Để bảo mật FileVault2 tối đa, tại sao nên ngủ đông?

Nhiều cuộc thảo luận về bảo mật FileVault 2 đề xuất sử dụng:

sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25

Một số trong các cuộc thảo luận nói rằng các khóa FileVault được lưu trữ trong RAM trong quá trình sử dụng bình thường trong khi những người khác nói rằng chúng được lưu trữ trong phần sụn EFI.

1. Các phím được lưu ở đâu trong khi máy còn thức và đang chạy trong RAM hoặc trong phần sụn?

2. Chính xác thì destroyfvkeyonstandbylàm gì? Ví dụ: nếu tôi xóa một tập tin, tôi có thể khôi phục nó vì nó không bị xóa. Có destroyfvkeyonstandbythực hiện giải phóng bộ nhớ (xóa) hoặc xóa (ghi đè lên bộ nhớ đang được sử dụng để giữ phím) không?

3. Nếu tôi sử dụng destroyfvkeyonstandby, có lợi ích gì khi chuyển sang chế độ ngủ đông ngay lập tức (ngoài việc tiết kiệm năng lượng)? Nếu khóa đã bị xóa, có nguy hiểm gì khi để RAM được bật?

1. Trong quá trình sử dụng thông thường, các phím được lưu trữ trong RAM, khiến chúng dễ bị tấn công DMA trên Firewire hoặc Thunderbolt (sử dụng thứ gì đó như Inception ). Đây là một tập hợp các cuộc tấn công cũ và Apple thực sự vô hiệu hóa một số chức năng của các thiết bị đó trong một số chế độ ngủ (ví dụ: hibernatemode 25loại bỏ nguồn điện từ RAM sau khi bỏ nội dung của nó vào đĩa; để bảo mật hơn, bạn cũng nên vô hiệu hóa Người dùng nhanh Chuyển đổi , như một vector tấn công khác.)

2. Đó là điều duy nhất có ý nghĩa đối với Apple để làm, vì nó khá tầm thường. Nhiều chi tiết có thể được loại bỏ từ phân tích này của FileVault 2 , với sự giúp đỡ của một vài nhà nghiên cứu bảo mật từ Cambridge.

3. RAM cũng có thể được ghi vào (xem Inception ) để bỏ qua mật khẩu thực tế; đổ vào đĩa và tải lại khi thức sẽ đảm bảo nội dung được chống giả.