Per la massima sicurezza di FileVault2, perché è consigliato l'ibernazione?

Molte discussioni sulla sicurezza di FileVault 2 suggeriscono di usare:

sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25

Alcune di queste discussioni affermano che le chiavi FileVault sono archiviate nella RAM durante il normale utilizzo da svegli, mentre altre affermano che sono archiviate nel firmware EFI.

1. Dove sono archiviate le chiavi mentre la macchina è attiva e in esecuzione nella RAM o nel firmware?

2. Cosa fa esattamente destroyfvkeyonstandby? Ad esempio, se elimino un file, posso recuperarlo perché non viene cancellato. Esegue destroyfvkeyonstandbyun rilascio di memoria (elimina) o una cancellazione (sovrascrivendo la memoria utilizzata per tenere premuto il tasto)?

3. Se lo utilizzo destroyfvkeyonstandby, quali sono i vantaggi dell'attivazione immediata della modalità di ibernazione (oltre al risparmio energetico)? Se la chiave è stata cancellata, quale pericolo c'è nel lasciare la RAM accesa?

1. Durante il normale utilizzo, le chiavi sono archiviate nella RAM, il che le rende vulnerabili a un attacco DMA su Firewire o Thunderbolt (usando qualcosa come Inception ). Questo è un vecchio set di attacchi e Apple in realtà disabilita alcune delle funzionalità di quei dispositivi durante alcune modalità di sospensione (ad esempio, hibernatemode 25che rimuove l'alimentazione dalla RAM dopo aver scaricato il suo contenuto sul disco; per una maggiore sicurezza, dovresti anche disabilitare Fast User Cambio , in quanto è un altro vettore di attacco.)

2. Questa è l'unica cosa che ha senso per Apple, dal momento che è piuttosto banale. Maggiori dettagli potrebbero essere presi da questa analisi di FileVault 2 , per gentile concessione di alcuni ricercatori della sicurezza di Cambridge.

3. La RAM può anche essere scritta su (vedi Inception ) per bypassare la password effettiva; scaricando su disco e ricaricandolo al risveglio si assicurerà che il contenuto sia a prova di manomissione.