¿Qué tan seguro es FileVault 2 mientras la computadora está en modo de suspensión?

Al parecer, FileVault 2 está protegido contra un DMA Attack si la pantalla no está desbloqueada, desde la 10.7.2 (así que Asegúrate de que estás corriendo León. Mi conjetura es que al dormir, las claves están cifradas con su contraseña, en lugar de simplemente dejarse en la memoria.

Supongo que también significa que está protegido contra un Cold Boot Attack también.

Las únicas fuentes que pude encontrar en este sitio son publicación de blog .

Solo una adición rápida a las respuestas anteriores; si aún está preocupado de que alguien pueda obtener la clave de cifrado de la RAM durante el modo de espera, se podría habilitar una función de administración de energía de OS X llamada "DestroyFVKeyOnStandby", como se menciona en aquí (el mismo enlace que Richard Belisle) , página 37.

Desde man pmset :

destroyfvkeyonstandby - Destroy File Vault Key when going to standby mode. 
    By default File vault keys are retained even when system goes to standby.
    If the keys are destroyed, user will be prompted to enter the password while
    coming out of standby mode.(value: 1 - Destroy, 0 - Retain)

El comando completo sería sudo pmset -a destroyfvkeyonstandby 1 .

Esto permitiría la destrucción de la clave FileVault durante el modo de espera para todos los modos de potencia -a . Eso es UPS -u , batería -b y cargador -c (energía de la pared).

Sí, OS X aún es vulnerable al Cold Boot Attack , porque las claves de cifrado se guardan en la memoria mientras que la máquina está encendida (es decir, desde que ingresa su contraseña en el arranque hasta que la máquina está completamente apagada). Este es un problema para todas las herramientas de cifrado de disco completo software , y no está específicamente relacionado con FileVault 2.

Dependiendo de la versión de OS X que esté ejecutando, su máquina puede o no ser vulnerable a los ataques DMA con herramientas como inicio . Las versiones > = 10.7.2 deshabilita FireWire DMA cuando la máquina está bloqueada.

En versiones anteriores de Mac OS X, un atacante con acceso físico a la máquina podría conectarse a través de Firewire (o Thunderbolt) y usar ataques DMA para obtener acceso a la memoria. Esto permitiría al atacante arrastrar tu contraseña y así derrotar la protección de FileVault 2 . Sin embargo, esta vulnerabilidad se solucionó en Mac OS X 10.7.2 .

Las versiones posteriores de Mac OS X han eliminado en gran medida esta vulnerabilidad. El ataque aún es posible si un usuario ha iniciado sesión y la máquina está desbloqueada. Sin embargo, cuando se activa el bloqueo de pantalla, el sistema operativo habilita protecciones adicionales que evitan este ataque.

Referencias:

• "OS X Lion deshabilita DMA cuando el usuario está desconectado / la pantalla está bloqueada. El ataque solo funcionará mientras el usuario esté conectado, o si el cambio de usuario está habilitado. El truco de cambio de usuario solo funciona para versiones anteriores a la 10.7.2 , donde se arregla la vulnerabilidad ". enlace

También es útil configurar una contraseña de firmware (preinicio) .

Encontré un artículo con el análisis de seguridad general de FileVault: enlace

Hace referencia a otras investigaciones de seguridad que responden a mi pregunta.

Lea esto en Apple para obtener información actual a partir de la 10.7.4, especialmente consulte la sección "Firmware".

enlace