Si estoy usando el cifrado de disco completo en la computadora de mi hogar y está en línea, ¿están cifrados los contenidos del disco duro cuando inicio sesión y uso la máquina (desde la perspectiva de un atacante en línea, sin acceso físico) solo ver datos encriptados)? Del mismo modo, ¿qué pasa cuando la máquina está bloqueada?
En la perspectiva del atacante en línea, FDE no es nada. FDE está diseñado para proteger contra un atacante sin conexión que copia su disco o le roba su computadora. Una vez que el FDE esté "desbloqueado", estará accesible, independientemente de si el sistema operativo de la computadora está bloqueado (Win + L) o lo que sea. Lo único que puede protegerse contra un atacante en línea es una buena seguridad en forma de firewalls, IPS y software antivirus. La única forma en que puede "bloquear" un FDE es apagar la computadora por completo. Incluso Bitlocker no se "bloquea" cuando Windows dentro, solo Bitlocker lo hace, es asegurarse de que la ruta de inicio no esté comprometida Antes de permitir el descifrado (inicio seguro + TPM), evitando así eludir el proceso de inicio de sesión de Windows. Si hay agujeros de seguridad que permiten el acceso en línea a sus datos mientras su computadora está desconectada o bloqueada, entonces usted está atrapado de todos modos.
También el cifrado de archivos individuales es una buena protección, siempre que no obtenga un keylogger. Entonces te fumas de todos modos. La forma más segura de proteger un archivo contra el acceso en línea, es almacenarlo en una memoria USB que normalmente NO está conectada a la computadora. Por supuesto, debe verificar cada vez que su computadora NO esté comprometida antes de conectar esta unidad USB. Para los paranoicos, sugeriría iniciar un sistema operativo seguro conocido, por ejemplo, un sistema operativo que se encuentre dentro de una memoria USB con un botón físico de solo lectura o un CD en vivo. No necesita cifrar el archivo si su escenario de amenaza no incluye atacantes sin conexión.
Para descifrar sus datos, la persona necesitaría comprometer su sistema. Si la persona que comprometió su sistema logró ejecutar un keylogger u otro programa con derechos de administrador en su sistema, podría realizar un volcado de memoria (ram) y extraer claves de cifrado de su computadora. Registrar el sistema o realizar un volcado de memoria podría llevar al descifrado de sus datos.
Lea otras preguntas en las etiquetas encryption disk-encryption