Главная » Хабрахабр » На новых MacBook невозможно загрузить Linux из-за чипа T2

На новых MacBook невозможно загрузить Linux из-за чипа T2

Энтузиасты Linux частенько ставят свободную ОС на оборудовании Apple, в том числе MacBook Air. Так они получают двойную выгоду: и удобную операционную систему из привычного дистрибутива, и надёжность «железа» Apple, Даже Линус Торвальдс раньше использовал MacBook Air таким образом.

Новая линейка оборудования Apple стала более враждебной по отношению к Linux. Однако эти счастливые времена могут остаться в прошлом. Он эффективно блокирует загрузку Linux на Mac Mini, сообщает издание Linux-сообщества Phoronix. Проблема в новом чипе безопасности T2, который Apple добавила в последние модели своих компьютеров. T2 немного ограничивает процесс загрузки и проверяет каждый шаг процесса с помощью криптографических ключей, подписанных Apple. Судя по всему, аналогичная ситуация и на других моделях компьютеров, где установлен этот чип.
Чип безопасности T2 отвечает за шифрование хранилища APFS, проверку безопасной загрузки UEFI, обработку Touch ID, отключение аппаратного микрофона при закрытии крышки ноутбука и другие задачи безопасности.

По умолчанию даже Microsoft Windows не загружается на новых системах Apple, пока не будет включена поддержка Windows через программное обеспечение Boot Camp Assistant на macOS. Теперь с загрузкой альтернативных ОС возникают сложности. Но он не устанавливает одобренный Microsoft сертификат UEFI, позволяющий верификацию кода партнёрами Microsoft, включая тот, что используется для подписания дистрибутивов Linux, которые хотят иметь поддержку UEFI SecureBoot для компьютеров с Windows. Этот инструмент установит сертификат Windows Production CA 2011, который используется для проверки подлинности загрузчиков Microsoft.

Этот UEFI CA обычно используется для проверки подлинности загрузчиков для других операционных систем, таких как варианты Linux», — сказано в документе. Документация T2 от Apple даёт понять этот факт и явно упоминает Linux: «В настоящее время отсутствует цепочка доверия для Microsoft Corporation UEFI CA 2011, позволяющего верификацию кода, подписанного партнёрами Microsoft.

Другими словами, пока Apple не решит добавить этот сертификат или чип T2 не взломают, чтобы его можно было полностью отключить или разрешить загрузку произвольных ключей — до этих пор загрузить дистрибутивов Linux на новом оборудовании Apple будет сложно.

Техническая поддержка Apple опубликовала пояснение, что загрузить альтернативные операционные системы всё-таки возможно, если полностью отключить функцию безопасной загрузки Secure Boot при загрузке через Startup Security Utility в режиме macOS Recovery.

Пользователи сообщают, что даже в таком варианте чип T2 по-прежнему блокирует все операционные системы, кроме macOS и Windows 10. Можно было бы предположить, что отключение безопасной загрузки без проблем позволит загружать Linux, но это не так. Это довольно странно, поскольку при установке параметра No Security в macOS Secure Boot указано, что он не предъявляет к вашему загрузочному диску никаких требований безопасности.

Кроме того, она используется в портативных моделях Mac Mini. Микросхема T2 встроена в последние модели фирменных ноутбуков, в том числе представленный в начале года MacBook Pro и только что анонсированный MacBook Air.

Однако нововведение не всем понравилось. Apple заявляет, что T2 обеспечивает «невиданный» уровень безопасности для Mac. Например, автор приложения Macs Fan Control говорит, что теперь его программа не будет работать под Windows на компьютерах iMac Pro и MacBook Pro 2018: «Дополнительная безопасность — это отлично (хотя мы не просили об этом), но только тогда, когда это ограничения не являются обязательными, и опытный пользователь может их отключить. Недовольство выражают и некоторые разработчики. Кажется, чип T2 блокирует доступ к SMC под Windows, а этот контроллер необходим для получения значений датчиков и информации о кулерах». К сожалению, у Apple не так: она всё больше двигается в сторону запретов и ограничений, что не хорошо для опытных пользователей и разработчиков.

Несмотря на регистрацию соответствующего тикета на GitHub, разработчик просит не надеяться, что проблему удастся решить.


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

Получаем музыку Вк через сторонний API

В этот раз дело начиналось после закрытия методов audio в методе execute. Я решил посмотреть, как получают музыку сайты, которые предоставляют возможность ее скачать. Меня заинтересовал сайт vrit.me. Я залез во вкладку network и увидел интересный запрос: То есть, можно ...

Все, что нужно знать о стрессе и сильных эмоциях

Под катом — цикл из 3-х видео и текстовых версий к ним. Причина внутри нас. Главное — стресс вызван не внешними событиями. Мы можем управлять этим процессом, потому что он основан на нашем опыте. Внутри каждого существует процесс, который отвечает ...