Wenn du angemeldet bist (auch wenn das System gesperrt ist) muss ich das ganze nur in den Ruhezustand zwingen. Der Key für FileVault wird auf der HDD gespeichert. Wenn du sicheren virtuellen Speicher aktiviert hast, dann wird das zwar verschlüsselt, aber der Key dazu müsste afaik dann im Klartext vorliegen. Gab da mal einen ausführlichen Bericht des CCC. FileVault ist ein Witz - das Konzept ist extrem löchrig und wenn es nicht mittlerweile geändert wurde, dann muss man nicht den AES Algorithmus angreifen, sondern 3DES oder RSA, was zwar auch noch langwierig und kompliziert wäre, aber immerhin wohl leicher zu erledigen wäre als ein Angriff auf AES. Oder aber man attackiert das User Password - noch einfacher. Wenn man aber wie erwähnt den Rechner im Ruhezustand oder im gesperrten Zustand in die Finger bekommen würde, so könnte man entweder mit einer Cold Boot Attack oder aber über auslesen des Sleep Images die Keys rekonstruieren - theoretisch … afaik noch nicht offiziell versucht worden.
