1. Одновременно - не получится, любой из LUKS-слотов расшифровывает диск. Какой при монтировании вы задействовали (с ключом или паролем) - тот и сработает.
2. Да, выносить /boot, в Debian - прекрасно работает (только не забывайте при обновлении вставлять флешку). Но это тоже "относительная" защита, не тянет она на двухфакторную, т.к. по сути, зная пароль, к данным получить доступ не составит труда. Поэтому имеет смысл критичные данные выносить на отдельный раздел, шифровать его с применением ключа. Ключ на флешке неочевидный файл, (постороннему, завладевшему флешкой должно быть абсолютно непонятно, что именно является ключом). Но корень шифруется с вводом пароля, поэтому, добраться до /etc/crypttab, в котором монтируется раздел (и указывается ключ), не зная пароля - не получится