Tenho certeza de que as chaves reais estão armazenadas no chaveiro do kernel, onde são armazenadas com segurança & isolado de outros usuários. (Pelo menos tão seguro quanto qualquer coisa no computador, um usuário / processo com acesso root pode ler qualquer coisa também).
O mapeador sabe onde o dispositivo é & quão grande é, e a chave. Você pode ver os parâmetros gerais com losetup e cryptsetup status e tentar ver o chaveiro do kernel com keyctl .
Você realmente não precisa do cabeçalho novamente, a menos que queira adicionar / excluir / editar uma chave. Duvido que você precise do cabeçalho novamente para fechar o dispositivo, já que "fechar" apenas esquece a chave & para de descriptografar.