Pohotovostní režim je funkce pro úsporu energie, která automaticky přepne počítač Mac do režimu hibernace poté, co byl chvíli v režimu spánku, což dále snižuje vybíjení baterie. Když je počítač Mac používající šifrování FileVault uveden do pohotovostního režimu, klíč FileVault (ano, tento klíč je zašifrován) je uložen v EFI (firmware), aby mohl rychle opustit pohotovostní režim, když se probudí z hlubokého spánku.Pro 99 % uživatelů na tom téměř nezáleží a nejde o bezpečnostní problém, ale pro ty, kteří se zajímají o absolutní maximální zabezpečení a ochranu Macu před některými neobvykle agresivními útoky (tj. s úrovní špionáže), můžete nastavit OS X tak, aby to automaticky zničil. Klíč FileVault, když je umístěn v úsporném pohotovostním režimu, čímž se zabrání tomu, aby tento uložený klíč byl potenciálním slabým místem nebo cílem útoku. Po povolení tohoto nastavení musí uživatelé FileVault zadat své heslo FileVault, když je Mac probuzen z pohotovostního režimu, protože FV klíč již není uložen pro rychlé probuzení. Není to žádná nepříjemnost, ale trochu to zpomaluje probouzení z hlubokého spánku a vyžaduje to, aby uživatel provedl další úroveň ověřování nad rámec standardních funkcí uzamčení a přihlášení, než bude Mac znovu použitelný.

Zvýšení zabezpečení FileVault zničením klíčů FileVault v pohotovostním režimu

Tento příkaz je nutné zadat do terminálu, který najdete v /Applications/Utilities/

pmset -a cancelfvkeyonstandby 1

Příznak -a použije nastavení pro všechny profily napájení, což znamená jak baterii, tak nabíječku.

Pokud vám tato funkce připadá zbytečná nebo frustrující, lze ji snadno zvrátit nastavením 1 na 0 a opětovným použitím příkazu následovně:

pmset -a cancelfvkeyonstandby 0

Všimněte si, že v závislosti na oprávněních aktivního uživatelského účtu možná budete muset oba tyto příkazy předponovat sudo, aby je spouštěl superuživatel, takže příkazy budou následující:

Povolení zničení klíče FileVault

sudo pmset -a cancelfvkeyonstandby 1

Zakázání zničení klíče FileVault

sudo pmset -a cancelfvkeyonstandby 0

Nastavení pmset můžete kdykoli zkontrolovat, abyste zjistili, zda je aktuálně povoleno nebo zakázáno pomocí následujícího příkazu:

pmset -g

Je pravda, že je to trochu technické a trochu extrémní, a proto se to nebude týkat velké většiny uživatelů počítačů Mac. Nicméně pro ty, kteří se nacházejí v citlivém bezpečnostním prostředí, pro ty, kteří mají na svých počítačích uložena velmi citlivá data, nebo dokonce pro jednotlivce, kteří požadují maximální osobní bezpečnost, je to velmi cenná možnost a měla by být zvážena v případě, že kompromis mezi pomalejšími čas probuzení stojí za další bezpečnostní výhodu.

Jako vždy u FileVault, nezapomeňte heslo, jinak bude veškerý obsah na Macu trvale nedostupný, protože úroveň šifrování je tak silná, že ji v lidském časovém horizontu prakticky nic nepřekoná. Pokud jste novým souborem FileVault a konceptem úplného šifrování disku, nezapomeňte jej správně nastavit a nikdy neztratíte klíč pro obnovení FileVault.

Pro mnohem více technických informací na toto téma má Apple k dispozici vynikajícího průvodce nasazením FileVault ve formátu PDF.