Ok, wie erklärst du, dass ohne Eingabe eines Entschlüsselungspasswortes aufgewacht werden kann, obwohl keine Daten auf dem RAM verwendet werden? Diese Thematik hat doch eigentlich nichts damit zu tun, dass nicht ausgehangen wird?
Ich hab keine Ahnung wie genau das FileVault funktioniert. Nichts, weils mich nicht interessiert, eher, dass es keine Angaben dazu gibt. Ich fand das Prinzip schon bescheuert, dass es User am Computer gibt, die NICHT die Erlaubnis haben beim booten FileVault zu öffnen. Das widerstrebt eigentlich jeglichen Sicherheitsgedanken. Wieso hat sojemand dann ein Benutzerkonto für das System.
Ich meinte halt mit aushängen schließen der Verschlüsslung. Sorry, falls das bei Dir zur Verwirrung geführt hat. Es kann doch nur so sein, dass das Logische Volumen noch offen ist, wenn der Computer in den Suspend geht, anders kann er ja nicht auf die Festplatte schreiben. Sonst, wie du richtig sagst, brauch man entweder Daten aus den Ram, oder, wie ich geschrieben hab, Daten aus einer Unverschlüsselten Parititon, wie die Recovery Partition. Damit wird ja auch gebootet, bis der Kernel so weit ist, dass Dateisystem zu öffnen.
Da du aber sagst, dass das Sleepimage immer noch in /var/ herumliegt, da aber nichts anderes eingehangen ist, und man ja auch einfach die Recovery Partition einhängen kann (die EFI) auch, da kein Image ist, wird das wohl so sein. Ich fände das auch weniger sicherheitsbedenklich als ein Sleep Image auf einer unverschlüsselten Partition.
Ich finde meine Theorie schlüssiger, immerhin musst du beweise bringen, dass es unverschlüsselt irgendwo herumliegt . Du bist damit angefangen, und bis auch wil spekuliert hast du auch noch nichts, ..