假设我想要一个带有全盘加密的 Ubuntu 设置(让它成为 12.04)。Ubuntu 在安装过程中提供了这个选项。
还假设我有其他人(例如我的供应商)为我设置了这个,并且我只得到了包含预定义加密密码(当然还有所有其他密码)的完整系统。
即使我更改了加密密码(以及可能的其他密码),此人是否可以通过任何方式可靠地保留对设备上加密数据的访问权限?
(请注意,我不是在谈论普通的后门,例如安装 SSH 密钥或 root shell 或修补某些守护程序以接收来自外部的命令。我专门谈论针对全盘加密的后门,并且可能无法关闭而不必重新安装或重新加密整个系统。)
例如,使用 TrueCrypt 可以(或曾经)保存加密硬盘的第一个扇区,因为它只使用密码来加密主密钥(然后用于加密数据) - 如果您替换两个密码并通过在密码更改后替换这些扇区来加密主密钥,您实际上可以撤消加密密码更改。
使用 dm-crypt/LUKS 可以实现类似的功能吗?如果没有,有什么类似的吗?