Eu não vejo o ponto de descriptografá-lo primeiro também.
Dados criptografados são, para todos os fins e propósitos, apenas ruído aleatório.
(Se não é você não está fazendo certo ...)
Desde que a nova imagem seja feita com uma imagem de disco completo, o que inclui o bootloader / bootsector e define o final da última partição corretamente no final do disco, caso o disco seja maior do que a própria imagem, realmente não há diferença entre fazer uma re-imagem com ou sem descriptografar primeiro.
Na verdade: Se você descriptografar primeiro e depois recriar a imagem com uma imagem que NÃO cobre o disco inteiro, você realmente exporá dados antigos!
Então, descriptografar é um risco de segurança nesse caso.
Quem apresentou essa política para decifrar primeiro deve ser baleado, arrastado e esquartejado IMHO.
É um desperdício inútil de tempo e esforço. E um possível risco de segurança.