Получается, у нее своя ключевая фраза (пароль) на дешифрацию, не зависящая от пароля пользователя.
Именно! Парольная фраза ecryptfs хранится в кейринге, который открывается при логине пользователя, открывается он либо отдельным паролем (если он не совпадает с паролем пользователя) либо паролем пользователя (что он ввел при логине).
Т.о. подменив пароль пользователя ни к хранителю паролей вы доступ не получите, ни к зашифрованному хомяку (т.к. не получите парольную фразу из хранителя).
Реальный путь тут выше описали - внедрить в систему кейлоггер и подловить ввод пароля пользователя (не меняя его) и дальше уже не взлом а вполне стандартное открытие всего и вся. Вопрос только остается - получить доступ два раза к компу (один раз для внедрения кейлоггера, а второй раз для использования результатов внедрения). Ну и сам кейлоггер, такой что бы не обратил на себя внимания... и смог внедрится в процесс ввода пароля....
Если же не хранить парольную фразу в кейринге, или шифровать весь коень (так же без сохранения парольной фразы), то кейлоггер надо внедрять уже в процесс инициализации ядра (скрипты и бинарики initrd). Что уже труднее замаскировать от параноика на почве безопасности...
Кроме всего этого можно организовать загрузку с внешнего устройства - тогда (если устройство от компа уносится) - внедрять кейлогер уже некуда - весь диск при этом шифрованный, и без passphrase - не доступен ни для чтения ни для модификации. Только попортить можно - больше ничего не сделаешь.
Но и это не 100% - против паяльника - средств нет
Хотя и в этом случае (выдача пароля под давлением) есть решение на truecrypt - скрытый раздел в криптотоме - от внешнего контейнера - пароль можно сообщать под давлением и держать в нем нечто персональное, но ни противозаконное, тогда все противозаконное - только в скрытом. Обнаружить скрытый открыв внешний - не возможно (по крайней мере в теории)...