Se você habilitar a Criptografia de Diretório Inicial do Ubuntu, seu diretório $HOME terá permissões 700 ( rwx------ ) quando montadas e permissões 500 ( r-x------ ) quando não estiverem montadas. Isso significa que você é o único usuário não-root que poderá ler / gravar / navegar em seu diretório inicial quando montado. E quando não estiver montado, você poderá ler / navegar, mas não modificar o conteúdo do seu diretório pessoal. Isso tem o objetivo de evitar que você grave inadvertidamente dados não criptografados em seu diretório pessoal.
Isto está em contraste com as permissões padrão do Diretório Inicial do Ubuntu, que são 755 ( rwxr-xr-x ). Essa permissão permite que qualquer usuário local no sistema leia e procure em seu diretório pessoal. Este padrão foi escolhido para o Ubuntu há muito tempo, no interesse de "compartilhar" e "abertura".
Estes são chamados de Controles de Acesso Discricionário (DAC), e vêm desde os primeiros dias do próprio UNIX.
O usuário root (talvez através do sudo , como você mencionou acima), é privilegiado de forma a permitir o acesso a qualquer arquivo ou diretório , independentemente das permissões do DAC em vigor. Isso significa que sim, enquanto o seu diretório pessoal é montado, o usuário root pode navegar no seu diretório pessoal.
No entanto, quando o seu diretório home não está montado, o usuário root precisaria de sua senha de login (ou, mais especificamente, sua passphrase de montagem gerada aleatoriamente) para montar e descriptografar seus dados.
Em geral, o sistema de arquivos criptografados que usamos (eCryptfs) destina-se a proteger seus dados em repouso no disco rígido, em vez de protegê-lo de seu próprio usuário root.
Divulgação completa: Eu sou o autor do recurso Encrypted Home Directory do Ubuntu e o mantenedor atual do eCryptfs.