Si alguien puede obtener el id_rsa, puede hacerlo sin esfuerzo (?) para obtener la contraseña del id_rsa de la memoria, porque está almacenada en la memoria en un formato de texto simple?
No es trivial obtener acceso al contenido completo de la RAM de una máquina. Pero si alguien tiene acceso al contenido de su máquina, entonces esa máquina ha sido total y completamente de su propiedad, incluido todo lo que contiene.
P: con FDE, ¿vale la pena usar pwd en id_rsa?
El almacenamiento de información privada (por ejemplo, claves SSH) encriptada incluso en máquinas con FDE es justificable. Cualquier proceso que se ejecute en esa máquina en cualquier contexto (incluido el código que no es de confianza) no se ve obstaculizado por el cifrado completo del disco, ya que el SO descifra el disco de forma transparente sobre la marcha.
En cambio, el cifrado de disco completo evita que el disco se lea "en reposo", fuera del contexto de su sistema en ejecución.
En cuanto a si las credenciales se almacenan en la memoria no incrustadas, ese sería un detalle de implementación específico para un producto determinado. Pero ya que realmente no hay otra forma de usar la clave, excepto para descifrarla, lo más probable es que sí.