Sicherheitschip T2

Bild: Apple iPhone 3GS scratched back 2, logo – macro | Quelle: Dominick Guzzo | Lizenz: CC BY 2.0

 

Der neue Sicherheitschip T2 in aktueller Apple-Hardware verhindert das Booten von Linux-Distributionen. Informationen über eine Umgehungsmöglichkeit sind widersprüchlich. Betroffen sind der neue Mac Mini ebenso wie das aktuelle MacBook Air 2018, die gesamte aktuelle MacBook-Pro-Generation und der iMac Pro.

Grundsätzlich begrüßenswert

Der neue T2-Sicherheitschip ist grundsätzlich eine gute Sache, er sichert den Bootvorgang ab und entspricht in groben Zügen dem, was Microsoft mit Secure Boot oder Hersteller wie Purism mit TPM und Heads für ihre Linux-Notebooks bereitstellen. Diese Maßnahmen schaffen Sicherheit, dass der Bootvorgang seit dem letzten Start nicht manipuliert wurde. Der T2-Chip verlangt dazu von Apple signierte Crypto-Schlüssel.

Ausnahme für Microsoft

Das schließt zunächst auch Microsoft Windows vom erfolgreichen Booten aus. Hier gibt es allerdings einen offiziellen Ausweg: Über den Boot-Camp-Assistenten von Apple kann das Windows-Production-CA-2011-Zertifikat installiert werden, das in der Lage ist, den Bootloader von Windows zu authentifizieren. Dies gestattet normalerweise  über ein weiteres Zertifikat namens Microsoft-Corporation-UEFI-CA-2011 das Signieren von Linux-Distributionen. Dieser Schritt wird jedoch von Apple verhindert, die dazu in der Dokumentation des T2-Chips auf Seite 9 schreiben:

HINWEIS: Es gibt derzeit kein Vertrauen für die Microsoft Corporation UEFI CA 2011, das die Überprüfung von von Microsoft-Partnern signiertem Code ermöglichen würde. Diese UEFI CA wird häufig verwendet, um die Authentizität von Bootloadern für andere Betriebssysteme wie Linux-Varianten zu überprüfen.

Ausweg mit Tücken

Somit bleibt Linux-Usern vorerst offiziell die Installation auf Geräten mit T2-Chip verwehrt. Allerdings gibt es laut Apples Support-Unterlagen einen Ausweg über die Recovery-Funktion, der die Einstellung No Security erlaubt. In diesem Modus werden Boot-Medien nicht überprüft. Allerdings gibt es hierzu Berichte, dass in diesem Fall NVMe-Geräte nicht erkannt werden und somit eine erfolgreiche Installation verhindert wird.

 

 

Beitrag kommentieren

Alle Kommentare
  • Uwe

    06.11.2018, 12:55 Uhr

    Komplettrechner. Nix für mich, denn immer hängt man am Gängelband irgendwelcher Firmen.
    Apple bestätigt es wieder einmal. Eigenbaucomputer, ist schon seit mehr als 2 Jahrzehnten bei mir angesagt. Da weiß man was man hat. 🙂
    Als Kompromis gibts noch z.B. Tuxedo oder Dell. Bauen lassen nach Vorgabe + das gewünschte BS. Bei Apple ist nur eines gut, der Aktienkurs!

  • Bob

    06.11.2018, 13:31 Uhr

    Das scheint so nicht zu stimmen:

    https://www.omgubuntu.co.uk/2018/11/apple-t2-chip-cant-boot-linux

    • Ferdinand Thommes

      06.11.2018, 15:32 Uhr

      Das hab ich ja beschrieben. Nur gibt es anscheinend Fälle, wo es zwar bootet, aber NVMe-SSDs nichbt erkannt werden. Da nützt das Booten auch nichts.

  • Nils

    06.11.2018, 13:48 Uhr

    Sehe ich genauso wie Uwe.
    Traurig dass wir nach fast 30 Jahren Linux (oder auch andere alternative Betriebssysteme) immer noch solche Probleme haben. Immer wieder auf’s Neue.

    Dass Sony eine Playstation verkauft um dann Spiele verkaufen zu können sehe ich ja noch ein. Dass es dort keine Möglichkeit für Veränderung gibt…
    Aber bei “General Purpose Computern” verschwindet das General Purpose sehr schnell mit solchen Praktiken.

  • Klaus Meier

    06.11.2018, 16:22 Uhr

    Einfach mal bei Heise lesen. Da schreibt der DAU: ja und, wen interessieren denn schon diese drei Leute, die das genutzt haben. Obwohl es ihnen Null Vorteile bringt, wenn man Linux auf diesen Gurken nicht nutzen kann.

    Apple ist halt eine Livestyle Firma. Der Mac Pro wird aktualisiert, wenn man die Teile nur noch im Museum bekommt. Und das ist dann selbst Apple zu teuer. Die einzige Innovation in den letzten zwei Jahren ist der Preis. 10% weniger Geräte zu 30% höherem Preis und alles ist in Butter.

