为了获得最大的FileVault2安全性，为什么建议休眠？

关于FileVault 2安全性的许多讨论建议使用：

sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25

其中一些讨论指出，FileVault密钥在正常清醒使用期间存储在RAM中，而其他一些则说它们存储在EFI固件中。

1. 机器唤醒并运行时，密钥在哪里存储在RAM或固件中？

2. 确切地说，是destroyfvkeyonstandby做什么的？例如，如果我删除文件，则可以恢复该文件，因为它不会被擦除。是否destroyfvkeyonstandby执行内存释放（删除）或擦除（覆盖用于保存密钥的内存）？

3. 如果使用destroyfvkeyonstandby，立即进入休眠模式有什么好处（除了节省能源外）？如果擦除了键，则保持RAM通电会有什么危险？

1. 在正常使用期间，密钥存储在RAM中，这使其容易受到通过Firewire或Thunderbolt的DMA攻击（使用类似Inception之类的东西）。这是一套古老的攻击方式，Apple实际上在某些睡眠模式下确实禁用了那些设备的某些功能（例如，hibernatemode 25在将其内容转储到磁盘后会切断RAM的电源；为了增强安全性，您还应该禁用快速用户切换，因为它是另一个攻击媒介。）

2. 对于苹果而言，这是唯一有意义的事情，因为它相当琐碎。剑桥大学的一些安全研究人员对FileVault 2的分析可能会剔除更多细节。

3. 还可以将 RAM 写入（请参阅Inception）以绕过实际密码；转储到磁盘并在唤醒时重新加载将确保内容是防篡改的。