Para obtener la máxima seguridad de FileVault2, ¿por qué se recomienda la hibernación?

Muchas discusiones sobre la seguridad de FileVault 2 sugieren usar:

sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25

Algunos de esos debates afirman que las claves FileVault se almacenan en la RAM durante el uso normal despierto, mientras que otras dicen que están almacenadas en el firmware EFI.

1. ¿Dónde se almacenan las claves mientras la máquina está despierta y funcionando en RAM o en firmware?

2. ¿Qué hace precisamente destroyfvkeyonstandby? Por ejemplo, si elimino un archivo, puedo recuperarlo porque no está borrado. ¿ destroyfvkeyonstandbyRealiza una liberación de memoria (borrar) o un borrado (sobrescribiendo la memoria que se estaba usando para mantener presionada la tecla)?

3. Si lo uso destroyfvkeyonstandby, ¿qué beneficio hay al entrar en modo de hibernación inmediatamente (aparte de ahorrar energía)? Si se ha borrado la clave, ¿qué peligro hay al dejar la RAM encendida?

1. Durante el uso normal, las claves se almacenan en la RAM, lo que las hace vulnerables a un ataque DMA sobre Firewire o Thunderbolt (usando algo como Inception ). Este es un antiguo conjunto de ataques, y Apple en realidad deshabilita parte de la funcionalidad de esos dispositivos durante algunos modos de suspensión (por ejemplo, hibernatemode 25que elimina la energía de la RAM después de descargar su contenido en el disco; para mayor seguridad, también debe deshabilitar Fast User Cambio , ya que es otro vector de ataque).

2. Eso es lo único que tiene sentido que haga Apple, ya que es bastante trivial. Se podrían obtener más detalles de este análisis de FileVault 2 , cortesía de algunos investigadores de seguridad de Cambridge.

3. La RAM también se puede escribir en (ver Inicio ) para omitir la contraseña real; volcar en el disco y volver a cargar en Wake garantizará que el contenido sea a prueba de manipulaciones.