Ao instalar o Ubuntu 12.10 e superior, você tem a opção de criptografar o unidade inteira (não apenas o diretório inicial). Qual mecanismo de criptografia é usado para isso e que tipo de permissões de acesso são suportadas?
Se você usar a criptografia completa de disco, será necessário inserir sua chave uma vez durante a inicialização para desbloquear o disco rígido. Ele não fornece proteção de acesso a arquivos - uma vez desbloqueado, qualquer usuário (local ou remoto) tem acesso "normal". O caso de uso para a criptografia de disco completo é se o seu disco rígido for roubado ou algo assim, ninguém pode acessar seu sistema / dados.
O mecanismo de criptografia:
usa os padrões de Cryptsetup com LUKS para AES no modo XTS_plain64, uma chave de 256 bits com hash de senha SHA1 executada por 1 segundo de PBKDF2, portanto, a quantidade de iterações depende da força de sua CPU. As áreas de sistema (/ ou 'root'), home e swap são todas inseridas em um volume lógico criptografado. A partição de inicialização deve ser separada no Linux FDE, não importa qual configuração ou distribuição e para a maioria, ela também deve ser descriptografada (exceções: Arch e Gentoo), portanto / boot é aberto a invasores com acesso físico ao computador. O Ubiquity faz uma partição de boot ext2 em torno de 250 MB de tamanho. [Fonte - tem uma boa visão geral]
As permissões de acesso suportadas são basicamente "bloqueadas" e "desbloqueadas"; qualquer pessoa com uma senha válida pode desbloquear e ler qualquer arquivo (assumindo acesso físico = acesso root).