2388629

T2-Chip in Macs – Die Abkehr von Intel und Linux

12.11.2018 | 08:45 Uhr |

Der Zahn der Zeit nagt auch an Notebooks. Tablets und Smartphones haben die Art und Weise, wie wir mobile Endgeräte verwenden, stark verändert. Mobil geht Apple auf dieses Bedürfnis mit der Anfertigung eigener Chips ein. Auf dem Desktop ist die Firma aus Cupertino immer noch auf Intel angewiesen. Mit dem T2-Chip ändert sich das aber ein Stück weit.

Apples eigener Chip T2 ist ein wahres Sicherheits-Biest. Er sorgt für das Abschalten des Mikrofons beim Zuklappen des Macbooks, schaltet sich zwischen der Intel CPU und die Festplatte, um eine sichere Verschlüsselung zu gewährleisten und stellt sicher, dass alle Komponenten (Hardware und Kernel) während des Startvorgangs nicht infiziert sind.

Secure Enclave – Apples neues Quicktime

Die Strategie hinter dem T2 ist weitaus komplexer als vorerst angenommen. Platt gesagt verbietet der neue Chip den Lesezugriff auf die Festplatte ohne gültigen privaten Schlüssel. Dieser private Schlüssel wird von der Software auf dem T2 erzeugt und ist für jedes Gerät eindeutig und nicht vorher bestimmbar.

Dies verbietet Apple, Zugriff auf verschlüsselte Daten zu erlangen. Aber auch Angreifer haben es schwer, Festplatten auszulesen, da selbst eine infizierte Intel-CPU keinen Zugriff mehr hat. Die großen Technik-Unternehmen träumen noch immer von einer komplett vernetzten Welt. Um aber jetzt ständig Zugriff auf die Außenwelt zu erlangen, müssen Netzwerke Geräten vertrauen.

Eine zusätzliche Absicherung hilft, das eigene System auf iPhones, Uhren, Macbooks und Co sauber zu halten. “Secure Enclave” ist ein System auf dem T2-Chip, das Schlüssel bereitstellt und Anfragen an Touch ID und die Festplatte überwacht. Selbst ein komprimierter macOS-Kernel kann vom System identifiziert und der Zugriff infolge dessen verweigert werden.

Ab Werk keine Linux Installation mehr möglich

Durch das sogenannte Secure-Boot-Verfahren können nur von Apple zertifizierte Betriebssysteme geladen werden. Um Windows zu laden, installiert Boot Camp das “Windows Production CA 2011” Zertifikat. Das UEFI-Zertifikat, das Microsoft-Partner verwenden, wird nicht installiert.

Auch beim Bootvorgang schaltet sich der T2-Chip dazwischen und prüft ob die Signaturen vom zu ladenden Betriebssystem unterstützt werden.
Vergrößern Auch beim Bootvorgang schaltet sich der T2-Chip dazwischen und prüft ob die Signaturen vom zu ladenden Betriebssystem unterstützt werden.

Genau auf dieses Zertifikat sind aber Linux-Distributionen angewiesen. Es gibt nach aktuellem Stand keine Möglichkeit, dies zu installieren und im T2-Chip zu integrieren. Apple hat sich hier also ausdrücklich gegen Linux entschieden.

Mit einem Trick lässt sich das Sicherheitsverfahren jedoch umgehen. Dazu fährt man den Mac in den Wiederherstellungs-Modus hoch (Cmd + R Tasten gedrückt halten). Dort bietet das Startsicherheitsdienstprogramm ein Starten “ohne Sicherheit” an. Anschließend können andere Betriebssysteme ohne Probleme installiert werden.

Festplattenverschlüsselung

Mit dem eigenen Dateisystem APFS bietet Apple den eigenen FileVault mit einer AES-XTS Verschlüsselung an. Diese Verschlüsselung wird von dem T2-Chip übernommen (falls vorhanden). Er sorgt dafür, dass auch wenn die Festplatte ausgebaut und in einen anderen Computer eingebaut wird, sie nicht wieder entschlüsselt werden kann.

Der T2-Chip schaltet sich vor der Intel CPU um Festplattenverschlüsselung und andere Sicherhitsmaßnahmen zu übernehmen.
Vergrößern Der T2-Chip schaltet sich vor der Intel CPU um Festplattenverschlüsselung und andere Sicherhitsmaßnahmen zu übernehmen.

Alle Schlüssel liegen im oben genannten Secure Enclave auf dem T2-Chip. Sie gelangen nicht zur Intel CPU oder anderen Teilen des Betriebssystems. Also selbst wenn der Chip auf Intels Seite infiziert ist, können Macs mit dem T2-Chips verschlüsselt werden und sind selbst bei infizierter Hardware sicher.

Sogenannte Brute-Force-Attacken (das millionenfache Angreifen eines Sicherheitspakets um die richtige Kombination heraus zu finden) verbietet der Chip. Es sind nur 30 Passwortversuche erlaubt. Diese 30 Versuche werden mit jedem erfolgreichen Login zurückgesetzt. Hat der Nutzer alle 30 Versuche durch, ist es möglich, das Passwort via iCloud zurückzusetzen. Schlägt auch das fehl, so kann die Festplatte nie wieder entschlüsselt werden.

Touch ID

Was Apples Fingerabdruck System so sicher macht, ist der T2-Chip und der Secure-Enclave-Mechanismus. Anstatt den Fingerabdruck zu speichern, wird eine mathematische Repräsentation des Fingers hinterlegt. Selbst macOS kann diese Formel nicht auslesen. Sie bleibt auf dem T2-Chip verwahrt und wird auch nicht auf Apples Servern gelagert.

Nach fünf Fehlversuchen muss auch hier das Passwort eingegeben werden. Apple gibt an, dass selbst die Rekonstruktion des Fingers mit einer Kombination von verschiedenen Fingerabdrücken nur eine Wahrscheinlichkeit von 1:50.000 aufweist. Auch hier wurde die Anzahl der Fehlversuche so gewählt, dass ein willkürliches Versuchen (Brute-Force-Attacke) verhindert wird.

Fazit

Apple hat seit langem eine Größe erreicht, in denen Produkte zielgerichtet auf Hardwareseite erweitert werden um auf lange Sicht eine gute Plattform für die eigene Software zu sein. Der T2-Chip zieht nach, was unter der iOS-Hardware schon lange integriert ist.

Intel bietet eine generelle CPU für Computer-Systeme an, die nicht auf die Bedürfnisse von Apple eingehen kann. Deshalb hat man sich entschieden, den T2-Chip zu entwickeln. Die mobile Variante (A12X, die auf dem iPad läuft) ist sogar schon leistungsstärker als viele PCs. Die Architektur ist aber eine andere. Deshalb müsste sich der macOS-Kernel gehörig ändern, um auf der Basis der A12X-Architektur lauffähig zu sein.

Die Zukunft zeigt jedoch in die gleiche Richtung: Apples Systeme werden vor allem auf der Hardwareseite immer spezieller auf die Software angefertigt. Dies bringt Apple einen enormen Vorteil wenn es um VR und andere, neuere Formen von Software geht. Die Offenheit wird hier zugunsten von Sicherheit und Leistung links liegen gelassen.

Macwelt Marktplatz

0 Kommentare zu diesem Artikel
2388629