Linux愛好家は、MacBook AirなどのAppleハードウェアに無料のOSをインストールすることがよくあります。 そのため、通常のディストリビューションからの便利なオペレーティングシステムとAppleハードウェアの信頼性という2つのメリットを得ることができます。
しかし、これらの幸せな時代は過去のものかもしれません。 Appleの新しいハードウェアラインは、Linuxに対してより敵対的になりました。 問題は、Appleがコンピューターの最新モデルに追加した新しいT2セキュリティチップです。 Phoronix Linuxコミュニティによると、 Mac MiniでのLinux起動を効果的にブロックします。 どうやら、このチップがインストールされている他のコンピューターモデルでも状況は似ています。
T2セキュリティチップは、APFSストレージの暗号化、UEFIセキュアブートのチェック、タッチIDの処理、ラップトップの蓋を閉める際のハードウェアマイクの無効化、およびその他のセキュリティタスクを担当します。 T2は起動プロセスを少し制限し、Appleによって署名された暗号化キーでプロセスのすべてのステップをチェックします。
現在、代替OSのロードには問題があります。 デフォルトでは、macOS上のBoot Camp AssistantソフトウェアでWindowsサポートが有効になるまで、Microsoft Windowsでも新しいAppleシステムで起動しません。 このツールは、Microsoftブートローダーの認証に使用されるWindows Production CA 2011証明書をインストールします。 しかし、彼は、Microsoftパートナーによるコード検証を許可するMicrosoft承認のUEFI証明書をインストールしません。これには、WindowsコンピューターのUEFI SecureBootサポートを必要とするLinuxディストリビューションへの署名に使用される証明書も含まれます。
AppleのT2ドキュメントはこの事実を明確にし、Linuxについて明確に言及しています。「Microsoft Corporation UEFI CA 2011には、Microsoftパートナーによって署名されたコードの検証を可能にする信頼チェーンは現在ありません。 このUEFI CAは、Linuxバリアントなどの他のオペレーティングシステムのブートローダーを認証するために一般的に使用されます」と、ドキュメントは述べています。
つまり、Appleがこの証明書の追加を決定するか、T2チップがハッキングされずに完全に無効にされるか、任意のキーをダウンロードできるようになるまで、それまでは、新しいAppleハードウェアにLinuxディストリビューションをダウンロードすることは困難です。
テクニカルサポートAppleは、macOS RecoveryモードでStartup Security Utilityを使用して起動するときにセキュアブート機能が完全に無効になっている場合、代替オペレーティングシステムをダウンロードできるという説明を公開しています。
問題なくセキュアブートを無効にするとLinuxが起動できると想定できますが、そうではありません。 ユーザーは、このバージョンでも、macOSとWindows 10を除くすべてのオペレーティングシステムをT2チップがブロックしていると報告しています。これは、 セキュリティが不十分なパラメーターをmacOS Secure Bootに設定すると、ブートディスクに要件を課さないことが示されているためですセキュリティ。
T2チップは、年初に導入されたMacBook Proや発表されたばかりのMacBook Airなど、ブランドのラップトップの最新モデルに組み込まれています。 ポータブルMac Miniモデルでも使用されます。
Appleは、T2がMacに前例のないレベルのセキュリティを提供すると言います。 しかし、誰もがイノベーションを気に入ったわけではありません。 一部の開発者は不満を表しています。 たとえば、Macs Fan Controlアプリケーションの作成者は、iMac ProおよびMacBook Pro 2018コンピューターのWindowsではプログラムが機能しないようになったと述べています。「追加のセキュリティは優れています(ただし、制限はありませんが)必要であり、経験豊富なユーザーはそれらをオフにすることができます。 残念なことに、Appleはそうではありません。それは、ますます禁止と制限に向かっています。これは、経験豊富なユーザーと開発者には良くありません。 T2チップはWindowsでのSMCへのアクセスをブロックしているようで、このコントローラーはセンサー値とクーラーに関する情報を取得するために必要です。
GitHubに対応するチケットを登録しているにもかかわらず、開発者は問題が解決できることを期待しないように求めています。