Apple Silicon: Secure-Boot-Architektur zieht beim Mac ein

 2/2
Nicolas La Rocco
228 Kommentare

Apple-Silicon-Macs kommen mit einem neuen Bootprozess auf Basis der Secure-Boot-Architektur aus iOS und iPadOS. Secure Boot soll sicherstellen, dass jede Boot-Komponente kryptographisch von Apple signiert ist und dass das System erst nach der Überprüfung dieser Vertrauenskette gestartet wird. Für Apple-Silicon-Macs ist die Secure-Boot-Architektur allerdings dahingehend erweitert worden, dass von mehreren macOS-Installationen auf internen und externen Laufwerken gebootet werden kann, sofern diese von Apple signiert wurden. Secure Boot ist zudem um das Booten von macOS Recovery für die Wiederherstellung des Systems ergänzt worden.

Das Booten auf Apple Silicon ist mit der Nutzung von Secure Boot grundlegend überarbeitet worden. Weg fallen ehemalige Tastenkombinationen wie ⌘+R für macOS Recovery, ⌥ für den Startup Manager oder T für den Festplattenmodus. Die verschiedenen Boot-Optionen werden fortan über langes Halten der Touch-ID- oder Power-Taste eingeleitet. Der Mac bootet daraufhin in das Startup-Options-UI von macOS Recovery, das alle weiteren der bekannten Features zur Verfügung stellt. Anstatt des Festplattenmodus' für das Übertragen von Dateien zwischen zwei Macs bietet Apple künftig den Mac Sharing Mode auf Basis des Netzprotokolls Server Message Block (SMB) an. Um diesen Modus zu nutzen, müssen sich Nutzer authentifizieren.

Booten mit voller oder reduzierter Sicherheit

Startup Disk ist ein weiterer neuer Bestandteil von macOS Recovery, über den Nutzer auswählen können, ob sie ein Speichervolumen mit macOS-Installation mit voller oder reduzierter Sicherheit booten wollen. Bei der Auswahl von „Full Security“ können nur von Apple signierte und derzeit als vertrauenswürdig eingestufte macOS-Versionen sowie die aktuell installierte Version des Betriebssystems gestartet werden. Dieser Modus setzt während der Installation des Betriebssystems eine aktive Internetverbindung voraus. Zusätzlich steht dieser Modus für das Booten von externen Speichermedien zur Auswahl. Apple verspricht damit Sicherheit auf dem Niveau des iPhone. Anwender und vor allem Entwickler haben aber eine weitere Option.

Im Modus mit reduzierter Sicherheit gibt es mehr Flexibilität, da jede beliebige macOS-Version installiert werden kann, die zuvor einmal von Apple signiert wurde, aber nicht mehr signiert wird und nicht mehr als vertrauenswürdig eingestuft wird. Nur in diesem Modus können von Apple freigegebene Kernel-Erweiterungen von Drittanbietern genutzt werden, was aus Sicherheitsgründen erst nach der Authentifizierung des Nutzers in macOS Recovery möglich ist. Apple-Silicon-Macs bieten im Gegensatz zu Intel-Macs zudem individuelle Sicherheitsrichtlinien für jede macOS-Installation, sodass ein zum Entwickeln und Experimentieren genutztes Betriebssystem nicht die Sicherheit der Installation für die tägliche Nutzung negativ beeinflusst, wie es bisher der Fall ist.

Neuer Login ist schöner dank Hardwarebeschleunigung

Auf Apple-Silicon-Macs gibt es einen neuen Login mit grafisch aufgewerteter Benutzeroberfläche dank Hardwarebeschleunigung, selbst wenn FileVault für die Verschlüsselung des Laufwerks aktiviert ist. Auch Smartcards werden jetzt für den Login unterstützt, darunter das Protokoll Chip Card Interface Device (CCID) und der Standard Personal Identity Verification (PIV). Apple Silicon nutzt erstmals einen abgesicherten Ruhezustand, der über FileVault die Verschlüsselung ruhender Daten bietet, um Versuche abzuwehren, etwa durch physischen Zugriff auf die Hardware, auf der die Daten gespeichert sind, Zugang zu erhalten. Replay-Angriffe sollen mit Anti-Replay als Teil der Protokoll-Suite Internet Protocol Security (IPsec) abgewehrt werden.

Der neue Login auf einem Apple-Silicon-Mac
Der neue Login auf einem Apple-Silicon-Mac (Bild: Apple)

System Recovery stellt macOS Recovery her

Die Software eines Apple-Silicon-Macs besteht auf dem Speicher vereinfacht dargestellt aus macOS Recovery und macOS. Weist das Betriebssystem Fehler auf, die eine Wiederherstellung notwendig machen, ist für den Anwender eine Neuinstallation über macOS Recovery möglich. Hat der Nutzer auch auf macOS Recovery keinen Zugriff mehr, musste auf Intel-basierten Macs die Internet Recovery bemüht werden. Auf Apple-Silicon-Macs gibt es dafür ein neues System Recovery in einem versteckten Container, das eine minimale macOS-Umgebung für die Neuinstallation von macOS Recovery und macOS bietet. Apple Configurator 2 wird auch von Apple-Silicon-Macs weiterhin unterstützt, wenn selbst auf das System Recovery kein Zugriff mehr besteht.

Vollständiger Wechsel zu Apple Silicon bis Ende 2022

Die im Artikel genannten Punkte sind ein erster Ausblick auf die Fähigkeiten von Apple Silicon, viele weitere Details werden über die kommenden Monate und spätestens zum Ende des Jahres mit der Vorstellung des ersten entsprechend ausgestatteten Mac folgen. Apple plant für den Übergang von Intel zu Apple Silicon mit zwei Jahren bis Ende 2022. Neue Intel-Macs sind aber weiterhin in Apples Pipeline, außerdem soll der macOS-Support für Intel-Maschinen über viele Jahre gewährleistet sein.

Dieser Artikel war interessant, hilfreich oder beides? Die Redaktion freut sich über jede Unterstützung durch ComputerBase Pro und deaktivierte Werbeblocker. Mehr zum Thema Anzeigen auf ComputerBase.

Nvidia GTC 2024 (18.–21. März 2024): ComputerBase ist vor Ort!