Gdzie OS X przechowuje hasło FileVault podczas restartów w aktualizacji?

Ze względów bezpieczeństwa zastanawiam się, jak byłoby możliwe uaktualnienie systemu OS X (np. Z Mavericks do El Capitan), aby wielokrotnie uruchomić ponownie komputer Mac bez pytania o hasło do FileVault 2?

Mam na myśli, że cały dysk jest zaszyfrowany, a nawet instalator systemu OS X nie zna hasła po ponownym uruchomieniu. Mimo to uruchamia się ponownie co najmniej raz bez pytania o hasło.

Dlatego podejrzewam, że Apple przechowuje moje hasło gdzieś na dysku, w pamięci NVRAM lub online, przynajmniej podczas procesu aktualizacji. Jeśli tak, to czy nie byłby to poważny problem z bezpieczeństwem?

Czy ktoś może rzucić na to trochę światła? Jak to działa?

Istnieje funkcja OS X o nazwie uwierzytelnione ponowne uruchomienie, która przechowuje klucz FileVault w SMC na czas ponownego uruchomienia. Apple potwierdza na stronie , że zmniejsza bezpieczeństwo FileVault na czas ponownego uruchomienia:

Na obsługiwanym sprzęcie fdesetupumożliwia ponowne uruchomienie systemu obsługującego FileVault bez konieczności odblokowywania podczas następnego rozruchu za pomocą authrestartpolecenia.

OSTRZEŻENIE: Zabezpieczenia FileVault są zmniejszone podczas uwierzytelnionego ponownego uruchomienia.

W szczególności fdesetupcelowo przechowuje co najmniej jedną dodatkową kopię stałego klucza odblokowującego FDE (pełne szyfrowanie dysku) zarówno w pamięci systemowej, jak i (w obsługiwanych systemach) w System Management Controller (SMC). fdesetupmusi być uruchomiony jako root i sam monituje o hasło, aby odblokować wolumin główny FileVault. Służy pmset destroyfvkeyonstandbydo zapobiegania zapisywaniu klucza w trybach gotowości. Po authrestartuwierzytelnieniu uruchamia się, reboot(8)a po udanym odblokowaniu klucz odblokowujący zostanie usunięty.