Nota: AlexP respondeu a pergunta perfeitamente em seu comentário neste post, esperando por ele para postar uma resposta para que eu possa marcá-lo como resolvido. Existem outras informações úteis complementares no comentário sobre o que realmente está sendo criptografado / descriptografado.
Gostaria de saber se a pasta inicial dos usuários raiz está criptografada com a criptografia de pasta base comum e, em caso afirmativo, como ela funciona? Desde criptografia de pasta de casa criptografa / descriptografa no login, está inicializando o sistema considerado um usuário root de login?
O motivo pelo qual eu me pergunto é porque eu quero proteger minhas máquinas virtuais com criptografia em um estado desconectado (para meu usuário normal) e também protegê-los de copiar em um estado conectado, isso eu sei também pode ser feito com permissões de usuário.
Então: Quando o usuário está logado, posso rodar a VM com o sudo, as VMs não podem ser copiadas por um adversário se o meu computador estiver logado e, se eu fizer logout, elas estiverem criptografadas. A solução mais simples para mim agora parece mover os arquivos da raiz para a casa do usuário.
Desculpe se esta é uma pergunta estúpida e eu perdi algo óbvio. Atenciosamente.