Macintosh-ROM, Open Firmware, (U)EFI – was passiert, wenn Macs starten?
Der erste Schritt beim Hochfahren eines Rechners überprüft, was an Hardware vorhanden ist, und bereitet diese auf das Betriebssystem vor. Dies übernimmt ein spezielles Subsystem namens Firmware. Der Name „Firmware“ deutet auf den Verwendungszweck hin – zwischen Hard- und Software. In der 40-jährigen Geschichte der Macintosh-Rechner wechselte Apple mehrfach die Form, wie Firmware im Mac geschrieben ist. Mac-Veteran Howard Oakley zeichnet auf seinem Blog „Eclectic Light Company“ die Entwicklungsgeschichte des
Startvorgangs von Apple-Rechnern nach. Dabei lässt sich eine Tendenz erkennen: Bis 2015 stand die Erweiterbarkeit im Vordergrund, danach lag der Fokus auf Sicherheit.
Die erste Dekade stand unter dem Zeichen des Macintosh-ROMs, einem speziellen Speicherbaustein auf dem Mainboard der 68k-Macs. Die darin geschriebene Firmware war unveränderlich (ROM = Read-only Memory). Schon beim ersten Mac bereitete dies Probleme, als ein Fehler in der Copy-Paste-Funktion in 50 Prozent der Fälle den gesamten
Mac abstürzen ließ, wie Andy Hertzfeld in seinem Buch „Revolution in the Valley“ berichtete.
Zweifache Umstellung des Boot-ProzessesMit der Umstellung des Prozessors auf PowerPC ging eine Veränderung des Boot-Prozesses einher. Seit 1995 verwendete Apple Open Firmware, deren Ursprünge bei Sun Microsystems und deren SPARC-Workstations lagen. Elf Jahre später stand ein erneuter Wechsel der Prozessorarchitektur an. Mit dem Wechsel von PowerPC zu Intel vollzog Apple den Umstieg auf Unified Extensible Firmware Interface (UEFI). Dies blieb bis in die 2020er für alle Intel-basierten Macs der elementare Startprozess für die ersten Schritte der Bootsequenz.
UEFI hört auf TastenkombinationenIm Idealfalls bekommen Anwender von den notwendigen Hintergrundaktionen des Starvorgangs wenig mit. Allerdings bot UEFI auch sichtbare Vorteile: Über das Gedrückthalten bestimmter Tastenkombinationen konnten Anwender Einfluss auf den Startvorgang nehmen: Hält man beim Hochfahren eines Intel-Macs die Hochstelltaste gedrückt, startete der Mac im sicheren Modus, also ohne Anmeldeobjekte, Erweiterungen und zusätzlich installierte Schriften. Die Befehlstaste in Kombination mit der R-Taste wechselte in den Wiederherstellungsmodus. Mit der Einführung von Boot Camp erweiterte Apple das hauseigene UEFI um die Möglichkeit, alternative Betriebssysteme zu starten. Ursprünglich für Windows gedacht, wird dies auch von Linux-Systemen genutzt – Intel-Macs starten problemlos von Live-Systemen auf USB-Sticks oder Linux-Partitionen, die man parallel auf dem internen Speichermedium eingerichtet hat.
Tastenkombinationen beim Startvorgang von Intel-MacsTasten | Wirkung |
| Startsystem auswählen |
| Sicherer Modus |
+R | Wiederherstellungsmodus |
+S | Single-User-Modus |
+V | Verbose-Modus |
T | Target-Disk-Modus |
D | Diagnosesystem starten |
+D | Diagnosesystem aus dem Netz laden |
N | NetBoot |
+P+R | NVRAM/PRAM zurücksetzen |
Maustaste, F12, | CD/Diskette auswerfen |
Ab 2015 wird Sicherheit wichtigerIm Jahr 2015 wiesen Sicherheitsforscher auf herstellerübergreifende Sicherheitslücken in Boot-Vorgängen hin. Der Fokus lag auf der bei Windows-Rechnern weiterhin weit verbreiteten BIOS-Prozessen, doch auch Apples Startprozess war manipulationsanfällig: Die Konzeptstudie „
Thunderstrike 2“ zeigte, wie über einen manipulierten Thunderbolt-Adapter Fremd-Code im Boot-EFI landet. Apple stellte zwei der Sicherheitsforscher ein und passte die Firmware-Aktualisierung an: Fortan wurden Firmware-Updates nur noch im Zusammenhang mit System-Updates ausgespielt, obendrein überprüfte ein Hintergrundprozess namens „eficheck“ wöchentlich den Firmware-Code. Seit 2017 überwachte der T2-Controller einiger Intel-Macs die ersten Schritte des
Boot-Vorgangs.
Die Rückkehr des Boot-ROMBei der Umstellung auf Apple Silicon kehrten Macintosh-Rechner auf gewisse Weise zu seinen Ursprüngen zurück. Für den ersten Schritt beim Rechnerstart ist nun erneut ein fest verbautes ROM im M-Prozessor verantwortlich. Dieser überprüft jedoch lediglich die Integrität des Low-Level-Bootloaders und setzt damit eine mehrstufige Kaskade an Initialisierungen und Verifizierungen in Gang, bis schließlich das aktuelle System als unveränderliches Image eines verifizierten macOS-Schnappschusses hochfährt. Oakley sieht darin Vor- wie Nachteile: Einerseits erlaubt die neue Boot-Prozedur erstmals ein Downgrade auf ältere Firmware-Versionen – das ist vor allem wichtig für hardwarenahe Tests von Entwicklern. Andererseits können Anwender auf Apple-Silicon-Macs nicht mehr auf die erprobten Tastenkürzel verlassen, sondern müssen sich damit begnügen, was ihnen der Mac beim langen Drücken des Einschaltknopfs an Optionen anbietet. Auch ein Start von externen Laufwerken ist längst nicht mehr so bequem zu bewerkstelligen wie noch auf Intel-basierter Hardware.
Der Umstieg von Intel auf Apple Silicon veränderte die Startsequenz; der T2-Controller stellte dabei eine Übergangslösung dar.