Parece que você pode carregar teclas externas no Nitrokey com um comando GPG chamado "keytocard"
- gerar arquivo-chave
- copia o arquivo de chave para Nitrokey (keytocard)
- arquivo de chave de exclusão segura do HDD
- use o arquivo-chave no Nitrokey para criptografado \ decifrar como normal
Existem muitas opções para contêineres criptografados, sendo o VeraCrypt o mais fácil de usar.
Aqui está a documentação oficial do Nitrokey: link
Se você já tem um container que é criptografado com uma chave, basta copiar aquele, testá-lo e se ele funciona do Nitrokey, basta apagar a cópia no HDD. Agora a única cópia restante está na chave.
(Você pode querer um backup)