Utilidad de Seguridad de Arranque en las computadoras Mac con el chip de seguridad T2 de Apple
Descripción general
En una computadora Mac basada en Intel que tiene el chip de seguridad T2 de Apple, Utilidad de Seguridad de Arranque maneja una variedad de configuraciones para las políticas de seguridad. Se puede acceder a la utilidad al arrancar en recoveryOS y seleccionar Utilidad de Seguridad de Arranque desde el menú Utilidades, y su función es proteger la configuración de seguridad admitida de una manipulación por parte de un atacante.
Los cambios a las políticas críticas requieren autenticación, aunque se esté en el modo de recuperación. Cuando se abre por primera vez Utilidad de Seguridad de Arranque, se le pide al usuario que ingrese la contraseña de administrador de la instalación primaria de macOS relacionada con el recoveryOS que se está arrancando actualmente. Si no existe ningún administrador, se debe crear uno para poder cambiar la política. El chip T2 requiere que la computadora Mac se haya arrancado en recoveryOS y que se haya producido una autenticación con una credencial respaldada por el Secure Enclave para que se pueda realizar cualquier cambio en la política. Los cambios en las políticas de seguridad tienen dos requerimientos implícitos. recoveryOS debe:
Arrancarse desde un dispositivo de almacenamiento conectado directamente al chip T2, pues las particiones en otros dispositivos no tienen credenciales respaldadas por el Secure Enclave y enlazadas al dispositivo de almacenamiento interno.
Estar en un volumen basado en APFS, puesto que sólo hay soporte para almacenar las credenciales de autenticación de recuperación que se enviaron al Secure Enclave en el volumen APFS de “prearranque” de una unidad. Los volúmenes con formato HFS plus no pueden utilizar el arranque seguro.
Esta política únicamente se muestra en Utilidad de Seguridad de Arranque en las computadoras Mac basadas en Intel que tienen el chip T2. Aunque la mayoría de los casos de uso no requieren cambios en la política de arranque seguro, los usuarios tienen el control de la configuración de su dispositivo, y pueden decidir según sus necesidades si desean desactivar o reducir la funcionalidad del arranque seguro de su Mac.
Los cambios a la política de arranque seguro realizados desde esta app únicamente se aplican a la evaluación de la cadena de confianza verificada en el procesador Intel. La opción de arranque seguro siempre está en vigor en el chip T2.
Se puede configurar la política de arranque seguro a una de estas configuraciones: Máxima seguridad, Seguridad media y Sin seguridad. La política Sin seguridad desactiva completamente la evaluación del arranque seguro en el procesador Intel, y le permite al usuario arrancar lo que quiera.
Política de arranque con máxima seguridad
La política de arranque predeterminada es Máxima seguridad, y su comportamiento es similar al de iOS y iPadOS, y al de Máxima seguridad en las Mac con Apple Chip. En el momento en que se descarga el software y se prepara para su instalación, como parte de la solicitud de firma, se personaliza mediante una firma que incluye el identificador de chip exclusivo (ECID), que en este caso es un identificador único específico para el chip T2. La firma que devuelve el servidor de firmas es única, y la puede usar solamente ese chip T2 particular. El firmware de la interfaz del firmware extensible unificado (UEFi) está diseñado para garantizar que cuando la política Máxima seguridad esté en vigor, una firma específica no esté firmada sólo por Apple, sino por esta Mac específica, esencialmente al vincular esa versión de macOS a esa Mac. Esto ayuda a prevenir ataques de retroceso como se describe para Máxima seguridad en una Mac con Apple Chip.
Política de arranque con Seguridad media
La política de arranque Seguridad media es similar a la de arranque seguro UEFI tradicional, en donde un proveedor (en este caso, Apple) genera una firma digital para el código, a fin de asegurar que viene del proveedor. De este modo, se evita que los atacantes inserten código sin firmar. Nos referimos a esta firma como una firma “global”, porque se puede usar en cualquier Mac, por cualquier cantidad de tiempo, para una Mac que actualmente tenga configurada la política Seguridad media. Ni iOS y iPadOS, ni el chip T2 en sí, son compatibles con firmas globales. Esta configuración no intenta evitar los ataques de retroceso.
Política de arranque de medios
La política de arranque de medios existe sólo en las computadoras Mac basadas en Intel con el chip T2, y es independiente de la política de arranque seguro. Así que, incluso si el usuario desactiva el arranque seguro, esto no cambia el comportamiento predeterminado que impide el arranque desde cualquier lugar que no sea el dispositivo de almacenamiento conectado directamente al chip T2 para arrancar la Mac (la política de arranque de medios no es necesaria en una Mac basada en Apple Chip; para obtener más información, consulta Control de la política de seguridad del disco de arranque).