На новых MacBook невозможно загрузить Linux из-за чипа T2
Энтузиасты Linux частенько ставят свободную ОС на оборудовании Apple, в том числе MacBook Air. Так они получают двойную выгоду: и удобную операционную систему из привычного дистрибутива, и надёжность «железа» Apple, Даже Линус Торвальдс раньше использовал MacBook Air таким образом.
Однако эти счастливые времена могут остаться в прошлом. Новая линейка оборудования Apple стала более враждебной по отношению к Linux. Проблема в новом чипе безопасности T2, который Apple добавила в последние модели своих компьютеров. Он эффективно блокирует загрузку Linux на Mac Mini, сообщает издание Linux-сообщества Phoronix. Судя по всему, аналогичная ситуация и на других моделях компьютеров, где установлен этот чип.
Чип безопасности T2 отвечает за шифрование хранилища APFS, проверку безопасной загрузки UEFI, обработку Touch ID, отключение аппаратного микрофона при закрытии крышки ноутбука и другие задачи безопасности. T2 немного ограничивает процесс загрузки и проверяет каждый шаг процесса с помощью криптографических ключей, подписанных Apple.
Теперь с загрузкой альтернативных ОС возникают сложности. По умолчанию даже Microsoft Windows не загружается на новых системах Apple, пока не будет включена поддержка Windows через программное обеспечение Boot Camp Assistant на macOS. Этот инструмент установит сертификат Windows Production CA 2011, который используется для проверки подлинности загрузчиков Microsoft. Но он не устанавливает одобренный Microsoft сертификат UEFI, позволяющий верификацию кода партнёрами Microsoft, включая тот, что используется для подписания дистрибутивов Linux, которые хотят иметь поддержку UEFI SecureBoot для компьютеров с Windows.
Документация T2 от Apple даёт понять этот факт и явно упоминает Linux: «В настоящее время отсутствует цепочка доверия для Microsoft Corporation UEFI CA 2011, позволяющего верификацию кода, подписанного партнёрами Microsoft. Этот UEFI CA обычно используется для проверки подлинности загрузчиков для других операционных систем, таких как варианты Linux», — сказано в документе.
Другими словами, пока Apple не решит добавить этот сертификат или чип T2 не взломают, чтобы его можно было полностью отключить или разрешить загрузку произвольных ключей — до этих пор загрузить дистрибутивов Linux на новом оборудовании Apple будет сложно.
Техническая поддержка Apple опубликовала пояснение, что загрузить альтернативные операционные системы всё-таки возможно, если полностью отключить функцию безопасной загрузки Secure Boot при загрузке через Startup Security Utility в режиме macOS Recovery.
Можно было бы предположить, что отключение безопасной загрузки без проблем позволит загружать Linux, но это не так. Пользователи сообщают, что даже в таком варианте чип T2 по-прежнему блокирует все операционные системы, кроме macOS и Windows 10. Это довольно странно, поскольку при установке параметра No Security в macOS Secure Boot указано, что он не предъявляет к вашему загрузочному диску никаких требований безопасности.
Микросхема T2 встроена в последние модели фирменных ноутбуков, в том числе представленный в начале года MacBook Pro и только что анонсированный MacBook Air. Кроме того, она используется в портативных моделях Mac Mini.
Apple заявляет, что T2 обеспечивает «невиданный» уровень безопасности для Mac. Однако нововведение не всем понравилось. Недовольство выражают и некоторые разработчики. Например, автор приложения Macs Fan Control говорит, что теперь его программа не будет работать под Windows на компьютерах iMac Pro и MacBook Pro 2018: «Дополнительная безопасность — это отлично (хотя мы не просили об этом), но только тогда, когда это ограничения не являются обязательными, и опытный пользователь может их отключить. К сожалению, у Apple не так: она всё больше двигается в сторону запретов и ограничений, что не хорошо для опытных пользователей и разработчиков. Кажется, чип T2 блокирует доступ к SMC под Windows, а этот контроллер необходим для получения значений датчиков и информации о кулерах».
Несмотря на регистрацию соответствующего тикета на GitHub, разработчик просит не надеяться, что проблему удастся решить.