Di mana OS X menyimpan kata sandi FileVault selama reboot dalam pemutakhiran?

Untuk masalah keamanan, saya bertanya-tanya bagaimana mungkin untuk upgrade OS X (mis. Dari Mavericks ke El Capitan), untuk me-reboot Mac saya beberapa kali tanpa meminta kata sandi FileVault 2 saya?

Maksudku, seluruh drive dienkripsi dan bahkan penginstal OS X tidak akan mengetahui kata sandi setelah reboot. Meskipun demikian, itu reboot satu atau lebih kali tanpa meminta kata sandi saya.

Karena itu saya menduga Apple menyimpan kata sandi saya di suatu tempat, baik pada disk, di NVRAM, atau online, setidaknya selama proses peningkatan. Jika demikian, bukankah ini akan menjadi masalah keamanan yang serius?

Adakah yang bisa menjelaskan ini? Bagaimana cara kerjanya?

Ada fitur OS X yang disebut autentikasi restart yang menyimpan kunci FileVault di SMC selama durasi reboot. Apple mengakui dalam manual bahwa ia mengurangi keamanan FileVault selama restart:

Pada perangkat keras yang didukung, fdesetupmemungkinkan restart sistem FileVault-enabled tanpa perlu membuka kunci selama boot berikutnya menggunakan authrestartperintah.

PERINGATAN: Perlindungan FileVault berkurang selama restart yang diautentikasi.

Secara khusus, fdesetupsengaja menyimpan setidaknya satu salinan tambahan kunci pembuka kunci FDE (enkripsi disk penuh) permanen di memori sistem dan (pada sistem yang didukung) System Management Controller (SMC). fdesetupharus dijalankan sebagai root dan itu sendiri meminta kata sandi untuk membuka kunci volume root FileVault. Gunakan pmset destroyfvkeyonstandbyuntuk mencegah penyimpanan tombol di seluruh mode siaga. Setelah authrestartdiautentikasi, itu diluncurkan reboot(8)dan, setelah berhasil membuka, kunci membuka akan dihapus.