Wo behält OS X das FileVault-Kennwort während eines Neustarts bei einem Upgrade?

Aus Sicherheitsgründen frage ich mich, wie es für ein Upgrade von OS X (z. B. von Mavericks auf El Capitan) möglich wäre, meinen Mac mehrmals neu zu starten, ohne mich nach meinem FileVault 2-Kennwort zu fragen.

Ich meine, das gesamte Laufwerk ist verschlüsselt und selbst ein OS X-Installationsprogramm würde das Kennwort nach einem Neustart nicht kennen. Trotzdem wird ein oder mehrere Male neu gestartet, ohne dass ich nach meinem Passwort gefragt werde.

Daher vermute ich, dass Apple mein Kennwort irgendwo auf der Festplatte, im NVRAM oder online speichert, zumindest während des Aktualisierungsvorgangs. Wenn ja, wäre das nicht ein ernstes Sicherheitsbedenken?

Kann jemand etwas Licht auf dieses werfen? Wie funktioniert es?

Es gibt eine OS X-Funktion namens authentifizierter Neustart Dadurch wird der FileVault-Schlüssel für die Dauer des Neustarts in der SMC gespeichert. Apple erkennt an in der Manpage dass die FileVault-Sicherheit für die Dauer des Neustarts reduziert wird:

Auf unterstützter Hardware fdesetup Ermöglicht den Neustart eines FileVault-fähigen Systems, ohne dass während des nachfolgenden Startvorgangs mithilfe von das Entsperren erforderlich wird authrestart Befehl.

WARNUNG: FileVault-Schutzmaßnahmen werden beim authentifizierten Neustart reduziert.

Im Speziellen, fdesetup speichert absichtlich mindestens eine zusätzliche Kopie eines permanenten FDE-Schlüssels (Full Disk Encryption) im Systemspeicher und (auf unterstützten Systemen) dem System Management Controller (SMC). fdesetup muss als Root ausgeführt werden und fordert zur Eingabe eines Kennworts auf, um das FileVault-Root-Volume zu entsperren Benutzen pmset destroyfvkeyonstandby um zu verhindern, dass der Schlüssel im Standby-Modus gespeichert wird. Einmal authrestart authentifiziert ist, startet es reboot(8) und nach erfolgreichem Entsperren wird der Entsperrschlüssel entfernt.