เพื่อความปลอดภัยสูงสุดของ FileVault2 เหตุใดจึงแนะนำการไฮเบอร์เนต

การอภิปรายเรื่องความปลอดภัยของ FileVault 2 หลายข้อแนะนำให้ใช้

sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25

บางส่วนของการสนทนาเหล่านั้นระบุว่าคีย์ FileVault จะถูกเก็บไว้ใน RAM ในระหว่างการใช้งานปกติในขณะที่คนอื่นบอกว่าพวกเขาจะถูกเก็บไว้ในเฟิร์มแวร์ EFI

1. คีย์ถูกเก็บไว้ที่ไหนในขณะที่เครื่องเปิดอยู่และทำงานอยู่ใน RAM หรือในเฟิร์มแวร์

2. destroyfvkeyonstandbyทำอะไรทำอย่างแม่นยำ? ตัวอย่างเช่นถ้าฉันลบไฟล์ฉันสามารถกู้คืนได้เพราะมันไม่ได้เช็ด ไม่destroyfvkeyonstandbyดำเนินการเปิดตัวหน่วยความจำ (ลบ) หรือเช็ด (เขียนทับหน่วยความจำที่ถูกนำมาใช้ในการถือกุญแจ)?

3. ถ้าฉันใช้destroyfvkeyonstandbyจะมีประโยชน์อะไรที่จะเข้าสู่โหมดไฮเบอร์เนตทันที (นอกเหนือจากการประหยัดพลังงาน) หากคีย์ถูกลบไปแล้วจะมีอันตรายอะไรในการเปิด RAM ไว้

1. ในระหว่างการใช้งานปกติกุญแจจะถูกเก็บไว้ใน RAM ซึ่งทำให้พวกเขาเสี่ยงต่อการถูกโจมตีด้วย DMA เหนือ Firewire หรือ Thunderbolt (ใช้บางอย่างเช่นInception ) นี้เป็นชุดเก่าของการโจมตีและแอปเปิ้ลไม่จริงปิดการใช้งานบางส่วนของการทำงานของอุปกรณ์เหล่านั้นในช่วงบางโหมดการนอนหลับ (เช่นhibernatemode 25ที่เอาพลังงานจากแรมหลังจากทิ้งเนื้อหาไปยังดิสก์; เพื่อเพิ่มความปลอดภัยคุณควรปิดการใช้งานผู้ใช้อย่างรวดเร็ว การสลับเนื่องจากเป็นเวกเตอร์โจมตีอีกอัน)

2. นั่นเป็นสิ่งเดียวที่เหมาะสมที่ Apple ต้องทำเพราะมันค่อนข้างเล็กน้อย รายละเอียดเพิ่มเติมอาจถูกคัดออกจากการวิเคราะห์ FileVault 2ซึ่งได้รับความอนุเคราะห์จากนักวิจัยความปลอดภัยบางคนจาก Cambridge

3. แรมสามารถเขียนไปที่ (ดูInception ) เพื่อเลี่ยงรหัสผ่านจริง การดัมพ์ไปยังดิสก์และการรีโหลดเมื่อเปิดเครื่องจะทำให้มั่นใจได้ว่าเนื้อหามีการป้องกันการปลอมแปลง