Después de varias horas de buscar y utilizar fs_usage para rastrear los archivos, he llegado a la conclusión de que los certificados se almacenan efectivamente en el llavero. (que en retrospectiva es un momento DUH).
Estos son los archivos que iTunes lee al iniciarse y durante una sincronización en mi mac.
18:38:16.776 stat64 /Library/Keychains/System.keychain 0.000010 iTunes
18:38:16.776 open F=5 (R\_\_\_\_\_) /Users/me/Library/Keychains/login.keychain 0.000007 iTunes
18:38:16.801 open F=5 (R\_\_\_\_\_) /Library/Keychains/System.keychain 0.000016 iTunes
18:38:26.013 open F=48 (R\_\_\_\_\_) /System/Library/Keychains/SystemRootCertificates.keychain 0.000024 iTunes
No he podido descubrir qué llaves específicas o cadena de llaves se necesitan. Parece que el llavero de mi carpeta de inicio no es necesario, ya que otras cuentas de usuario de mi Mac ven el contenido de mi iPhone bloqueado incluso antes de que se inicie iTunes. Si usbmuxd o otro demonio de bajo nivel está leyendo un certificado de nivel de sistema o la API para acceder a los datos de iOS se basa en una biblioteca común para el acceso en eludir el bloqueo de código de acceso en iOS 4 no está claro.
Está claro que el código de acceso de iOS no protegerá de alguien que pueda acceder a los archivos de su disco duro (y tenga el conocimiento detallado que aún no está claro de qué certificado o archivo tiene las claves almacenadas)
FileVault no le protegerá ya que el certificado parece estar almacenado fuera de la carpeta del usuario.
