Где OS X хранит пароль FileVault во время перезагрузки в обновлении?

31

Из соображений безопасности мне интересно, как было бы возможно обновить OS X (например, с Mavericks до El Capitan), чтобы перезагрузить мой Mac несколько раз, не спрашивая у меня пароль FileVault 2?

Я имею в виду, что весь диск зашифрован, и даже установщик OS X не будет знать пароль после перезагрузки. Несмотря на это, он перезагружается один или несколько раз, не спрашивая у меня пароль.

Поэтому я подозреваю, что Apple хранит мой пароль где-нибудь, на диске, в NVRAM или в сети, по крайней мере, в процессе обновления. Если так, разве это не будет серьезной проблемой безопасности?

Кто-нибудь может пролить немного света на это? Как это работает?

Андерс
источник
3
Кроме того, OS X случайно записала пароль в виде открытого текста на диск во время обновления 10.7.3 : 9to5mac.com/2012/05/07/… ! С тех пор это было исправлено, конечно.
Седат Чужой

Ответы:

33

Есть функция OS X, называемая аутентифицированным перезапуском, которая сохраняет ключ FileVault в SMC на время перезагрузки. На странице справки Apple признает, что она снижает безопасность FileVault на время перезапуска:

На поддерживаемом оборудовании fdesetupпозволяет перезапускать систему с поддержкой FileVault без необходимости разблокировки во время последующей загрузки с помощью authrestartкоманды.

ПРЕДУПРЕЖДЕНИЕ. Защита FileVault снижается во время аутентифицированных перезапусков.

В частности, fdesetupпреднамеренно хранится как минимум одна дополнительная копия постоянного ключа разблокировки FDE (полное шифрование диска) как в системной памяти, так и (в поддерживаемых системах) контроллера управления системой (SMC). fdesetupдолжен быть запущен от имени пользователя root и сам запрашивает пароль для разблокировки корневого тома FileVault. Используйте pmset destroyfvkeyonstandbyдля предотвращения сохранения ключа в режимах ожидания. После authrestartаутентификации он запускается, reboot(8)и при успешной разблокировке ключ разблокировки будет удален.

Майк Скотт
источник
1
Спасибо. Прекрасно отвечает на мой вопрос и сводит мои опасения к вопросу о том, является ли удаление из SMC действительно полным и безопасным.
Андерс