Primero que nada, hay formas de montar particiones encriptadas sin tener que ingresar la frase de contraseña manualmente o almacenarla en el sistema que está protegido. Mire Mandos para ver un ejemplo de esto; es básicamente una aplicación cliente / servidor que almacena la clave para desbloquear el contenedor encriptado separado del propio contenedor. Por lo menos, un atacante tendría que acceder al contenido de ambos sistemas para poder eludir la seguridad. Una alternativa a esto podría ser algo como el YubiHSM o incluso solo una solución de baja tecnología de unos pocos dispositivos USB conectados a Los llaveros de los empleados de confianza. Esto hace que su problema sobre tener que ingresar la contraseña en el arranque o almacenarlo en el propio sistema sea discutible.
En segundo lugar, el cifrado de disco completo (o incluso de una partición completa) permite una destrucción de datos eficiente y razonablemente confiable: con cualquier cripto medio competente, si tira las claves, los datos se vuelven inaccesibles. Esto puede ser importante si está desconectando un disco duro que no responde normalmente a los comandos del host. También significa que no tiene que preocuparse en absoluto por la reubicación de sectores a nivel de unidad en términos de remanencia de datos (y probablemente puede descartar ese asunto por completo).
Dicho esto, obviamente, mientras el sistema está ejecutando el sistema de archivos cifrado debe ser completamente accesible, por lo que hay muchos vectores de ataque que no protegen en absoluto el cifrado de disco completo. Sin embargo, agrega una capa adicional de dificultad para alguien que quiere atacar los datos en reposo, con un costo potencialmente marginal para el defensor. Para muchas situaciones, especialmente si puede manejar el problema de administración de claves, tal compensación puede tener sentido.