На новые MacBook, iMac и Mac mini невозможно установить Linux‍

Микросхема безопасности T2, которой оборудованы iMac Pro 2017 года, а также новейшие MacBook Air и Mac mini из соображений безопасности не допускает загрузку операционных систем, отличных от «родной» macOS и Windows 10. Отключение функции безопасной загрузки, по-видимому, не позволяет решить проблему.

Чип T2 теперь «защищает» от Linux

Компьютеры Apple нового поколения, оснащенные чипом безопасности T2, по умолчанию настроены таким образом, что загрузка операционных систем с ядром Linux на них невозможна. Об этом сообщил ресурс Phoronix.

Микросхема T2 представляет собой однокристальную систему на базе архитектуры ARMv8. На чип возложен ряд функций безопасности, в том числе хранение и защита ключей шифрования устройства, данных об отпечатках пальцев владельца и функции безопасной загрузки (Secure Boot).

При запуске ОС T2 проверяет каждый этап загрузки, используя криптографические ключи, подписанные Apple. Таким образом, без произведения дополнительных манипуляций загрузка ОС отличных от macOS на компьютерах Apple становится невозможной.

Утилита Boot Camp Assistant, обеспечивающая возможность установки Windows 10 на компьютеры Apple, автоматически добавляет в систему сертификат Windows Production CA 2011, который разрешает использование загрузчиков Microsoft. Сертификат Microsoft Corporation UEFI CA 2011, применяемый партнерами Microsoft, среди которых – разработчики дистрибутивов GNU/Linux, судя по актуальной документации к Apple T2, на данный момент не считается заслуживающим доверия.

Способ обхода ограничения

По информации, предоставленной службой поддержки Apple, для новых компьютеров с чипом T2 «на борту» выпущена специальная утилита Startup Security Utility. Она позволяет управлять рядом настроек безопасности системы, в том числе и деактивировать функцию безопасной загрузки. Получить доступ к программе возможно загрузившись в режиме восстановления macOS.

Тем не менее, как отмечают некоторые пользователи Сети, отключение безопасной загрузки не дает желаемого результата – установить GNU/Linux на новые ПК Apple все равно не удается.

«В настоящее время невозможно установить что-либо кроме Windows 10 на компьютеры Apple, оборудованные чипом T2, – пишет пользователь GeekUser на популярном англоязычном ресурсе Stack Exchange. – Этот чип безопасности не позволяет установщикам увидеть жесткий диск устройства. Apple великодушно сделала исключение для Windows 10 (при установке с помощью Boot Camp). Возможный путь решения проблемы – установка Linux на внешний USB/Thunderbolt-носитель. Я пробовал этот вариант с Windows, и он сработал. Тем не менее, внутренний носитель оставался невидимым для системы».

О чипе T2

Микросхема T2 впервые появилась в моноблоке Apple iMac Pro, увидевшем свет 14 декабря 2017 г. Чипом также оснащаются представленные в конце октября 2018 г. ноутбук MacBook Air с 13-дюймовым дисплеем Retina и компактный персональный компьютер Mac mini.

Стоит отметить интересную особенность T2, которая обеспечивает аппаратное отключение микрофона встроенной веб-камеры при закрытии крышки ноутбука Apple, максимально затрудняя прослушку владельца злоумышленниками.

UEFI и Secure Boot

На современные компьютеры устанавливается интерфейс UEFI (Unified Extensible Firmware Interface), разработанный Intel для систем на базе процессора Itanium в середине 1990-х гг в качестве замены BIOS.

Базовая система ввода-вывода (BIOS) — это набор микропрограмм для начальной загрузки компьютера, которая имеет место после включения питания и до запуска ОС и других программ. В BIOS реализован API для взаимодействия с внутренними устройствами компьютера и внешней аппаратурой.

BIOS представляет собой набор микропрограмм для IBM PC-совместимых устройств – то есть, фактически, совместимых с первым 16-битным процессором Intel, выпущенным в 1978 г. и послужившим основой для архитектуры x86. Например, набор микропрограмм для архитектуры компьютеров архитектуры SPARC будет называться PROM или Boot. Как ранее писал CNews, Intel планирует полностью избавиться от BIOS к 2020 г.

Частью спецификации UEFI является протокол Secure Boot, защищающий от выполнения неподписанного кода как на этапе загрузки, так и на в процессе работы ОС. В Windows и GNU/Linux проверяются подписи драйверов (модулей ядра), поэтому вредоносный код в режиме ядра выполнить нельзя.

В 2011 г. Microsoft включила в требования для сертификации компьютеров под управлением Windows 8 условие поставки таких систем при активированном Secure Boot с использованием ключа Microsoft. От поставщиков ARM-систем компания потребовала реализовать невозможность отключения Secure Boot.

Данный шаг Microsoft спровоцировал шквал критики в адрес корпорации, ведь подобные требования затрудняли, а в некоторых случаях делали практически невозможной, установку каких-либо ОС, кроме Windows.

18