Для максимальной безопасности FileVault2, почему рекомендуется спящий режим?

Многие обсуждения безопасности FileVault 2 предлагают использовать:

sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25

В некоторых из этих обсуждений утверждается, что ключи FileVault хранятся в ОЗУ при обычном активном использовании, тогда как другие говорят, что они хранятся в прошивке EFI.

1. Где хранятся ключи, когда машина не работает и работает в ОЗУ или в прошивке?

2. Что именно делает destroyfvkeyonstandby? Например, если я удаляю файл, я могу восстановить его, потому что он не стерт. Выполняет ли destroyfvkeyonstandbyосвобождение памяти (удаление) или стирание (перезаписывает память, которая использовалась для удержания клавиши)?

3. Если я использую destroyfvkeyonstandby, какая польза от немедленного перехода в режим гибернации (кроме экономии энергии)? Если ключ был стерт, какая опасность остается при включении ОЗУ?

1. При обычном использовании ключи хранятся в оперативной памяти, что делает их уязвимыми для атаки DMA через Firewire или Thunderbolt (используя что-то вроде Inception ). Это старый набор атак, и Apple фактически отключает некоторые функции этих устройств во время некоторых спящих режимов (например, при hibernatemode 25отключении питания ОЗУ после выгрузки его содержимого на диск; для дополнительной безопасности вы также должны отключить Fast User). Переключение , так как это еще один вектор атаки.)

2. Это единственное, что имеет смысл для Apple, поскольку это довольно тривиально. Дополнительные сведения могут быть получены из этого анализа FileVault 2 , предоставленного несколькими исследователями из Кембриджа.

3. ОЗУ также может быть записано (см. Начало ), чтобы обойти фактический пароль; выгрузка на диск и перезагрузка после пробуждения обеспечат защиту содержимого от несанкционированного доступа.