Linux-Enthusiasten installieren häufig ein kostenloses Betriebssystem auf Apple-Hardware, einschließlich des MacBook Air. Sie haben also einen doppelten Vorteil: sowohl ein praktisches Betriebssystem aus der üblichen Distribution als auch die Zuverlässigkeit der Apple-Hardware. Sogar Linus Torvalds hat das MacBook Air zuvor auf diese Weise verwendet.
Diese glücklichen Zeiten können jedoch der Vergangenheit angehören. Apples neue Hardwarelinie ist Linux-feindlicher geworden. Das Problem ist der neue
T2-Sicherheitschip , den Apple zu den neuesten Computermodellen hinzugefügt hat.
Laut der Phoronix Linux-Community wird das Booten von Linux auf dem Mac Mini effektiv blockiert. Anscheinend ist die Situation bei anderen Computermodellen, bei denen dieser Chip installiert ist, ähnlich.
Der T2-Sicherheitschip ist für die Verschlüsselung des APFS-Speichers, die Überprüfung des sicheren UEFI-Starts, die Verarbeitung von Touch-IDs, die
Deaktivierung des Hardwaremikrofons beim Schließen des Laptopdeckels und andere Sicherheitsaufgaben verantwortlich. T2 schränkt den Startvorgang ein wenig ein und überprüft jeden Schritt des Vorgangs mit von Apple signierten kryptografischen Schlüsseln.
Beim Laden alternativer Betriebssysteme treten nun Schwierigkeiten auf. Standardmäßig bootet auch Microsoft Windows nicht auf neuen Apple-Systemen, bis die Windows-Unterstützung über die Boot Camp Assistant-Software unter macOS aktiviert wird. Dieses Tool installiert das Windows Production CA 2011-Zertifikat, mit dem Microsoft-Bootloader authentifiziert werden. Er installiert jedoch kein von Microsoft genehmigtes UEFI-Zertifikat, das die Codeüberprüfung durch Microsoft-Partner ermöglicht, einschließlich des Zertifikats, mit dem Linux-Distributionen signiert werden, die UEFI SecureBoot-Unterstützung für Windows-Computer benötigen.
In der T2-Dokumentation von Apple wird diese Tatsache deutlich und Linux wird klar erwähnt: „Derzeit gibt es keine Vertrauenskette für Microsoft Corporation UEFI CA 2011, die die Überprüfung des von Microsoft-Partnern signierten Codes ermöglicht. Diese UEFI-Zertifizierungsstelle wird häufig zur Authentifizierung von Bootloadern für andere Betriebssysteme wie Linux-Varianten verwendet “, heißt es in dem Dokument.
Mit anderen Worten, bis Apple beschließt, dieses Zertifikat hinzuzufügen oder der T2-Chip nicht gehackt wird, so dass er vollständig deaktiviert werden kann oder beliebige Schlüssel herunterladen kann, ist es bis dahin schwierig, Linux-Distributionen auf neue Apple-Hardware herunterzuladen.
Technischer Support Apple hat
eine Erklärung veröffentlicht, dass es weiterhin möglich ist, alternative Betriebssysteme herunterzuladen, wenn die Secure Boot-Funktion beim Booten über das Startup Security Utility im macOS Recovery-Modus vollständig deaktiviert ist.
Es könnte angenommen werden, dass das Deaktivieren des sicheren Starts ohne Probleme das Booten von Linux ermöglichen würde, dies ist jedoch nicht der Fall. Benutzer
berichten, dass der T2-Chip auch in dieser Version alle Betriebssysteme außer macOS und Windows 10 blockiert. Dies ist ziemlich seltsam, da das Setzen des Parameters
No Security auf macOS Secure Boot anzeigt, dass keine Anforderungen an Ihre Startdiskette gestellt werden Sicherheit.
Der T2-Chip ist in die neuesten Modelle von Marken-Laptops integriert, darunter das Anfang des Jahres eingeführte MacBook Pro und das gerade angekündigte MacBook Air. Es wird auch in tragbaren Mac Mini-Modellen verwendet.
Laut Apple bietet der T2 ein beispielloses Sicherheitsniveau für den Mac. Die Innovation gefiel jedoch nicht allen. Einige Entwickler äußern Unzufriedenheit. Zum Beispiel
sagt der Autor der Macs Fan Control-Anwendung
, dass sein Programm jetzt unter Windows auf iMac Pro- und MacBook Pro 2018-Computern nicht mehr funktioniert: „Zusätzliche Sicherheit ist großartig (obwohl wir nicht danach gefragt haben), aber nur, wenn es keine Einschränkungen gibt sind erforderlich, und ein erfahrener Benutzer kann sie ausschalten. Leider ist Apple nicht so: Es bewegt sich zunehmend in Richtung Verbote und Einschränkungen, was für erfahrene Benutzer und Entwickler nicht gut ist. Es scheint, dass der T2-Chip den Zugriff auf
SMC unter Windows blockiert, und dieser Controller ist erforderlich, um Sensorwerte und Informationen über Kühler zu erhalten. “
Trotz der Registrierung des entsprechenden
Tickets auf GitHub bittet der Entwickler nicht zu hoffen, dass das Problem gelöst werden kann.