A única maneira de evitar a desfeita de arquivos sem acesso no nível de setor ao disco e conhecimento do sistema de arquivos é abrir um arquivo, gravar dados aleatórios nele até que o disco esteja cheio e, em seguida, excluir o arquivo. E se as coisas estão sendo sombreadas, isso provavelmente não ajuda.
Se o usuário não puder acessar a chave, os dados no arquivo serão inúteis e você também não precisará se preocupar em excluí-la. Se o comprimento do arquivo puder fornecer informações, preencha seus dados antes de escrever.
Se você quiser que apenas uma única chave trabalhe na criptografia / descriptografia desse arquivo, será necessário derivar chaves de sessão exclusivas de uma chave mestra de upstream.
Note que se você estiver armazenando chaves, ou coisas que são usadas para derivar chaves, no mesmo lugar que o texto cifrado, você está implementando um sistema fundamentalmente quebrado que sempre pode ser quebrado eventualmente.