FileVault2のセキュリティを最大にするために、休止状態が推奨されるのはなぜですか？

FileVault 2のセキュリティに関する多くの議論では、以下を使用することが推奨されています。

sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25

それらの議論のいくつかは、FileVaultキーは通常のアウェイク使用中にRAMに保存されると述べていますが、他の人はそれらがEFIファームウェアに保存されていると言います。

1. マシンが起動して動作している間、RAMまたはファームウェアのどこにキーが保存されますか？

2. 正確には何をしdestroyfvkeyonstandbyますか？たとえば、ファイルを削除した場合、ワイプされていないので回復できます。ないdestroyfvkeyonstandbyメモリ解放を行う（削除）またはワイプ（キーを保持するために使用されていたメモリを上書きしますか）？

3. を使用する場合destroyfvkeyonstandby、すぐに休止状態モードに入る（エネルギー節約以外の）メリットは何ですか？キーがワイプされた場合、RAMの電源を入れたままにしておくとどのような危険がありますか？

1. 通常の使用中、キーはRAMに格納されるため、FirewireまたはThunderbolt（Inceptionなどを使用）を介したDMA攻撃に対して脆弱になります。これは古い攻撃セットであり、Appleは一部のスリープモード中にこれらのデバイスの機能の一部を実際に無効にします（たとえば、hibernatemode 25内容をディスクにダンプした後にRAMの電源を切断します。セキュリティを強化するために、Fast Userも無効にする必要があります）別の攻撃ベクトルであるため、を切り替える。）

2. これはAppleにとっては取るに足らないことなので、それが理にかなっている唯一のことです。ケンブリッジの数名のセキュリティ研究者の厚意により、FileVault 2のこの分析から詳細が間引く可能性があります。

3. 実際のパスワードをバイパスするために、RAM に書き込むこともできます（「はじめに」を参照）。ディスクにダンプし、ウェイク時にリロードすると、内容が改ざんされないようになります。