Où OS X conserve-t-il le mot de passe FileVault lors des redémarrages d'une mise à niveau?

31

Pour des raisons de sécurité, je me demande comment il serait possible pour une mise à niveau OS X (par exemple de Mavericks à El Capitan), de redémarrer mon Mac plusieurs fois sans me demander mon mot de passe FileVault 2?

Je veux dire, le lecteur entier est crypté et même un installateur OS X ne connaîtrait pas le mot de passe après un redémarrage. Malgré cela, il redémarre une ou plusieurs fois sans me demander mon mot de passe.

Par conséquent, je soupçonne qu'Apple stocke mon mot de passe quelque part, soit sur disque, en NVRAM ou en ligne, au moins pendant le processus de mise à niveau. Si tel est le cas, ne serait-ce pas un grave problème de sécurité?

Quelqu'un peut-il nous éclairer un peu là-dessus? Comment ça marche?

Anders
la source
3
En passant, OS X a accidentellement enregistré le mot de passe en clair sur le disque lors d'une mise à niveau 10.7.3: 9to5mac.com/2012/05/07/… ! Il a depuis été corrigé, bien sûr.
Sedate Alien

Réponses:

33

Il existe une fonctionnalité OS X appelée redémarrage authentifié qui stocke la clé FileVault dans le SMC pendant la durée du redémarrage. Apple reconnaît dans la page de manuel qu'il réduit la sécurité de FileVault pendant la durée du redémarrage:

Sur le matériel pris en charge, fdesetuppermet le redémarrage d'un système compatible FileVault sans nécessiter de déverrouillage lors du démarrage suivant à l'aide de la authrestartcommande.

AVERTISSEMENT: les protections FileVault sont réduites lors des redémarrages authentifiés.

En particulier, fdesetupstocke délibérément au moins une copie supplémentaire d'une clé de déverrouillage permanente FDE (Full Disk Encryption) dans la mémoire système et (sur les systèmes pris en charge) System Management Controller (SMC). fdesetupdoit être exécuté en tant que root et demande lui-même un mot de passe pour déverrouiller le volume racine FileVault. Utilisez pmset destroyfvkeyonstandbypour empêcher l'enregistrement de la clé dans les modes de veille. Une fois authrestartauthentifié, il se lance reboot(8)et, une fois le déverrouillage réussi, la clé de déverrouillage sera supprimée.

Mike Scott
la source
1
Merci. Répond parfaitement à ma question et réduit mes préoccupations à la question de savoir si l'effacement de SMC est réellement complet et sûr.
Anders