También tengo que poner el MacBook en modo de seguridad "permisivo" a través de recuperación para completar la instalación.
Se trata de un concepto erróneo. No está poniendo el MacBook en modo de seguridad "permisivo". Usted está colocando la instalación de Asahi Linux en modo permisivo.
Los Mac de silicona de Apple implementan un mecanismo de arranque seguro único que no se parece al de otros dispositivos informáticos personales. Normalmente, los dispositivos están totalmente abiertos, bloqueados sólo para el software aprobado por el fabricante o se puede alternar entre esos estados mediante algún mecanismo (a veces más, a veces menos seguro). En cambio, las máquinas Apple Silicon implementan el modo de seguridad por separado para cada sistema operativo instalado como parte de un marco denominado Política de arranque y esto es lo que significan los modos de seguridad disponibles:
- Seguridad total: Sólo arrancará sistemas operativos aprobados por Apple, y la instalación requiere llamar a casa de Apple (lo que les permite revocar antiguas versiones de software vulnerables para que no se vuelvan a instalar).
- Seguridad reducida: Sólo arrancará sistemas operativos aprobados por Apple, pero cualquier sistema operativo de este tipo que salga al mercado puede instalarse sin necesidad de llamar a casa.
- Seguridad permisiva: Sólo arrancará Aprobado por el usuario OS, donde la aprobación requiere presencia física y autenticación. Secure Boot es todavía activado, pero ahora es usted quien elige qué autorizar, no Apple.
Debido a la forma en que está diseñado el mecanismo, los nuevos SO deben instalarse primero en Seguridad total (de MacOS) o Seguridad reducida (desde un recoveryOS existente) antes de ser degradado a Seguridad permisiva más tarde. Esto debe hacerse desde una instancia de recoveryOS estrictamente controlada, y hay muchos requisitos:
- Debe ser un recoveryOS firmado por Apple
- Debe ser la misma versión (desde el punto de vista de la máquina) que el sistema operativo que se está degradando.
- Debe ser una instancia instalada y emparejada con el sistema operativo que se está degradando.
- Debe haberse iniciado mediante un procedimiento muy específico, que implica mantener pulsado el botón de encendido desde un estado de apagado en frío para demostrar la presencia del usuario.
- El usuario debe introducir sus credenciales, que deben haber sido autorizadas como propietario de la máquina (normalmente un usuario administrador de una instalación MacOS existente).
En ese momento, la seguridad de ese sistema operativo específico puede ser degradado, y el gestor de arranque del sistema operativo personalizado real puede ser instalado. Este proceso firma localmente el nuevo gestor de arranque del SO con una firma criptográfica, por lo que reemplazarlo solo puede hacerse siguiendo este proceso de nuevo. Esto le permite disponer de un sistema operativo de terceros totalmente controlado por el usuario y arrancado de forma segura. . Por supuesto, estos sistemas operativos de terceros necesitan implementar una cadena de arranque segura completa para que esto sea tan seguro como MacOS (Asahi Linux no lo hace todavía, pero se ha planeado desde el primer día y lo hará en algún momento).
El proceso de instalación de Asahi Linux es, esencialmente, este:
- Crear un nuevo contenedor APFS
- Instalar un MacOS "stub" (descargado directamente de la CDN de Apple), de la versión que elijamos, que contenga todo menos el sistema de archivos root (esto incluye recoveryOS y todos los componentes necesarios para ejecutarlo, así como el cargador de arranque iBoot y el firmware emparejado con el SO que no pueden sustituirse en una instalación de SO de terceros).
- Instalar Asahi Linux (particiones EFI/ext4). Esto es inerte en este punto.
- Autorizar el MacOS fresco del stub para ser bootable en esta máquina. Si está instalando desde MacOS, esto pasará por el proceso de inicio telefónico entre bastidores y lo autorizará en Seguridad total modo. Si está instalando Asahi Linux directamente desde un Terminal recoveryOS, en su lugar le pedirá las credenciales de acceso y saltará directamente a Seguridad reducida (que es lo más bajo que se puede llegar desde un sin pareja recoveryOS perteneciente a la instalación incorrecta de macOS), evitando el paso de teléfono a casa.
- Marque el nuevo SO como opción de arranque por defecto y pida al usuario que arranque en recoveryOS (mantenga pulsado el botón de encendido). Esto, implícitamente, arrancará en la nueva instancia de recoveryOS que se acaba de instalar, que es el sólo entorno que puede autorizar un cambio en Seguridad permisiva para el nuevo sistema operativo. El instalador de Asahi Linux utiliza un truco para hacer esto más ergonómico para los usuarios, por lo que parece que está seleccionando la instalación de Asahi Linux y va directamente a la instalación script en lugar de tener que sacar un Terminal e iniciarlo manualmente, pero todavía tiene que estar en el recoveryOS correcto (que es lo que se obtiene manteniendo pulsado el botón de encendido). Tenga en cuenta que el "selector de arranque" que le permite elegir un sistema operativo es ya ¡un recoveryOS en marcha!
- Cambiar el modo de seguridad para este sistema operativo a Seguridad permisiva solicitando al usuario sus credenciales en el proceso
- Por último, instala el gestor de arranque Asahi Linux (que lo firma localmente y lo autoriza a arrancar en esta máquina - se trata de un proceso local, nada de llamar a casa), solicitando de nuevo las credenciales.
En ese momento reinicias y ya estás en el nuevo SO.
¿Cómo afecta esto a la seguridad de otros sistemas operativos de la máquina? No afecta. Tu instalación existente de macOS sigue siendo de seguridad total, con todos los privilegios que eso conlleva (como poder ejecutar aplicaciones de iOS y ver contenidos protegidos por DRM). La propia imagen del sistema operativo sigue estando firmada por Apple y verificada en tiempo de ejecución, y no puede ser comprometida desde Linux. Los datos del usuario pueden ser si no has activado FileVault (aunque en la práctica no tenemos soporte para APFS con cifrado transparente, así que un atacante tendría que desarrollarlo primero). Si lo has hecho, lo máximo que puede hacer un sistema operativo de terceros es destruir/corromper tus datos, no extraerlos o comprometerlos.
Activar FileVault también tiene un beneficio adicional, ya que obliga a recoveryOS a pedirte las credenciales por adelantado, lo que significa que no puedes utilizar ese entorno para entrar en tu máquina o eludir los requisitos de inicio de sesión con contraseña.
Por lo tanto, estas máquinas son diseñado para que puedas hacerlo sin comprometer la seguridad de tu sistema operativo principal. Otra cuestión es si puedes vender esto con éxito al equipo de seguridad de tu empresa :-)
Encontrará una descripción más detallada de la arquitectura de seguridad de Apple Silicon en la página Introducción a Apple Silicon en la wiki de Asahi Linux.
