OS X은 업그레이드시 재부팅 중에 FileVault 암호를 어디에 보관합니까?


31

보안 문제로 FileVault 2 암호를 묻지 않고 OS X 업그레이드 (예 : Mavericks에서 El Capitan으로)가 Mac을 여러 번 재부팅 할 수있는 방법이 궁금합니다.

전체 드라이브가 암호화되어 있으며 OS X 설치 프로그램조차 재부팅 후 암호를 알 수 없습니다. 그럼에도 불구하고 암호를 묻지 않고 한 번 이상 재부팅됩니다.

따라서 Apple은 적어도 업그레이드 프로세스 중에 암호를 디스크, NVRAM 또는 온라인 어딘가에 저장한다고 생각합니다. 그렇다면 심각한 보안 문제가되지 않습니까?

누구든지 이것에 약간의 빛을 비출 수 있습니까? 어떻게 작동합니까?


3
한편, 10.7.3 업그레이드 중에 OS X가 실수로 암호를 일반 텍스트로 디스크에 기록했습니다 : 9to5mac.com/2012/05/07/… ! 물론 수정되었습니다.
Sedate Alien

답변:


33

재부팅하는 동안 SMC에 FileVault 키를 저장하는 인증 된 재시작 이라는 OS X 기능 이 있습니다. Apple 은 맨 페이지 에서 다시 시작하는 동안 FileVault 보안을 감소 시킨다는 것을 인정 합니다.

지원되는 하드웨어 fdesetup에서 authrestart명령을 사용하여 후속 부팅 중에 잠금을 해제하지 않고도 FileVault 지원 시스템을 다시 시작할 수 있습니다 .

경고 : 인증 된 재시동시 FileVault 보호가 줄어 듭니다.

특히, fdesetup영구 FDE (전체 디스크 암호화) 잠금 해제 키의 하나 이상의 추가 사본을 시스템 메모리와 (지원되는 시스템의 경우) 시스템 관리 컨트롤러 (SMC) 모두에 의도적으로 저장합니다. fdesetupFileVault 루트 볼륨의 잠금을 해제하려면 root로 실행해야하며 비밀번호를 묻는 메시지가 표시됩니다. pmset destroyfvkeyonstandby대기 모드에서 키를 저장하지 못하게 하려면 사용하십시오 . authrestart인증 되면 인증이 시작 reboot(8)되고 잠금 해제에 성공하면 잠금 해제 키가 제거됩니다.


1
감사. SMC의 삭제가 실제로 완전하고 안전한지 여부에 대한 질문에 완벽하게 대답하고 내 질문에 대한 관심을 줄입니다.
Anders
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.