MacBook und Mac Mini: T2-Chip verhindert Linux, Umgehung möglich
Bislang konnte auf dem Mac Mini aufgrund des fehlenden Touchpads, Keyboards und nur einer GPU vergleichsweise unproblematisch Linux genutzt werden. Mit der neuen Generation, die auch auf Apples T2-Sicherheits-Chip setzt, ist dies jedoch für weniger versierte Nutzer nicht mehr ohne Weiteres möglich.
Der neue Mac Mini kann ebenso wie das MacBook Air 2018, die aktuelle MacBook-Pro-Generation und der iMac Pro kein Linux mehr booten, da der T2-Chip von Apple jeden Schritt des Bootvorgangs mit Crypto-Schlüsseln verifiziert, die von Apple signiert sein müssen. Normalerweise kann so auch Microsoft Windows nicht auf der aktuellen Hardware-Generation von Apple betrieben werden, solange nicht über den Boot-Camp-Assistenten von Apple das Windows-Production-CA-2011-Zertifikat installiert wird, das die Bootloader von Microsoft authentifiziert, um Boot Camp auf den macOS-Geräten nutzen zu können. Dieses schaltet jedoch nicht das Microsoft-Corporation-UEFI-CA-2011-Zertifikat frei, das die Verifizierung von Code von Microsoft-Partnern erlaubt und auch für die Signierung von Linux-Distributionen eingesetzt wird, um die UEFI-SecureBoot-Unterstützung von Windows-PCs zu ermöglichen.
In Apples Dokumentation zum T2-Sicherheits-Chip (PDF) heißt es zu diesem Punkt:
By default, Mac computers supporting secure boot only trust content signed by Apple. However, in order to improve the security of Boot Camp installations, support for secure booting Windows is also provided. The UEFI firmware includes a copy of the Microsoft Windows Production CA 2011 certificate used to authenticate Microsoft bootloaders.
NOTE: There is currently no trust provided for the the Microsoft Corporation UEFI CA 2011, which would allow verification of code signed by Microsoft partners. This UEFI CA is commonly used to verify the authenticity of bootloaders for other operating systems such as Linux variants.
Sicherheitsoption über Wiederherstellungsmenü deaktivieren
Es ist allerdings möglich, den geschützten Bootvorgang zu deaktivieren, um Linux auch auf Apple-Geräten mit T2-Chip installieren und starten zu können – was jedoch die Sicherheit reduziert. Hierfür muss beim Bootvorgang die Befehlstaste (⌘)-R gehalten werden, sobald das Apple-Logo erscheint, um in das macOS-Wiederherstellungsmenü zu gelangen. Dort muss unter „Dienstprogramme“ das „Startsicherheitsdienstprogramm“ ausgewählt werden. Dieses ist nur auf Mac-Computern mit einem T2-Chip verfügbar. Nun muss ein Administrator-Konto angemeldet werden, um die Option „Sicheres Starten“ durch die Auswahl „Ohne Sicherheit“ zu deaktivieren.
Der T2-Chip als Co-Prozessor ist unter anderem die Basis für einen verschlüsselten APFS-Speicher unter macOS, den geschützten Bootvorgang, Touch ID, Siri im Ruhezustand und die Deaktivierung des Mikrofons beim Schließen des MacBook-Displays.