Em primeiro lugar, qualquer operação que envolva a movimentação de vários dados no disco, como a criptografia de um contêiner LUKS, tem o risco inerente de perda de dados. A única medida que você pode tomar contra a perda de dados é ter um backup confiável.
WARNING: The cryptsetup-reencrypt program is not resistant to hardware or kernel failures during reencryption (you can lose you data in this case). ALWAYS BE SURE YOU HAVE RELIABLE BACKUP BEFORE USING THIS TOOL. - source:
man cryptsetup-reencrypt
Dito isto, sim, o cabeçalho LUKS roubado pode ser usado para desbloquear o contêiner LUKS. A razão é que as frases secretas nunca são usadas para criptografar os dados. Em vez disso, uma chave de criptografia completamente diferente é usada. E essa chave nunca é alterada; A menos que você reescreva o contêiner LUKS, que é essencialmente o que o cryptsetup-reencrypt faz. A (s) senha (s) simplesmente fornece uma maneira de acessar a chave de criptografia real.