2.4 Glosario esencial

En este apartado profundizaremos en los términos clave que todo usuario avanzado de GrapheneOS debe dominar. Cada concepto se aborda desde su definición técnica, su relevancia en la arquitectura de arranque segura y sus implicaciones prácticas al administrar o personalizar el sistema operativo.

Bootloader

Definición y propósito

El bootloader es un programa de bajo nivel encargado de inicializar el hardware del dispositivo y cargar el sistema operativo. Actúa como primer punto de control después de encender el equipo, verificando la integridad de las particiones y estableciendo el entorno mínimo para que Android (en este caso GrapheneOS) arranque correctamente.

Funciones principales

• Verificación de firma criptográfica de imágenes de arranque.
• Selección de partición (A o B) en configuraciones de actualización sin interrupciones.
• Activación de opciones de recuperación y modos de emergencia.

Procedimiento de desbloqueo (Unlock)

1. Habilitar la opción “OEM unlocking” en las Opciones de Desarrollo.
2. Reiniciar en modo bootloader (fastboot).
3. Ejecutar fastboot flashing unlock desde el equipo conectado.
4. Confirmar el desbloqueo en la pantalla del dispositivo.

Android Verified Boot (AVB)

Concepto y arquitectura

Android Verified Boot (AVB) es el mecanismo que asegura la integridad de cada partición del sistema mediante firmas criptográficas. AVB extiende la cadena de confianza más allá del bootloader, verificando bloques de datos y metadatos antes de cargarlos en memoria.

Componentes clave

• vbmeta: Contenedor de metadatos que agrupa firmas y hashes de otras particiones.
• Hashes de partición: Valores SHA-256 que garantizan que el contenido no ha sido alterado.
• Rollback Protection: Previene la instalación de versiones antiguas vulnerables.

Flujo de verificación

1. Bootloader carga y verifica la imagen vbmeta.
2. Se comprueba la firma de cada partición referenciada (system, vendor, recovery).
3. En caso de fallo, se detiene el arranque o se lanza un modo de recuperación seguro.

Particiones A/B

Visión general

El esquema de particiones A/B habilita actualizaciones sin tiempo de inactividad. GrapheneOS emplea esta estrategia para aplicar patches y upgrades de sistema de manera atómica, alternando entre slot A y slot B.

Ventajas

• Actualizaciones más seguras: si el nuevo slot falla, se vuelve al anterior.
• Menor tiempo de inactividad: el usuario puede seguir usando el dispositivo mientras se escribe el slot inactivo.
• Compatibilidad con Dynamic Partitions: permite redimensionar particiones en tiempo real.

Procedimiento de cambio de slot

1. Consultar slot activo: fastboot getvar current-slot.
2. Seleccionar slot inactivo: fastboot set_active a (o “b”).
3. Reiniciar para arrancar desde el nuevo slot.

Factory Image

Definición y componentes

Una factory image es un paquete oficial que contiene todas las imágenes de sistema necesarias para restaurar o instalar GrapheneOS desde cero. Suele distribuirse en formato comprimido (tar.gz) e incluye particiones como boot, system, vendor y vbmeta.

Pasos para flasheo

1. Descargar la factory image oficial correspondiente al modelo de dispositivo.
2. Reiniciar en modo bootloader y conectar al equipo.
3. Ejecutar script de flasheo:

./flash-all.sh

El script detecta automáticamente las particiones A/B y aplica cada imagen en el orden adecuado, finalizando con el bloqueo opcional del bootloader.

Buenas prácticas

• Verificar integridad SHA-256 del archivo descargado.
• Realizar copia de seguridad de datos sensibles antes del flasheo.
• Mantener el dispositivo con carga superior al 50%.

Libros recomendados:

• Android Security Internals de Nikolay Elenkov
  – Profundiza en bootloaders, particiones A/B y Verified Boot (AVB).
  nostarch.com/androidsecurity
• Embedded Android de Karim Yaghmour
  – Cubre arranque, particiones y despliegue de imágenes de fábrica en dispositivos Android.
  oreilly.com/embedded-android
• Android System Programming de Roger Ye
  – Incluye capítulo sobre bootloader y gestión de particiones A/B.
  apress.com/book/9781484217557

Recursos en línea:

• GrapheneOS Documentation
  – Glosario y explicaciones de bootloader, AVB, particiones A/B y factory images.
  grapheneos.org/docs
• Android Open Source Project (AOSP)
  – Sección “Verified Boot” y “Factory Images for AOSP Devices”.
  source.android.com/security/verifiedboot
  
  
  developers.google.com/android/images
• AVB 1.0 Specification
  – Documento oficial sobre Android Verified Boot.
  source.android.com/security/verifiedboot/avb
• Blog de desenvolupament de XDA-Developers
  – Artículos sobre desbloqueo de bootloader, flasheo de factory images y particiones A/B.
  xda-developers.com