Onde o OS X mantém a senha do FileVault durante as reinicializações em uma atualização?

Por questões de segurança, pergunto-me como seria possível uma atualização do OS X (por exemplo, do Mavericks para o El Capitan), para reiniciar o meu Mac várias vezes sem solicitar minha senha do FileVault 2?

Quero dizer, toda a unidade é criptografada e até um instalador do OS X não saberia a senha após uma reinicialização. Apesar disso, ele é reinicializado uma ou mais vezes sem solicitar minha senha.

Portanto, suspeito que a Apple armazene minha senha em algum lugar, em disco, na NVRAM ou online, pelo menos durante o processo de atualização. Em caso afirmativo, isso não seria uma séria preocupação de segurança?

Alguém pode lançar um pouco de luz sobre isso? Como funciona?

Há um recurso do OS X chamado reinicialização autenticada que armazena a chave FileVault no SMC durante a reinicialização. A Apple reconhece na página de manual que reduz a segurança do FileVault durante a reinicialização:

No hardware suportado, fdesetuppermite a reinicialização de um sistema ativado pelo FileVault sem a necessidade de desbloqueio durante a inicialização subseqüente usando o authrestartcomando

AVISO: As proteções do FileVault são reduzidas durante as reinicializações autenticadas.

Em particular, fdesetuparmazena deliberadamente pelo menos uma cópia adicional de uma chave de desbloqueio permanente do FDE (criptografia de disco completo) na memória do sistema e (em sistemas suportados) no System Management Controller (SMC). fdesetupdeve ser executado como root e solicita uma senha para desbloquear o volume raiz do FileVault. Use pmset destroyfvkeyonstandbypara evitar salvar a tecla nos modos de espera. Uma vez authrestartautenticado, ele é iniciado reboot(8)e, após o desbloqueio bem-sucedido, a chave de desbloqueio será removida.