Unabhängig von der verwendeten Software funktioniert Datenträgerverschlüsselung meist so:
Beim erstmaligen Anlegen des Volumes wird ein zufallsgenerierter Master Key erstellt. Das macht die Software automatisch im Hintergrund und diesen Key kannst du nicht selber beeinflussen. Der Master Key wird zur Ver-/Entschlüsselung des Volumes verwendet und wird im Volume Header gespeichert. Da aber ein im Klartext hinterlegter Master Key witzlos wäre, wird dieser selbst wiederum nur in verschlüsselter Form abgespeichert (denn sonst könnte man sich die Verschlüsselung ja auch gleich sparen). An der Stelle kommt dein Passwort ins Spiel. Das Passwort (genauer gesagt: der Hashwert des Passworts) wird zur Verschlüsselung des Master Keys im Header benutzt. Das ermöglicht es dir das Passwort jederzeit ändern zu können, ohne das ganze Volume neu verschlüsseln zu müssen, denn der Master Key ändert sich dabei nicht. Er wird nur mit einem anderen Passwort neu verschlüsselt.
Das hat zur Folge: Wenn jemand Zugriff auf das Volume und gleichzeitig auf das Passwort hat, kann er sich den Master Key im Klartext aus dem Header extrahieren („Header Backup“). Selbst wenn du jetzt das Passwort änderst, könnte er beim Zugriff auf das Volume einfach wieder den alten Header zurückspielen und sich somit weiterhin Zugriff auf den Inhalt des Volumes verschaffen (denn der Master Key ist ja gleich geblieben).
Den Master Key zu ändern geht meist nicht, weil dafür das gesamte Volume neu verschlüsselt werden müsste. Je nach Größe kann das sehr lange dauern. Schon eine 2 TB Festplatte vollzuverschlüsseln dauert mehrere Stunden.
Hast du also das Gefühl, dass dein Passwort entwendet wurde und der Angreifer gleichzeitig Zugriff auf das Volume hatte, hilft nur eines: Volume einstampfen und komplett neu verschlüsseln.