O sistema operacional convidado é executado dentro do host. O anfitrião tem controle total sobre tudo o que o hóspede faz e tudo o que entra ou sai do hóspede. Assim, qualquer informação confidencial que se torne acessível ao convidado também é acessível ao host. Um processo desonesto no host pode acessar tudo no guest, supondo que ele tenha permissões suficientes para depurar o processo da VM.
A "ocultação" de informações confidenciais em um convidado melhora levemente a segurança, pois esse malware estúpido de coleta de dados não notará. Mas isso não melhora a segurança contra invasores sofisticados ou até mesmo contra alguns malwares comuns. Por exemplo, digitar uma senha no convidado é tão arriscado quanto digitá-la em um processo de host.
Por outro lado, a execução de processos confidenciais em uma máquina virtual não agrava a segurança (exceto pelo fato de que a complexidade adicional é inerentemente ruim para a segurança). Assim, as respostas às suas perguntas são 1: não; 2: sim, tornando seu esquema inútil; 3: mesmo.
Se você deseja obter segurança da virtualização, execute software não confiável com menos privilégios que o software confiável, não a maioria. Execute os programas potencialmente infectados por malware em uma máquina virtual e seus arquivos confidenciais e o software de criptografia no host ou em uma máquina virtual separada. Isso não lhe dá segurança absoluta, mas fornece uma melhoria significativa. Idealmente, congele as máquinas virtuais que contêm software não confiável enquanto manipula dados confidenciais no host ou em outra máquina virtual.