Debian, aes-xts, бэкап зашифрованого винта с помощью dd и безопасность (вопрос чайника)

Имеется Debian, винт (кроме /boot) зашифрован aes-xts при установке, стандартными средствами. Крайне удобно делать его побитовый бэкап в отдельный файл, на винт большего размера, при помощи dd. В случае отказа основного винта, подкупает именно простота разворачивания системы со всеми настройками, а бэкап раз в неделю вполне приемлем и ненапряжен. Однако, как я понял из faq^[link1] не рекомендуется делать побитовые бэкапы зашифрованых контейнеров. Однако, как быть, если я не хочу использовать небезопасные решения, но хочу сохранить удобство побитового бэкапа основного винта? Будет ли безопасным решение, когда винт большего размера будет зашифрован полностью, а уже на зашифрованый винт, в отдельные файлы, будут бэкапиться побитовые образы винтов, на которые установлены зашифрованые операционные системы?