No me queda claro cómo el iMac Pro aplica una cadena de arranque segura, específicamente si esto lo realiza el procesador x86, el firmware EFI, el T2 o una combinación de algunos o todos los anteriores.
No me queda claro cómo el iMac Pro aplica una cadena de arranque segura, específicamente si esto lo realiza el procesador x86, el firmware EFI, el T2 o una combinación de algunos o todos los anteriores.
El T2 impone un arranque seguro. En el nivel más alto en todas las Mac antes de la iMac Pro - High Sierra y el sistema operativo se ejecuta en la CPU principal, por lo que no hay una separación de poder para verificar que la CPU / el código se está ejecutando correctamente (o incluso que las partes del sistema operativo que Apple desea para proteger se firma / verifica con un cálculo de tipo de suma de comprobación).
El T2 tiene su propio sistema operativo y realiza todas las operaciones de almacenamiento, por lo que está perfectamente ubicado para aplicar la firma de código / extensiones de kernel / protección de integridad del sistema.
Algunos detalles adicionales sobre esto técnicamente se presentan a continuación:
En esencia, es un proceso de dos etapas, primero controlado por el T2 y luego por el proceso de arranque del sistema más tradicional.
La utilidad de seguridad de inicio configura el funcionamiento del T2, de modo que cuando se habilita la seguridad completa ...
- El cargador de arranque boot.efi se copia desde el macOS seleccionado en /System/Library/CoreServices/boot.efi a la partición de PreBoot APFS en /usr/standalone/i386/boot.efi.
- La variable efi-boot-device en EFI se establece en la ruta al boot.efi copiado.
El T2 es el primer paso de cualquier arranque posterior:
Una vez que se reinicia el Mac, se verifica la firma en el boot.efi especificado en NVRAM en la partición PreBoot.
Al iniciar el iMac Pro, el logotipo familiar de Apple aparece casi de inmediato. Esta es una señal de que el T2 está tomando el control. Por razones de seguridad, el T2 es la "raíz de confianza" del hardware iMac Pro y valida todo el proceso de arranque cuando se enciende la alimentación. El T2 se inicia, comprueba las cosas, carga su gestor de arranque, verifica que es legítimo y está firmado criptográficamente por Apple, y luego pasa a la siguiente parte del proceso de arranque.
Una vez que el T2 está contento, EFI continúa como siempre:
Si la comprobación de la firma del gestor de arranque se realiza correctamente, el control se pasa a boot.efi y Mac normalmente se inicia.