Ciò che hai descritto funzionerà perfettamente e suggerirei di utilizzare nuovamente TrueCrypt per crittografare il file di chiavi, dato che tutti i partecipanti sanno già come usarlo. Crea semplicemente una partizione TrueCrypt sul dispositivo USB e inserisci il file chiave non crittografato in quella partizione.
In questo modo ha anche il vantaggio che è impossibile per un utente lasciare accidentalmente il file chiave non crittografato. Se si dovesse utilizzare la crittografia dei file come openssl
per crittografare e decrittografare il file di chiavi, sarebbe possibile che qualcuno dimenticasse di ricodificare il file di chiavi una volta che ha finito di usarlo. L'utilizzo di una partizione crittografata tramite TrueCrypt significa che ciò non è possibile, il che è positivo.
Lo svantaggio è che hai più copie del tuo file di chiavi sparse per il posto. Alcuni utenti potrebbero pensare che collegare l'USB, inserire la propria password personale e accedere al file di chiavi ogni volta che vogliono accedere alla partizione TrueCrypt condivisa è una seccatura, e non c'è nulla che impedisca loro di copiare non crittografato keyfile sul loro disco locale, per comodità, che interrompe la crittografia per tutti.
Stai anche facendo affidamento sulla forza della password personale più debole, che con un numero elevato di utenti è probabilmente molto debole.
Hai anche il problema di revocare l'accesso: è difficile rimuovere una persona dalla "cerchia di fiducia" perché tutti conoscono la stessa chiave. Dovresti ridistribuire / sostituire la partizione TrueCrypt con una nuova chiave master e aggiornare i file di chiavi di tutti in modo che corrispondano.
LUKS risolve molti di questi problemi consentendo a più password di sbloccare lo stesso disco. Se le autorizzazioni sono configurate correttamente, è impossibile per un utente ottenere la chiave master per un disco, anche se quell'utente conosce una password valida per quel disco. Ciò semplifica la revoca degli accessi.