Para la máxima seguridad de FileVault2, ¿por qué se recomienda la hibernación?

Navega tus respuestas
10

Muchas discusiones sobre la seguridad de FileVault 2 sugieren usar: 

sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25

Algunas de las discusiones indican que las claves de FileVault se almacenan en la RAM durante el uso normal despierto, mientras que otras dicen que están almacenadas en el firmware EFI.

  1. ¿Dónde se almacenan las claves cuando la máquina está despierta y en funcionamiento en la RAM o en el firmware?

  2. ¿Qué hace, precisamente, destroyfvkeyonstandby ? Por ejemplo, si elimino un archivo, puedo recuperarlo porque no está borrado. ¿ destroyfvkeyonstandby realiza una liberación de la memoria (eliminar) o un borrado (sobrescribiendo la memoria que se estaba usando para guardar la clave)?

  3. Si uso destroyfvkeyonstandby , ¿qué beneficio tiene entrar en modo de hibernación inmediatamente (aparte de ahorrar energía)? Si se ha borrado la clave, ¿qué peligro hay al dejar la memoria RAM encendida?

pregunta Michael 17.11.2012 - 10:20

1 respuesta

3

  1. Durante el uso normal, las claves se almacenan en la RAM, lo que las hace vulnerables a un ataque DMA sobre Firewire o Thunderbolt (usando algo como Inicio ). Este es un antiguo conjunto de ataques, y Apple en realidad deshabilite parte de la funcionalidad de esos dispositivos durante algunos modos de suspensión (por ejemplo, hibernatemode 25 que elimina la energía de la RAM después de descargar su contenido en el disco; para mayor seguridad, también debe deshabilitar Rápido Cambio de usuario , ya que es otro vector de ataque.)

  2. Eso es lo único que tiene sentido que haga Apple, ya que es bastante trivial. Se pueden obtener más detalles en este análisis de FileVault 2 , cortesía de algunos investigadores de seguridad de Cambridge.

  3. La RAM también puede escribirse a (consulte Inception ) en orden para omitir la contraseña real; el volcado al disco y la recarga en Wake asegurarán que el contenido sea a prueba de falsificaciones.

respondido por el roguesys 24.11.2012 - 10:17

Lea otras preguntas en las etiquetas

Macbook Pro no detecta USB de arranque con Yosemite ¿Hay un comando de bash para verificar si Time Machine ha finalizado la copia de seguridad?