¿Dónde guarda OS X la contraseña de FileVault durante los reinicios en una actualización?

Por cuestiones de seguridad, me pregunto cómo sería posible que una actualización de OS X (por ejemplo, de Mavericks a El Capitan) reinicie mi Mac varias veces sin pedirme la contraseña de FileVault 2.

Quiero decir, todo el disco está encriptado e incluso un instalador de OS X no sabría la contraseña después de un reinicio. A pesar de eso, se reinicia una o más veces sin pedirme mi contraseña.

Por lo tanto, sospecho que Apple almacena mi contraseña en algún lugar, ya sea en disco, en NVRAM o en línea, al menos durante el proceso de actualización. Si es así, ¿no sería una seria preocupación de seguridad?

¿Alguien puede arrojar un poco de luz sobre esto? ¿Como funciona?

Hay una característica de OS X llamada reinicio autenticado que almacena la clave FileVault en el SMC durante el reinicio. Apple reconoce en la página de manual que reduce la seguridad de FileVault durante el reinicio:

En el hardware compatible, fdesetuppermite el reinicio de un sistema habilitado para FileVault sin requerir el desbloqueo durante el arranque posterior con el authrestartcomando.

ADVERTENCIA: las protecciones de FileVault se reducen durante los reinicios autenticados.

En particular, fdesetupalmacena deliberadamente al menos una copia adicional de una clave de desbloqueo FDE permanente (cifrado de disco completo) en la memoria del sistema y (en los sistemas compatibles) el Controlador de gestión del sistema (SMC). fdesetupdebe ejecutarse como root y en sí mismo solicita una contraseña para desbloquear el volumen raíz de FileVault. Utilícelo pmset destroyfvkeyonstandbypara evitar guardar la clave en los modos de espera. Una vez que authrestartse autentica, se inicia reboot(8)y, cuando se desbloquea con éxito, se eliminará la clave de desbloqueo.