Super UEFIinSecureBoot Disk — образ диска с загрузчиком GRUB2, предназначенным для удобного запуска неподписанных efi-программ и операционных систем в режиме UEFI Secure Boot.

Диск можно использовать в качестве основы для создания USB-накопителя с утилитами восстановления компьютера, для запуска различных Live-дистрибутивов Linux и среды WinPE, загрузки по сети, без отключения Secure Boot в настройках материнской платы, что может быть удобно при обслуживании чужих компьютеров или корпоративных ноутбуков, например, при установленном пароле на изменение настроек UEFI.

Образ состоит из трех компонентов: предзагрузчика shim из Fedora (подписан ключом Microsoft, предустановленным в подавляющее большинство материнских плат и ноутбуков), модифицированного предзагрузчика PreLoader от Linux Foundation (для отключения проверки подписи при загрузке .efi-файлов), и модифицированного загрузчика GRUB2, который загружает EFI-файлы самостоятельно, не используя функции UEFI.

Во время первой загрузки диска на компьютере с Secure Boot необходимо выбрать сертификат через меню MokManager (запускается автоматически), после чего загрузчик будет работать так, словно Secure Boot выключен: GRUB загружает любой неподписанный .efi-файл или Linux-ядро, загруженные EFI-программы могут запускать другие программы и драйверы с отсутствующей или недоверенной подписью.

Для демонстрации работоспособности, в образе присутствует Super Grub Disk (скрипты для поиска и загрузки установленных операционных систем, даже если их загрузчик поврежден), GRUB Live ISO Multiboot (скрипты для удобной загрузки Linux LiveCD прямо из ISO, без предварительной распаковки и обработки), One File Linux (ядро и initrd в одном файле, для восстановления системы), и несколько UEFI-утилит.

Диск совместим с UEFI без Secure Boot, а также со старыми компьютерами с BIOS.

>>> Репозиторий диска

Новый чип безопасности T2, который Apple добавила в последние модели своих компьютеров, блокирует загрузку Linux на Mac Mini. Аналогичная ситуация повторяется и на других моделях компьютеров, где установлен этот чип.
Чип безопасности T2 отвечает за шифрование хранилища APFS, проверку безопасной загрузки UEFI, обработку Touch ID, отключение аппаратного микрофона при закрытии крышки ноутбука и другие задачи безопасности. T2 немного ограничивает процесс загрузки и проверяет каждый шаг процесса с помощью криптографических ключей, подписанных Apple.
Документация T2 от Apple даёт понять этот факт и явно упоминает Linux:

В настоящее время отсутствует цепочка доверия для Microsoft Corporation UEFI CA 2011, позволяющего верификацию кода, подписанного партнёрами Microsoft. Этот UEFI CA обычно используется для проверки подлинности загрузчиков для других операционных систем, таких как варианты Linux

Техническая поддержка Apple опубликовала пояснение, что загрузить альтернативные операционные системы всё-таки возможно, если полностью отключить функцию безопасной загрузки Secure Boot при загрузке через Startup Security Utility в режиме macOS Recovery. Однако при отключении безопасной загрузки чип T2 по-прежнему блокирует все операционные системы, кроме macOS и Windows 10, несмотря на то, что при установке параметра No Security в macOS Secure Boot указано, что он не предъявляет к вашему загрузочному диску никаких требований безопасности.
Микросхема T2 встроена в последние модели фирменных ноутбуков, в том числе представленный в начале года MacBook Pro и только что анонсированный MacBook Air. Кроме того, она используется в портативных моделях Mac Mini.

>>> Подробности

Как известно, часть производителей проигнорировала требование Microsoft и не сделала Secure Boot отключаемым.

Опасаясь, что это приведёт к тому, что на рынке станут доминировать платы, поддерживающие только загрузку с Windows 8, FSF объявило о сборе средств для противодействия этой возможности, а заодно и сбор подписей под протестом против такой практики и обязательством не покупать и не рекомендовать другим людям материнские платы и компьютеры с неотключаемым Secure Boot.

Я предполагаю, что пользователям Windows тоже следует присоединиться к протесту, так как на таких компьютерах версии Windows, предшествующие Windows 8, также нельзя будет загрузить.

>>> Ссылка на новость, сбор подписей и средств