Novos hardwares da Apple com o chip de segurança T2 bloqueará o Linux no boot [Atualizado]


Nos últimos anos, os laptops MacBook Pro, da Apple, tem se tornado cada vez menos amigáveis ​​com o Linux, enquanto seus computadores Mac Mini continuaram funcionando bem com a maioria das distribuições Linux, especialmente quando os usuários não precisam se preocupar com o suporte do kernel Linux em cenários onde há múltiplas GPUs, bem como teclados, touchpads e outros hardwares da empresa.

Mas agora, com os mais recentes sistemas Mac Mini, que utilizam o chip de segurança T2, da Apple, provavelmente será destruído qualquer sonho de rodar o Linux nesse hardware. Em outras palavras, os novos sistemas da empresa não poderão inicializar distribuições Linux.

O chip de segurança T2 que está sendo implementado nos produtos mais recentes da empresa fornece criptografia de armazenamento APFS, validação UEFI Secure Boot, manipulação de ID Touch, desconexão de microfone de hardware na tampa e outras tarefas de segurança. O T2 restringe bastante o processo de inicialização e verifica cada etapa do processo usando chaves de criptografia assinadas pela própria companhia.

Por padrão, o Windows nem sequer pode ser inicializado nos novos hardwares da Apple até o usuário habilitar o suporte para o sistema operacional da Microsoft através do software Boot Camp Assistant presente no macOS. O utilitário instalará o certificado Windows Production CA 2011 usado para autenticar os gerenciadores de boot da Microsoft.

Mas isso não configura o certificado UEFI aprovado pela Microsoft que permite a verificação de código por parceiros da empresa, incluindo o que é usado para assinar distribuições Linux que desejam ter o suporte para o UEFI Secure Boot para PCs com Windows. A documentação do chip T2 esclarece e menciona explicitamente o Linux:

"NOTA: atualmente não há confiança fornecida para o Microsoft Corporation UEFI CA 2011, que permitiria a verificação do código de parceiros assinado pela Microsoft. Este UEFI CA é comumente usado para verificar a autenticidade de bootloaders para outros sistemas operacionais, como variantes do Linux."

Em outras palavras, até que a Apple decida adicionar este certificado oficialmente ou até que o chip T2 seja hackeado para que possa ser totalmente desativado, rodar uma distribuição Linux nos novos hardware da empresa será uma tarefa quase que impossível.

Atualização: De acordo com o suporte da Apple, pode ser possível desativar o Secure Boot por completo através do Startup Security Utility ao inicializar o macOS no modo de recuperação. Isso pode permitir que o Linux seja carregado no dispositivo, ainda que sem o Secure Boot.

Atualização 2: Parece que, mesmo desativando a funcionalidade de inicialização segura, o chip T2 supostamente ainda está bloqueando sistemas operacionais além do macOS e do Windows 10.


FONTE: Phoronix

Comentários