На нові комп’ютери Apple неможливо встановити Linux
Мікросхема захисту T2, якою обладнані iMac Pro 2017 року, а також нові MacBook Air і Mac mini з міркувань безпеки не допускають завантаження операційних систем, відмінних від «рідної» macOS і Windows 10
Комп'ютери Apple нового покоління, оснащені чіпом безпеки T2, налаштовані таким чином, що завантаження операційних систем з ядром Linux на них неможлива. Про це повідомив ресурс Phoronix.
Мікросхема T2 є однокристальною системою на базі архітектури ARMv8. На чіп покладено ряд функцій безпеки, в тому числі зберігання і захист ключів шифрування пристрою, даних про відбитки пальців власника і функції безпечного завантаження (Secure Boot), пише cnews.
При запуску ОС T2 перевіряє кожен етап завантаження, використовуючи криптографічні ключі, підписані Apple. Таким чином, без додаткових маніпуляцій завантаження ОС відмінних від macOS на комп'ютерах Apple стає неможливим.
Утиліта Boot Camp Assistant, що забезпечує можливість установки Windows 10 на комп'ютери Apple, автоматично додає в систему сертифікат Windows Production CA 2011, який дозволяє використання завантажувачів Microsoft. Сертифікат Microsoft Corporation UEFI CA 2011, застосовуваний партнерами Microsoft, серед яких - розробники дистрибутивів GNU / Linux, судячи з актуальної документації до Apple T2, на даний момент не вважається вартим довіри.
За інформацією, наданою службою підтримки Apple, для нових комп'ютерів з чіпом T2 «на борту» випущена спеціальна утиліта Startup Security Utility. Вона дозволяє управляти рядом налаштувань безпеки системи, в тому числі і деактивувати функцію безпечного завантаження. Отримати доступ до програми можливо завантажившись в режимі відновлення macOS.
Проте, як відзначають деякі користувачі мережі, відключення безпечного завантаження не дає бажаного результату - встановити GNU / Linux на нові ПК Apple все одно не вдається.
«В даний час неможливо встановити що-небудь крім Windows 10 на комп'ютери Apple, обладнані чіпом T2, - пише користувач GeekUser на популярному англомовному ресурсі Stack Exchange. - Цей чіп безпеки не дозволяє установнику побачити жорсткий диск пристрою. Apple зробила виняток для Windows 10 (при установці за допомогою Boot Camp). Можливий шлях вирішення проблеми - установка Linux на зовнішній USB / Thunderbolt-носій. Я пробував цей варіант з Windows, і він спрацював. Проте, внутрішній носій залишався невидимим для системи».
Варто відзначити цікаву особливість T2, яка забезпечує апаратне відключення мікрофона вбудованої веб-камери при закритті кришки ноутбука Apple, максимально ускладнюючи прослушку власника зловмисниками.
На сучасні комп'ютери встановлюється інтерфейс UEFI (Unified Extensible Firmware Interface), розроблений Intel для систем на базі процесора Itanium в середині 1990-х рр в якості заміни BIOS.
Базова система введення-виведення (BIOS) - це набір мікропрограм для початкового завантаження комп'ютера, яка має місце після включення живлення і до запуску ОС і інших програм. В BIOS реалізований API для взаємодії з внутрішніми пристроями комп'ютера і зовнішньою апаратурою.
BIOS являє собою набір мікропрограм для IBM PC-сумісних пристроїв - тобто, фактично, сумісних з першим 16-бітним процесором Intel, випущеним в 1978 р, що послужив основою для архітектури x86. Наприклад, набір мікропрограм для архітектури комп'ютерів архітектури SPARC буде називатися PROM або Boot.
Частиною специфікації UEFI є протокол Secure Boot, що захищає від виконання непідписаного коду як на етапі завантаження, так і на в процесі роботи ОС. У Windows і GNU / Linux перевіряються підписи драйверів (модулів ядра), тому шкідливий код в режимі ядра виконати не можна.
У 2011 р Microsoft включила до вимог для сертифікації комп'ютерів під управлінням Windows 8 умову поставки таких систем при активованому Secure Boot з використанням ключа Microsoft. Від постачальників ARM-систем компанія зажадала реалізувати неможливість відключення Secure Boot.
Даний крок Microsoft спровокував шквал критики на адресу корпорації, адже подібні вимоги утруднювали, а в деяких випадках робили практично неможливою, установку будь-яких ОС, крім Windows.