CleanPress

Schlagwort: T2

  • Neue MacBooks und Mac Mini verhindern Linux-Installation

    Sicherheitschip T2
    Bild: Apple iPhone 3GS scratched back 2, logo – macro | Quelle: Dominick Guzzo | Lizenz: CC BY 2.0

     

    Der neue Sicherheitschip T2 in aktueller Apple-Hardware verhindert das Booten von Linux-Distributionen. Informationen über eine Umgehungsmöglichkeit sind widersprüchlich. Betroffen sind der neue Mac Mini ebenso wie das aktuelle MacBook Air 2018, die gesamte aktuelle MacBook-Pro-Generation und der iMac Pro.

    Grundsätzlich begrüßenswert

    Der neue T2-Sicherheitschip ist grundsätzlich eine gute Sache, er sichert den Bootvorgang ab und entspricht in groben Zügen dem, was Microsoft mit Secure Boot oder Hersteller wie Purism mit TPM und Heads für ihre Linux-Notebooks bereitstellen. Diese Maßnahmen schaffen Sicherheit, dass der Bootvorgang seit dem letzten Start nicht manipuliert wurde. Der T2-Chip verlangt dazu von Apple signierte Crypto-Schlüssel.

    Ausnahme für Microsoft

    Das schließt zunächst auch Microsoft Windows vom erfolgreichen Booten aus. Hier gibt es allerdings einen offiziellen Ausweg: Über den Boot-Camp-Assistenten von Apple kann das Windows-Production-CA-2011-Zertifikat installiert werden, das in der Lage ist, den Bootloader von Windows zu authentifizieren. Dies gestattet normalerweise  über ein weiteres Zertifikat namens Microsoft-Corporation-UEFI-CA-2011 das Signieren von Linux-Distributionen. Dieser Schritt wird jedoch von Apple verhindert, die dazu in der Dokumentation des T2-Chips auf Seite 9 schreiben:

    [su_quote style=“modern-light“ url=“https://www.apple.com/mac/docs/Apple_T2_Security_Chip_Overview.pdf“]HINWEIS: Es gibt derzeit kein Vertrauen für die Microsoft Corporation UEFI CA 2011, das die Überprüfung von von Microsoft-Partnern signiertem Code ermöglichen würde. Diese UEFI CA wird häufig verwendet, um die Authentizität von Bootloadern für andere Betriebssysteme wie Linux-Varianten zu überprüfen. [/su_quote]

    Ausweg mit Tücken

    Somit bleibt Linux-Usern vorerst offiziell die Installation auf Geräten mit T2-Chip verwehrt. Allerdings gibt es laut Apples Support-Unterlagen einen Ausweg über die Recovery-Funktion, der die Einstellung No Security erlaubt. In diesem Modus werden Boot-Medien nicht überprüft. Allerdings gibt es hierzu Berichte, dass in diesem Fall NVMe-Geräte nicht erkannt werden und somit eine erfolgreiche Installation verhindert wird.