    Sorry, für Jünger, die Schmerzen haben, wenn sie noch Geld auf dem Konto haben, was noch nicht bei Apple ist, genau die richtige Firma. Für alle anderen: Bitte weitergehen, hier gibt es nichts mehr für euch.

  • TuxMux

    06.11.2018, 17:45 Uhr

    @Klaus Meier:
    In meiner Zeit als Entwickler was das MacBook die einzige Möglichkeit, 3 native Systeme vernünftig auf einem Gerät am Laufen zu haben – ich hatte auch eines der ersten Triple-Boot-Geräte der Apple-Intel-Generation (OSX 10.4, Windows XP und Ubuntu Dapper/Hardy)… Wenn es diese Möglichkeit fortan nicht gibt, muss der geneigte Entwickler wieder mind. 2 Geräte mit sich rumschleppen -> schon nervig (…)

  • putzerstammer

    06.11.2018, 19:15 Uhr

    frage mich gerade wer kauft sich ein neuen Mac für teuer Geld und Installiert dann Linux ???

  • putzerstammer

    06.11.2018, 19:24 Uhr

    ein Nachtrag noch von mir, ok ich habe vor ein Jahr auch ein Laptop mit Windows gekauft, vorher noch geschaut ob ich die Hartware mit Linux läuft und zugeschlagen schaut mal hier https://www.linuxjournal.com/supportedhardware

  • A.R.H.

    06.11.2018, 20:48 Uhr

    @putzerstammer
    Grüß Gott,
    für Apple Computer gibt es eine begrenzte Zeit in der diese neue OS Versionen erhalten.
    Wenn man sagen wir nach 7 Jahren seinen Computer aber weiterhin nutzen will mit einem aktuellen OS bleibt früher oder später nur Linux übrig.

  • Klaus Meier

    07.11.2018, 10:55 Uhr

    @TuxMux: Das Szenario, welches du da beschreibst ist aber schon 10 Jahre alt. Es gibt Rechenzentren, wo mal inzwischen iMac Pro verbaut, weil der Rest einfach keine Leistung mehr bringt. Man verballert in einem Server Rechner mit Bildschirm. Ist doch ne geile Lösung, wenn man auf Apple angewiesen ist.

    Die letzte konkurrenzfähige und wartbare Hardware von Apple war doch die Käsereibe. Wer will denn beruflich mit verklebten Spielzeugen arbeiten?

  • putzerstammer

    07.11.2018, 19:06 Uhr

    @ A.R.H. soweit habe ich jetzt nicht Gedacht ,du hast natürlich recht

  • Nick

    09.11.2018, 08:58 Uhr

    Warum um alles in der Welt, sollte man als intelligenter Mensch, diese veraltete, verlötete, eingeschränkte, und über alle Maßen hinweg überteuerte Hardware kaufen? Das wäre doch egal wie man es dreht, ein Schuss ins eigene Knie. Mir persönlich egal wie die sich einigeln, zumal Apple von Sicherheit ohnehin nichts versteht. Allein wie macOS verrammelt wird, und dennoch wieder und wieder auf lächerlichste Weise geknackt wird.

  • Uwe

    09.11.2018, 17:24 Uhr

    Ich zitiere teilweise:

    …Schneller, schlanker und leichter als der Vorgänger kommt das neue Apple MacBook Air (2018) daher. In puncto Aufrüstbarkeit gibt es aber einen klaren Rückschritt: Wie iFixit festgestellt hat, lassen sich weder RAM noch der SSD-Massenspeicher einfach wechseln, denn beides ist beim neuen MacBook Air fest verlötet….

    Zitatende
    Quelle: https://www.computerbase.de/2018-11/ifixit-macbook-air-2018-kein-ssd-tausch/

    Meine Meinung: teurer Elektoschrott!

  • Nils

    10.11.2018, 00:37 Uhr

    Uwe, naja irgendwo muss die geringe Grösse ja herkommen. Die 8 Speicherchips direkt aufs Board löten spart einiges im Vergleich zu einem SODIMM oder die Hand voll Chips anstatt einer 2,5″ SSD.

    Der SODIMM braucht im Vergleich zu den Chips mindestens 100% mehr Volumen. Bei der SSD wahrscheinlich noch mehr.

  • Detlef

    11.12.2018, 10:49 Uhr

    Warum Wundert mich das nicht, schließlich hängt man dann am Gängelband von Apple, aber wenn ich ehrlich bin, würde ich mir auch kein Mac kaufen, um dann Linux darauf zu installieren, das rechtfertigt den Hohen Preis nicht. Im Grunde war es absehbar, erst bei Microsoft, nun bei Apple. Mein genereller Tipp, wer Linux bevorzugt, der ist mit Leasingrückläufern am besten bedient, das sind zu miedest meine Erfahrungen, seit ich nur noch auf freie Software setze. Vor allem bekommt man bei den meisten Anbietern die Geräte ohne ein Aufgezwungenes Windows, so wie es bei Neugeräten ist, mit Ausnahme weniger Hersteller.