Для максимальної безпеки FileVault2, чому рекомендується сплячка?

Багато обговорень безпеки FileVault 2 пропонують використовувати:

sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25

Деякі з цих обговорень стверджують, що ключі FileVault зберігаються в оперативній пам’яті під час звичайного режиму неспання, тоді як інші кажуть, що вони зберігаються в програмному забезпеченні EFI.

1. Де зберігаються ключі, коли машина прокидається та працює - в оперативній пам’яті чи в прошивці?

2. Що саме робить destroyfvkeyonstandby? Наприклад, якщо я видалю файл, я можу відновити його, оскільки він не стирається. Чи destroyfvkeyonstandbyвиконує звільнення (видалення) пам'яті або стерти (перезаписує пам'ять, яку використовували для утримання ключа)?

3. Якщо я використовую destroyfvkeyonstandby, яка користь може негайно перейти в режим сплячки (крім економії енергії)? Якщо ключ було витерто, яка небезпека існує у відключенні оперативної пам'яті?

1. Під час звичайного використання ключі зберігаються в оперативній пам’яті, що робить їх вразливими до атаки DMA через Firewire або Thunderbolt (використовуючи щось на зразок Inception ). Це старий набір атак, і Apple фактично відключає деякі функції цих пристроїв під час деяких режимів сну (наприклад, hibernatemode 25який вилучає живлення з оперативної пам'яті після скидання її вмісту на диск; для додаткової безпеки слід також відключити швидкого користувача Перемикання , оскільки це ще один вектор атаки.)

2. Це єдине, що має сенс для Apple, оскільки це досить тривіально. Більше деталей може бути зібрано з цього аналізу FileVault 2 , люб’язно проведеного кількома дослідниками безпеки з Кембриджу.

3. Оперативна пам’ять також може бути записана в (див. Inception ), щоб обійти фактичний пароль; скидання на диск та перезавантаження під час пробудження забезпечать безпеку вмісту.