如果解密仅依赖于密钥文件并且此密钥文件很容易获得，那么您的设置确实没有显着的安全优势。

您可以做的是将密钥文件存储在可移动设备（例如 USB 记忆棒）上，并在您不在时将其分离。只有当您在场并且连接了可移动设备时，才能进行解密。

如果您想确保只能在您的系统上解密可移动设备，则将密钥文件存储在本地是有意义的。如果您想在不同的地方使用加密设备，您也可以将密钥文件分发到其他系统。如果您在运输过程中丢失了可移动设备，几乎不会造成任何伤害，因为它只能在具有您的密钥文件的系统上解密。

虽然Demento 的回答很好，但我还要介绍我个人使用的另一个用户案例：我设置了全盘加密——在基于 Linux 的机器上使用 LUKS，该方案的实现如下：

• 引导分区是加密的，需要输入密码，以便引导管理器 (GRUB) 能够挂载它。
• 该分区包含内核映像和所谓的“ initramfs”，这是一个“早期启动用户空间”，用于启动系统的其余部分。此映像包含用于解密其他附加的 LUKS 加密分区的未加密密钥。
  图像以尽可能严格的权限保存。

这种设置的好处是它要求用户只输入一次密码。
明显的缺点是，如果攻击者设法解密了引导分区，他们会自动获得对剩余磁盘空间的访问权限；如果攻击者以某种方式设法在正在运行的系统上安装本地根漏洞利用程序以访问initramfs由 LUKS 子系统导出的解密分区上可用的映像，则它可以访问除引导以外的分区（尽管在这种情况下由于分区已经解密和导出，他们将立即获得此类访问权限）。

在这里，使用密钥来加密数据存储是为了取代提供密码的需要（假设密钥本身以相当安全的方式保存）。

令人惊讶的是，没有人提到 TPM 作为附加措施。

不能防止“天知道是什么”攻击，但确实提供了比密钥文件更多的保证，特别是防止引导过程攻击（如果使用密封的 PCR 正确完成），为您提供一些额外的引导设备安全性。

TPM 上的 PIN 应该可以简化您的密码短语或 FIDO 设备。

踩在巨人的肩膀上：

• 使用 TPM 进行全盘加密的正确方法
• TPM 和 LUKS

话虽如此，建议您认真考虑一下您真正想要防止什么 - 被盗设备（所以坏人无法使用您的数据），执法部门的取证/解密尝试（如果您生活在一个没有堆叠的国家如果您是持不同政见者，对您有利），或者您只是在向任何人隐藏您的无尽收藏。YMMV。

安全性通常是通过 a) 你拥有的东西加上 b) 你知道的东西来实现的，比如笔式驱动器上的密码保护文件？