Apple bloquea el arranque de Linux con el chip de seguridad T2

El chip de seguridad T2 instalado en el nuevo Mac mini bloquea el arranque de distribuciones GNU/Linux, según explican en phoronix.

Los MacBook Pro de Apple se han ido volviendo más hostiles con Linux en los últimos años, mientras que los Mac Mini anteriores generalmente han funcionado bien con la mayoría de distribuciones de Linux debido a que no tienen que preocuparse por múltiples GPUs, teclados / touchpads y otro hardware de Apple que a menudo resulta problemático con el kernel de linux. 

La situación ha cambiado con el nuevo modelo de Mac mini. Junto al procesador principal de Intel, Apple ha incorporado el coprocesador ARM T2 que ya hemos visto en los MacBook o iMac Pro. Está dedicado a funciones de seguridad, ofreciendo un “enclave seguro” que hace posible las prestaciones de almacena­miento cifrado APFS y arranque seguro.

La validación de arranque seguro UEFI verifica cada paso del proceso usando claves criptográficas firmadas por Apple, bloqueando el arranque de distribuciones GNU/Linux. Y no solo Linux. Tampoco se podrá instalar ningún sistema Windows salvo Windows 10 y siempre que se utilice el software macOS Boot Camp Assistant, que instalará el certificado correspondiente para autenticar los cargadores de arranque de Microsoft. 

La documentación del chip T2 de Apple lo aclara y menciona explícitamente a Linux: «Actualmente, no se proporciona un certificado de confianza para Microsoft Corporation UEFI CA 2011, que permitiría la verificación del código firmado por los socios de Microsoft. Esta CA UEFI se usa comúnmente para verificar la autenticidad de los cargadores de arranque para otros sistemas operativos como las variantes de Linux». El resultado es que Apple bloquea el arranque de Linux con el chip de seguridad T2.

Aunque el soporte de Apple cita que puede ser posible deshabilitar la seguridad del arranque seguro al iniciar la utilidad de seguridad de inicio en el modo de recuperación de macOS, lo que permitiría eventualmente cargar Linux, los usuarios que lo han probado explican que el chip T2 sigue bloqueando el arranque de Linux aunque se desactive esa función. Sólo puede utilizarse el OS X preinstalado y Windows 10 bajo Boot Camp. 

Algo similar ocurrió en el lanzamiento de Windows 8 en equipos nuevos con la función Secure Boot instalada en las nuevas UEFI. Asunto polémico que obligaba a deshabilitar el «arranque seguro» (en las placas que lo permitían) si querías instalar Linux (o el mismo Windows 7) hasta que la fundación Linux publicó el Secure Boot System oficial de Microsoft para Linux, lo que ha permitido a los desarrolladores independientes su implementación en distribuciones GNU/Linux.

No creemos que Apple tenga pensado algo similar. El usuario de Linux (o de Windows 7) tendrá que buscar en otros fabricantes la compra de su mini-ordenador.