y montado utilizando luksOpen.
Ahora, si alguien simplemente desconecta la unidad e intenta leer los datos, ¿Tiene alguna ventaja del hecho de que el dispositivo no ha sido correctamente desmontado y cerrado con luksClose?
No.
Pero su RAM o swap quizás podría usarse para robar la clave. En el caso de RAM, esto requiere hardware especial IIRC.
Hay ataques complejos de sidechannel que ya no son tan teóricos, pero no son comunes. Para evilmaid, hay anti-evilmaid, o simplemente controlar el arranque desde medios extraíbles con una contraseña.
He tenido algo de amor hibernando sistemas, haciendo algunas cosas, y volviéndolos a poner. Esto también se evita con una contraseña de arranque.
Lea otras preguntas en las etiquetas disk-encryption