Neue MacBooks und Mac Mini verhindern Linux-Installation

Sicherheitschip T2
Bild: Apple iPhone 3GS scratched back 2, logo – macro | Quelle: Dominick Guzzo | Lizenz: CC BY 2.0

 

Der neue Sicherheitschip T2 in aktueller Apple-Hardware verhindert das Booten von Linux-Distributionen. Informationen über eine Umgehungsmöglichkeit sind widersprüchlich. Betroffen sind der neue Mac Mini ebenso wie das aktuelle MacBook Air 2018, die gesamte aktuelle MacBook-Pro-Generation und der iMac Pro.

Grundsätzlich begrüßenswert

Der neue T2-Sicherheitschip ist grundsätzlich eine gute Sache, er sichert den Bootvorgang ab und entspricht in groben Zügen dem, was Microsoft mit Secure Boot oder Hersteller wie Purism mit TPM und Heads für ihre Linux-Notebooks bereitstellen. Diese Maßnahmen schaffen Sicherheit, dass der Bootvorgang seit dem letzten Start nicht manipuliert wurde. Der T2-Chip verlangt dazu von Apple signierte Crypto-Schlüssel.

Ausnahme für Microsoft

Das schließt zunächst auch Microsoft Windows vom erfolgreichen Booten aus. Hier gibt es allerdings einen offiziellen Ausweg: Über den Boot-Camp-Assistenten von Apple kann das Windows-Production-CA-2011-Zertifikat installiert werden, das in der Lage ist, den Bootloader von Windows zu authentifizieren. Dies gestattet normalerweise  über ein weiteres Zertifikat namens Microsoft-Corporation-UEFI-CA-2011 das Signieren von Linux-Distributionen. Dieser Schritt wird jedoch von Apple verhindert, die dazu in der Dokumentation des T2-Chips auf Seite 9 schreiben:

[su_quote style=”modern-light” url=”https://www.apple.com/mac/docs/Apple_T2_Security_Chip_Overview.pdf”]HINWEIS: Es gibt derzeit kein Vertrauen für die Microsoft Corporation UEFI CA 2011, das die Überprüfung von von Microsoft-Partnern signiertem Code ermöglichen würde. Diese UEFI CA wird häufig verwendet, um die Authentizität von Bootloadern für andere Betriebssysteme wie Linux-Varianten zu überprüfen. [/su_quote]

Ausweg mit Tücken

Somit bleibt Linux-Usern vorerst offiziell die Installation auf Geräten mit T2-Chip verwehrt. Allerdings gibt es laut Apples Support-Unterlagen einen Ausweg über die Recovery-Funktion, der die Einstellung No Security erlaubt. In diesem Modus werden Boot-Medien nicht überprüft. Allerdings gibt es hierzu Berichte, dass in diesem Fall NVMe-Geräte nicht erkannt werden und somit eine erfolgreiche Installation verhindert wird.

 

 

0 0 votes
Article Rating

Verwandte Themen

0 0 votes
Article Rating
Abonnieren
Benachrichtige mich bei
15 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments