Proceso de arranque de computadoras Mac basadas en Intel
Computadoras Mac basadas en Intel con el chip de seguridad T2 de Apple
Cuando se enciende una computadora Mac basada en Intel con el chip de seguridad T2 de Apple, el chip realiza un arranque seguro desde su ROM de arranque de la misma forma que sucede en los iPhone, iPad y computadoras Mac con Apple Chip. Esto verifica el gestor de arranque de iBoot, y es el primer paso de la cadena de confianza. iBoot verifica el kernel y el código de extensión del kernel del chip T2, lo que verifica el firmware UEFI de Intel. El firmware UEFI y la firma relacionada inicialmente están disponibles únicamente con el chip T2.
Después de la verificación, la imagen del firmware UEFI se asigna en una porción de la memoria del chip T2. Esta memoria se pone a disposición del CPU de Intel a través de la interfaz periférica serial mejorada (eSPI). Cuando el CPU de Intel arranca por primera vez, obtiene el firmware UEFI mediante la eSPI desde la copia asignada en la memoria y con verificación de integridad del firmware ubicado en el chip T2.
La evaluación de la cadena de confianza continúa en el CPU de Intel, mientras el firmware UEFI evalúa la firma de boot.efi, que es el administrador de arranque de macOS. Las firmas de arranque seguro de macOS que residen en Intel se almacenan en el mismo formato Image4 utilizado para iOS, iPadOS y el arranque seguro del chip T2, y el código que analiza los archivos Image4 es el mismo código endurecido de la implementación actual del arranque seguro de iOS y iPadOS. A su vez, boot.efi verifica la firma de un nuevo archivo llamado immutablekernel. Cuando se activa el arranque seguro, el archivo immutablekernel representa el conjunto completo de extensiones kernel de Apple requeridas para arrancar macOS. La política de arranque seguro termina en la entrega del immutablekernel, y después de eso, las políticas de seguridad de macOS (como la protección de la integridad del sistema y las extensiones kernel firmadas) entran en efecto.
Si hay algún error o fallo en este proceso, la Mac entra en el modo de recuperación, el modo de recuperación del chip de seguridad T2 de Apple, o el modo de actualización del firmware del dispositivo (DFU).
Microsoft Windows en una Mac basada en Intel con el chip T2
De manera predeterminada, una computadora Mac basada en Intel que es compatible con el arranque seguro únicamente confía en contenido firmado por Apple. Sin embargo, para mejorar la seguridad de las instalaciones de Boot Camp, Apple también es compatible con el arranque seguro para Windows. El firmware de la interfaz del firmware extensible unificado (UEFi) incluye una copia del certificado Microsoft Windows Production CA 2011 para autenticar los gestores de arranque de Microsoft.
Nota: actualmente no hay confianza para el certificado Microsoft Corporation UEFI CA 2011, que permitiría la verificación del código firmado por los socios de Microsoft. El UEFI CA se utiliza comúnmente para verificar la autenticidad de los gestores de arranque para otros sistemas operativos, como las variantes de Linux.
El soporte para el arranque seguro de Windows no está activado de forma predeterminada; en lugar de ello, se activa usando el asistente de Boot Camp (BCA). Cuando un usuario ejecuta el BCA, se reconfigura macOS para confiar en el código de origen de Microsoft durante el arranque. Después de que el BCA termine, si macOS no puede aprobar la evaluación de confianza de origen de Apple durante el arranque seguro, el firmware UEFI intenta evaluar la confianza del objeto de acuerdo con el formato de arranque seguro de UEFI. Si la evaluación de confianza tiene éxito, la Mac procede e inicia Windows. Si no, la Mac entra en recoveryOS y le informa al usuario sobre el fallo en la evaluación de la confianza.
Computadoras Mac basadas en Intel sin el chip T2
Las computadoras Mac basadas en Intel que no tienen el chip T2 no son compatibles con el arranque seguro. Por lo tanto, el firmware de la interfaz del firmware extensible unificado (UEFi) carga el arrancador de macOS (boot.efi) desde el sistema de archivos sin verificación, y el arrancador carga el kernel (prelinkedkernel) desde el filesystem sin verificación. Para proteger la integridad de la cadena de arranque, los usuarios deberían activar todos los siguientes mecanismos de seguridad:
Protección de la integridad del sistema (SIP): está activada de forma predeterminada y protege al arrancador y al kernel de escrituras maliciosas desde el interior de una macOS en funcionamiento.
FileVault: se puede activar de dos formas, ya sea por parte del usuario o mediante un administrador de administración de dispositivos móviles (MDM). Esto evita que los atacantes físicamente presentes usen el modo de disco objetivo para sobrescribir el arrancador.
Contraseña del firmware: se puede activar de dos formas, ya sea por parte del usuario o mediante un administrador MDM. Esto ayuda a evitar que algún atacante físicamente presente inicie modos alternativos de arranque como recoveryOS, el modo de usuario único o el modo de disco objetivo, desde los cuales se puede sobrescribir el arrancador. Esto también evita que se realice el arranque desde soportes alternativos, desde los cuales los atacantes podrían ejecutar código para sobrescribir el arrancador.
