2389016

Wie der Coprozessor T2 die Sicherheit des Mac beeinflusst

12.11.2018 | 15:19 Uhr |

Apples T2-Chip in aktuellen Macs erhöht die Sicherheit des Betriebssystems und übernimmt zudem einige Aufgaben, die bisher andere Chips erledigt haben

Der T2-Chip im aktuellen Macbook Air und im neuen Mac Mini, über den momentan auf manchen Webseiten heftig diskutiert wird, ist eigentlich nicht ganz so neu wie vermutet. Denn schon der im Winter 2017 erschienene iMac Pro sowie die 2018 von Apple vorgestellten Neuausgaben des Macbook Pro mit Touch Bar haben jeweils einen T2-Chip eingebaut. Dieser von Apple selbst entwickelte Chip dient zum einen dazu, den Mac und das Betriebssystem sicherer zu machen, und fasst zum anderen einige Funktionen unter seinem Dach zusammen, die früher Spezialchips oder der Prozessor selbst übernommen hatten. Auch wenn der T2-Chip alles im Hintergrund erledigt, muss man sich aber an ein paar Stellen auf eine etwas andere Bedienung einstellen.

Mehrere Aufgaben in einem Chip

In den T2-Chip hat Apple den System Management Controller, einen Bildsignalprozessor, einen Audio-Controller und den SSD-Controller integriert sowie mit dem Secure Enclave-Coprozessor die Voraussetzungen für die verbesserte Sicherheit geschaffen. Der Bildsignalprozessor arbeitet mit der FaceTime-Kamera zusammen, um unter anderem durch Verbesserung von Weißabgleich und Belichtung die Bildqualität zu erhöhen, hat beim Mac Mini in diesem Bereich aber natürlich nichts zu tun. Und der Audio-Controller soll sowohl die Qualität der Tonaufnahmen durch das Mikrofon als auch die Wiedergabe über die Lautsprecher hörbar besser machen als bisher. Und auch Siri profitiert vom T2, denn der Chip ist für „Hey Siri“ dauerhaft auf Empfang geschaltet, sofern man Siri nicht deaktiviert hat. Das eigentliche Herzstück des T2 ist aber der Sicherheits-Prozessor. Dieser ist für die Verschlüsselung der Daten auf dem internen Datenspeicher, die Überprüfung der Unversehrtheit des Systems beim Rechnerstart und die sichere Speicherung der Fingerabdruckdaten zuständig, und schaltet zudem das Mikrofon bei einem Macbook aus, wenn man es zuklappt.

Die Informationen über den Fingerabdruck werden in einem sicheren Bereich des T2-Chips abgelegt.
Vergrößern Die Informationen über den Fingerabdruck werden in einem sicheren Bereich des T2-Chips abgelegt.

Verschlüsselung nach AES

Der T2 verfügt über einen integrierten Verschlüsselungsprozessor, der nach dem Advanced Encryption Standard (AES) arbeitet und sämtliche Daten auf dem internen Datenspeicher des Mac verschlüsselt beziehungsweise entschlüsselt. Der Zugriff auf die SSD erfolgt immer über diesen Weg, die Daten sind also bei einem Mac mit T2-Chip immer verschlüsselt, unabhängig davon, ob man FileVault aktiviert hat oder nicht. Der für die Verschlüsselung benötigte Schlüssel wird während der Produktion für jeden Mac individuell erstellt und in einem gesicherten Bereich (Secure Enclave) des T2-Chips abgelegt, auf den nur der Verschlüsselungsprozessor zugreifen kann. Apple empfiehlt jedoch, FileVault zusätzlich zu aktivieren, um die Sicherheit zu erhöhen, da dann sowohl das FileVault-Passwort als auch der T2-Chip erforderlich sind, um die Daten auszulesen. Für den Anwender ergibt sich durch dieses Verfahren außer der erhöhten Sicherheit der Vorteil, dass Ver- und Entschlüsselung sehr schnell gehen und den Hauptprozessor nicht belasten. Und wenn man das FileVault-Passwort ändert, muss die Verschlüsselung nicht erneut durchgeführt werden. Auf der anderen Seite ist aber ein aktuelles Backup der Daten noch wichtiger als bisher, denn bei einem Defekt im T2-Prozessor lassen sich die Daten nicht retten. Auch der Ausbau der Speicherbausteine hilft nicht.

