MSI RTX 2080 Serie

Apple T2: Neuer Chip blockiert Linux und Fremdreparaturen

reported by doelf, Dienstag der 13.11.2018, 14:18:28 Uhr

"Der Apple T2-Chip erhöht die Integration und Sicherheit des Mac noch weiter", schreibt Apple und verspricht neue Funktionen wie "Verschlüsselter Speicher" und "Sicheres Starten". Doch es gibt auch eine Kehrseite dieser Sicherheitsmedaille: Man kann kein freies Betriebssystem wie Linux installieren und muss Reparaturen von offiziellen Apple-Partnern durchführen lassen.

Macs mit T2-Chip
Der T2-Chip findet sich im iMac Pro sowie in den 2018er-Neuauflagen des MacBook Pro, MacBook Air und Mac mini. Es handelt sich dabei um einen Co-Prozessor auf ARM-Basis, den Apple auch als "Secure Enclave" bezeichnet. Über den T2 verwirklicht Apple Funktionen wie Verschlüsselter Speicher, also die Hardware-beschleunigte AES-Verschlüsselung (256 Bit) des eingebauten Solid-State-Laufwerks (SSD), und Sicheres Starten, welches das Booten unsicherer Betriebssysteme unterbindet.

Kein "Secure Boot" über UEFI
Dummerweise bewertet Apple einzig das eigene macOS als sicher. Ausnahmsweise darf Microsofts Windows 10 mitspielen, sofern es über Boot Camp installiert wurde. Dabei wird nämlich das Zertifikat "Windows Production CA 2011" hinterlegt, welches den Start von Windows 10 erlaubt. Freie Betriebssysteme wie Linux und die BSD-Ableger müssen hingegen draußen bleiben, denn ein entsprechendes UEFI-Zertifikat für Secure Boot wird nicht akzeptiert. Es ist zwar möglich, das "Sichere Starten" im Startsicherheit-Dienstprogramm durch die Auswahl "Ohne Sicherheit" zu deaktivieren, doch dann steht man vor dem nächsten Problem: Man hat keinen Zugriff auf das eingebaute SSD.

Seit 2016 immer weiter zugemauert
Das ist erst einmal nicht überraschend, denn neuere Mac-Hardware ist schon seit einiger Zeit nicht mehr ohne Kernel-Patch nutzbar. Dies betrifft neben den SSDs mit NVMe-Schnittstelle auch Tastatur, Touchpad und Touchbar. Wireless-LAN und Audio bekommt man oft gar nicht zum Laufen. Linux auf einem Mac ab Baujahr 2016 zu installieren, ist nur etwas für Masochisten. Und für diese hat Apple nun weitere Rückschläge parat: Selbst wenn man das SSD kurzzeitig über lsblk sichtet, verschwindet es gleich im Anschluss. Ein Zugriff auf die Daten wäre eh nicht möglich, denn "Ohne Sicherheit" gibt es keinen Zugriff auf die "Secure Enclave", in der der private Schlüssel für das Laufwerk liegt.

Nächster Schritt: Fremd-Reparaturen unterbinden
Nicht nur fremder Software misstraut Apple, sondern auch fremder Hardware. Darum kann der T2 erkennen, ob Bauteile des Mac ausgetauscht wurden - und von wem. Autorisierte Werkstätten sind verpflichtet, zum Abschluss einer Reparatur die Software "Apple Service Toolkit 2 System Configuration Suite" auszuführen, erst danach lässt sich der reparierte Computer wieder nutzen. Interne Dokumente von Apple schreiben dies für den Austausch von Display, Hauptplatine, Flash-Speicher und Touch-ID-Sensor vor, gegenüber The Verge hat Apple zumindest die Hauptplatine und den Touch-ID-Sensor bestätigt.

Allerdings ist derzeit noch unklar, ob Apple die Hardware-Prüfung schon auf allen Systemen für alle genannten Geräteklassen aktiviert hat. Erste Tests von iFixit zeigen, dass man bei einem 2018er MacBook Pro Touch Bar 13-Zoll sowohl das Display als auch die Hauptplatine wechseln kann, ohne dass eine Sperre aktiv wird. Andererseits verwendete iFixit Bauteile eines anderen MacBook Pro und keine neuen Ersatzteile. Somit ist es möglich, dass diese Bauteile bereits auf einer Whitelist standen. Was indes immer deutlicher wird, ist Apples Bestreben, sich immer weiter in seinem eigenen Ökosystem einzuigeln. Und das ist ein schlechtes Zeichen für alle Apfel-Käufer.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]