В анонсированных на прошлой неделе новых моделях компьютеров и ноутбуков iMac Pro, Mac mini, MacBook Pro и MacBook Air для обеспечения безопасности компания Apple задействовала специализированный чип T2, который тесно интегрирован с различными контроллерами, включая System Management Controller и контроллер SSD-накопителей. На оборудовании с чипом T2 может загружаться и функционировать только программное обеспечение, заверенное цифровой подписью Apple, что привело к невозможности установить Linux на подобные устройства.
Чип предоставляет полностью отделённое от основной системы анклав-окружение, в котором выполняются операции, связанные с обеспечением безопасности и шифрованием. Например, на стороне T2 выполняются операции шифрования данных в хранилище, верификации процесса загрузки, распознавания отпечатков пальцев и лиц. При попытке загрузить операционную систему, не заверенную цифровой подписью Apple, система допускает только переход в режимы восстановления (Recovery) и диагностики.
При этом в новых моделях iMac и MacBook с чипом T2 предусмотрена возможность загрузки Windows при помощи предоставляемой компанией Apple утилиты BootCamp, позволяющей совмещать на одном устройстве macOS и Windows. При загрузке Windows поддерживается верификация при помощи сертификата Microsoft Windows Production CA 2011.
Сертификат Microsoft Corporation UEFI CA 2011, который применяется при формировании цифровых подписей для загрузчиков Linux-дистрибутивов, компанией Apple не поддерживается. В отличие от типичных систем с UEFI Secure Boot, все проверочные сертификаты в устройствах Apple не подлежат изменению пользователем, что не позволяет установить сертификат для верификации загрузки Linux и иных операционных систем, отличных от macOS и Windows.
Как вариант рассматривалась возможность использования утилиты
Apple Startup Security Utility, доступной при загрузке в macOS Recovery, которая предоставляет опцию для загрузки без включения режима обеспечения безопасности (режим "No Security"). Но реализовать работу Linux в данном режиме пока не получается, так как чип T2 блокирует доступ ОС к некоторым подсистемам, необходимым для корректной работы на устройстве.