Sicheres Starten

Eine weitere Aufgabe des Sicherheitsprozessors ist die Überwachung des Systemstarts. Dabei werden, beginnend mit dem Auslesen der Informationen im Boot-ROM, alle Schritte des Systemstarts anhand der Signatur der jeweils zu ladenden Software wie Kernel und UEFI-Firmware daraufhin überprüft, ob hier irgendetwas verändert wurde. Sollte der T2-Chip etwas Ungewöhnliches entdecken, nimmt er über das Internet Kontakt zu Apples Servern auf, um aktuelle Informationen und eventuelle Softwareupdates zu laden und startet dazu eventuell automatisch im Recovery-Modus. Übrigens wird auch der Start von Windows unter Boot Camp überwacht. Zudem lassen sich Macs mit T2-Chip standardmäßig nicht von externen Medien wie Festplatten oder USB-Sticks starten. Wählt man in der Systemeinstellung „Startvolume“ ein externes Volume für den Start aus, bekommt man nach dem Klick auf „Neustart“ einen Hinweis, dass dies nicht möglich ist. Dasselbe gilt auch, wenn man beim Neustart den Startmanager mit gedrückter alt-Taste aufruft und dort ein externes Startvolume auswählt. In beiden Fällen wird man auf den Recovery-Modus verwiesen, um dort die Einstellung zu ändern, wobei im Startup-Manager die Information bisher noch in Englisch erfolgt.

Ab Werk lässt sich ein Mac mit T2-Chip …
Vergrößern Ab Werk lässt sich ein Mac mit T2-Chip …
… nicht von einem externen Laufwerk starten.
Vergrößern … nicht von einem externen Laufwerk starten.

 Startsicherheitsdienstprogramm

Startet man einen Mac mit T2-Chip durch Drücken der Tastenkombination cmd-R im Recovery-Modus, ist dort im Menü „Dienstprogramme“ der Eintrag „Startsicherheitsdienstprogramm“ zu finden. Wenn man diesen auswählt, muss man zuerst sein Benutzerkennwort eintippen, um das Programm zu öffnen. Dann kann man sowohl die Einstellungen für das sichere Starten als auch für das Starten von externen Datenträgern ändern. Für das sichere Starten hat man die Wahl zwischen der strengen Standardeinstellung „Volle Sicherheit“ sowie den Vorgaben „Mittlere Sicherheit“ und „Ohne Sicherheit“. Während bei letzterer Einstellung der Startprozess gar nicht überwacht wird, erlaubt die mittlere Sicherheit das Starten von jedem jemals von Apple signierten Betriebssystem, sofern es nicht verändert wurde, auch wenn es aktuell nicht mehr signiert ist. Die volle Sicherheit verlangt dagegen Software, die aktuell von Apple signiert ist. Außerdem lässt sich im Startsicherheitsdienstprogramm das Starten von externen Medien erlauben.

Um das Startsicherheitsdienstprogramm zu starten, muss man zuerst sein Benutzerpasswort angeben.
Vergrößern Um das Startsicherheitsdienstprogramm zu starten, muss man zuerst sein Benutzerpasswort angeben.
Im Startsicherheitsdienstprogramm lässt sich festlegen, wie streng die Überprüfung beim Systemstart erfolgen soll und ob von externen Medien gestartet werden darf.
Vergrößern Im Startsicherheitsdienstprogramm lässt sich festlegen, wie streng die Überprüfung beim Systemstart erfolgen soll und ob von externen Medien gestartet werden darf.

Macwelt Marktplatz

0 Kommentare zu diesem Artikel
2389016