Аппаратный ключ для расшифровки маскирующего устройства на USB-накопителе

Я разработчик. Я использую Debian, и у меня есть хранилище LUKS для моих проектов. Он зашифрован ключом AES 512 бит. Я использую пароль для расшифровки этого хранилища. Однако пароль надежный, и я меняю его каждые N месяцев. Что я хочу сделать, так это создать другой ключ (LUKS это позволяет) для моего хранилища и сохранить его где-нибудь в коробке с USB-накопителями (около сотни из них не спрашивают меня, почему) в качестве плана резервного копирования, если я забуду пароль или буду нужно позволить кому-то открыть хранилище, не сообщая действительный пароль.

Моим первым самым простым решением было создать что-то вроде этого: первый раздел - это vfat, который использует 99% пространства. И последний раздел размером 1% будет содержать только ключевой файл. Я даже смогу написать сценарий типа "Подключить ключ восстановления", который будет искать FS ID. Это не было бы подозрительно для пользователей Windows, но я мог бы сделать это лучше. Итак, теперь возникает вопрос: как сделать это лучше (лучше с точки зрения безопасности)? Моя лучшая мысль заключалась в том, чтобы записать 512-битный ключ между разделами или сразу после одного большого раздела без создания другого раздела для ключа, но проблема в том, что я не уверен, могут ли эти данные быть перезаписаны или нет (они не используются FS так что это может быть использовано для чего-то еще?). И я действительно не знаю, как получить к нему доступ позже (я думаю, "dd" может читать из точного блока для точной длины). Спасибо за любой ответ.