Nieuwe Macs weigeren Linux door Secure Boot

De Secure Boot die Apple toepast via de zelfontwikkelde T2-beveiligingschip staat alleen het booten van software toe die door Apple is goedgekeurd. Deze goedkeuring wordt gecontroleerd door digitale ondertekening van bootloadersoftware. macOS zelf valt hier natuurlijk onder en via Apple's dualbootsoftware Boot Camp valt ook Windows 10 te installeren en draaien. Het open source besturingssysteem Linux valt echter buiten de boot. Tenminste, wat de reguliere weg betreft.

Hoe ver vertrouwen reikt

Apple maakt voor Windows 10 gebruik van een Microsoft-certificaat, wat door Boot Camp wordt gebruikt om Windows te installeren en laten starten. Dat certificaat staat alleen Windows toe. Voor pc's met Secure Boot ingesteld in BIOS-opvolger UEFI valt Linux wel te installeren omdat Microsoft met een rootcertificaat ook software van derden vertrouwt. Dit is sinds Windows 8 ingevoerd en met opvolger Windows 10 uitgebreid. Linux-distributies van Microsoft-partners als Canonical (met Ubuntu), Suse (met de gelijknamige distro) en Fedora (gebaseerd op Red Hat) vallen daar onder.

Apple rekt zijn vertrouwen echter niet zo ver op. De keuze voor het Microsoft Windows Production CA 2011 certificaat beperkt de mogelijkheden tot alleen Windows zelf. De initiële conclusie is dan ook dat Linux niet mag draaien op nieuwe Macs. De praktische werkelijkheid is echter anders. Linux wordt inderdaad geweerd door Secure Boot, maar daar valt wat aan te doen, meldt Ubuntu-nieuwssite OMG!Ubuntu!.

Uitweg: uitschakelen

In de documentatie voor de T2-chip merkt Apple op dat er "momenteel geen trust wordt geboden voor de Microsoft Corporation UEFI CA 2011". Die 'hogere' autoriteit in de certificaatketen van Microsoft maakt verificatie mogelijk van software die digitaal is ondertekend door Microsoft-partners. Zoals dus meewerkende Linux-leveranciers. In het overzichtsdocument voor de T2 stelt Apple dat het wel toegestane Microsoft-certificaat standaard niet is ingeschakeld. De Boot Camp Assistant zorgt hiervoor, waarmee Secure Boot in combinatie met Windows wel werkt.

Voor Linux lijkt er toch een uitweg te zijn: het uitschakelen van de hele Secure Boot-functie. Dit kan via de Startup Security Utility van Apple, die de Firmware Password Utility vervangt. Dit hulpmiddel is toegankelijk door een Mac te starten in macOS Recovery-modus en in het Utilities-menu dan deze beveiligingstool te kiezen. "De gebruiker is 'in control' voor de instellingen van het apparaat, en kan ervoor kiezen om de secure bootfunctionaliteit uit te schakelen of te downgraden", aldus Apple in de T2-documentatie.

Of toch niet?

Kiezen voor Full Security beperkt het booten tot de huidige versie van macOS, en Windows via de Boot Camp Assistant. Instellen op Medium Security staat elk besturingssysteem toe dat ooit door Apple is vertrouwd, zoals dus oudere versies van macOS. En uitschakelen, No Security, staat elk willekeurig besturingssysteem toe op de computer, stelt Mac-maker Apple in de informatie over de T2. Online-berichten zijn echter al opgedoken dat Linux dan nog altijd niet valt te draaien.