Quando parliamo di sicurezza, stiamo parlando di sicurezza dei dati. In questo caso non sono solo gli algoritmi di crittografia a dover essere considerati, ma l'implementazione di esso e il software utilizzato.
Ci sono esempi di quando la tecnologia crittografica mal implementata significava che si potevano ottenere informazioni significative sui dati "crittografati" o persino sui dati originali stessi. L'esempio principale è di solito SSL in cui non viene eseguita alcuna convalida del certificato, il che significa che interromperla è una semplice questione di intercettare lo scambio di certificati e iniettare il proprio.
Quello che devi chiederti è quanto sia ben controllato il software che implementa la crittografia. Probabilmente TrueCrypt è la soluzione più matura, oltre a essere sottoposta a un auditing pubblico sponsorizzato da alcune grandi società di infosec: link . Questi controlli vengono eseguiti perché in realtà non si sa se in qualsiasi punto l'implementazione della crittografia abbia un punto debole. Ci vuole solo una fessura nella catena per esporre i dati sensibili.
Per questo motivo, vorrei che TrueCrypt fosse "più sicuro" di EncFS - ma la realtà è che potrebbero essere entrambi altrettanto sicuri. Senza rivedere il codice sorgente, che è un compito importante, non puoi sempre dirlo.