Intel, T2, Apple Silicon: Wie Apple die Boot-Sequenz von macOS zunehmend absicherte
Eine abgesicherte Boot-Sequenz sichert ein Betriebssystem gegen unautorisierte Veränderungen ab, während es gleichzeitig herstellerseitige Veränderungen erlaubt. In einem Beitrag erläutert Apple-Veteran Howard Oakley die Entwicklung des Boot-Prozesses von Intel-Prozessoren zu M-Chips in Bezug auf Code-Sicherheit. Seine Quintessenz: Auf Macs ohne T2-Chip werden mehrere Teile der Boot-Sequenz geladen, ohne sie während des Startvorgangs zu überprüfen. Erst mit dem T2-Controller integrierte macOS Code-Verifizierungsschritte. Der Umstieg auf Apple Silicon brachte die gesamte Boot-Sequenz unter Kontrolle des M-SoC.
Ein einfaches System könne direkt von einem unveränderlichen System auf dem Mainboard gestartet (Boot-ROM) gestartet werden, dies sei jedoch völlig unzureichend für komplexe Vielzweck-Betriebssysteme, die während ihrer Lebensspanne mehrfach aktualisiert würden. Dafür müssen sie Programmcode von veränderlichem Speicher laden, also von Festplatte oder SSD. Um dabei sicherzustellen, dass es sich um offiziellen, also unveränderten Code handelt, wird eine Verifizierung notwendig. Dies erfordere speziell abgesicherte Rechenkerne – Apple nennt sie „Secure Enclave“. Die ab 2017 schrittweise eingeführten Mac-Modelle mit T2-Chips, einem dedizierten Controller auf Basis des Apple Silicon A10, überließen die ersten Schritte des Boot-Prozesses der hausinternen Eigenentwicklung. Erst nach dem Verifizieren der UEFI-Firmware übernahm der Intel-Prozessor das Überprüfen und Hochfahren von Kernel, sicherem System-Volume (SSV) und schließlich macOS.
Der T2-Controller ermöglichte einen abgesicherten Boot-Vorgang; mit dem Umstieg auf Apple Silicon verzichtete Apple auf die Nutzung von UEFI.
Alte Hardware mit unregelmäßigen PrüfungenIntel-Macs verzichteten nicht komplett auf eine Überprüfung der für den Systemstart notwendigen Komponenten. Eine Routine namens „eficheck“ sondierte die UEFI-Firmware gelegentlich, jedoch nur bei laufendem Mac, nicht beim tatsächlichen Boot-Prozess. Diese habe Apple mit macOS 10.13 (High Sierra) im Jahr 2017 eingeführt, berichtet Oakley. Sie wurde mit macOS 14 (Sonoma) wieder entfernt. Das erstaunt etwas, gibt es doch weiterhin Intel-Macs ohne T2-Chips, die offiziell Sonoma und sogar Sequoia unterstützen – beispielsweise den iMac 2019.
Mac-Modelle mit T2-ChipModell | Zeitraum |
MacBook Air | 2018–2019 |
MacBook Pro | 2018–2020 (Mai) |
Mac mini | 2018 |
iMac | 2020 |
iMac Pro | 2017 |
Mac Pro | 2019 |
Vorteil Apple Silicon: Start von externem LaufwerkWährend Intel-Macs mit T2-Chip von einer höheren Sicherheit profitieren, fehlt ihnen ein Komfort-Feature: Sie lassen sich standardmäßig nicht von externen Laufwerken starten. Um dies zu bewerkstelligen, muss man zunächst die
System Integrity Protection (SIP) ausschalten. Mit M-Chips dürfen Anwender wieder mit aktiver SIP von externer SSD starten – anfängliche Instabilitäten konnte Apple über die Jahre beheben. Allerdings bleibt eine kleine Hürde: Bei der Installation von macOS auf einem externen Volume darf dieses nur an einer bestimmten USB-Buchse, dem sogenannten
DFU-Anschluss, angeschlossen sein. Nach gelungener Installation dürfen Sie wieder auf jeden beliebigen Anschluss wechseln.