In che modo OS X conserva la password di FileVault durante i riavvi in ​​un aggiornamento?

Per motivi di sicurezza, mi chiedo come sarebbe possibile per un aggiornamento di OS X (ad esempio da Mavericks a El Capitan), riavviare il mio Mac più volte senza chiedermi la password di FileVault 2?

Voglio dire, l'intero disco è crittografato e anche un programma di installazione di OS X non potrebbe conoscere la password dopo un riavvio. Nonostante ciò, si riavvia una o più volte senza chiedermi la mia password.

Pertanto sospetto che Apple memorizzi la mia password da qualche parte, su disco, in NVRAM o online, almeno durante il processo di aggiornamento. In tal caso, non sarebbe una seria preoccupazione per la sicurezza?

Qualcuno può far luce su questo? Come funziona?

C'è una funzionalità di OS X chiamata riavvio autenticato che memorizza la chiave FileVault nell'SMC per la durata del riavvio. Apple riconosce nella manpage che riduce la sicurezza di FileVault per la durata del riavvio:

Sull'hardware supportato, fdesetupconsente il riavvio di un sistema abilitato a FileVault senza richiedere lo sblocco durante l'avvio successivo utilizzando il authrestartcomando.

ATTENZIONE: le protezioni FileVault vengono ridotte durante i riavvii autenticati.

In particolare, fdesetupmemorizza deliberatamente almeno una copia aggiuntiva di una chiave di sblocco permanente FDE (crittografia completa del disco) sia nella memoria di sistema sia (nei sistemi supportati) in System Management Controller (SMC). fdesetupdeve essere eseguito come root e richiede una password per sbloccare il volume root di FileVault. Utilizzare pmset destroyfvkeyonstandbyper impedire il salvataggio della chiave in modalità standby. Una volta authrestartautenticato, viene avviato reboot(8)e, in caso di sblocco riuscito, la chiave di sblocco verrà rimossa.