Der T2-Chip: Chief Operating Officer des iMac Pro

Der iMac Pro ist nicht nur der erste iMac mit Xeon-Prozessoren, sondern auch der erste Mac überhaupt mit einem ARM-Systemprozessor. Jenem T2-Chip aus Apples eigener Entwicklung kommen bedeutende Aufgaben zu. Es handelt sich beim iMac Pro nicht wie vor einiger Zeit spekuliert um ein Hybridsystem, bei dem ein ARM-Koprozessor als kleiner Bruder der mächtigen Xeon-Chips fungiert. Stattdessen ist der T2 eine Art Chief Operating Officer des iMac Pro, der sich um den reibungslosen Ablauf des Gesamtsystems kümmert und zudem als wichtige Sicherheitsfunktion gilt. Als eine Art "Gehirn hinter dem Gehirn" kümmert sich der T2 um Steuerung und Verwaltung aller zentraler Komponenten, alle Schnüre laufen somit beim T2 zusammen.

Weg vom Referenzdesign
Für Apple bringt das gleich zwei Vorteile: Das Board-Design kann damit sehr viel einfacher konzipiert sein und weniger Ballast mitschleppen, denn Apple muss nur entwickeln, was auch wirklich benötigt wird. Gleichzeitig hat Apple aber auch sehr viel mehr Kontrolle über die eingesetzten Technologien und ist weniger von externen Anbietern abhängig. Anstatt in weiten Teilen das Intel-Referenzdesign zu übernehmen, konnte Apple sehr viel zielgerichteter arbeiten.

Wesentlicher Sicherheitsfaktor
Die einzelnen Aufgaben des T2-Chips sind vielfältiger Natur. Direkt nach dem Einschalten des iMac Pro ist das bekannte Apple-Logo zu sehen - ab diesem Moment hat der T2 die Kontrolle übernommen. Dem T2 kommt die verantwortungsvolle Aufgabe zu, den gesamten Boot-Prozess zu verifizieren, Zertifikate zu überprüfen und das System auf etwaige Manipulationen zu untersuchen. Wenn ein Angreifer versucht, Teile des Systems zu manipulieren, schlägt der Boot-Vorgang fehl. In der höchsten Sicherheitsstufe sind nur von Apple zugelassene Systemversionen möglich (dies betrifft natürlich nicht nur macOS, sondern auch die aktuelle Version von Windows 10), in den Stufen "mittel" dann auch ältere Systeme.

Deaktiviert man die Funktion, so gibt es keine funktionellen Änderungen im Vergleich zu anderen Macs. Dies bringt eine völlig neue Stufe des Systemschutzes mit - welche Nachteile in der Praxis aber entstehen können, beleuchtet übrigens ein ausführlicher Test des iMac Pro am übernächsten Samstag. In einem Support-Dokument geht Apple näher auf die Einstellungen, Auswirkungen sowie Möglichkeiten des externen Startens sowie den Firmware-Schutz ein.

Augen, Ohren, Sprechorgan
Auch nach dem erfolgreichen Boot-Vorgang hat der T2 jede Menge zu tun. Dies beinhaltet unter anderem Steuerung der Lautsprecher und des Mikrofons sowie der FaceTime-Kamera. Damit ist es nicht nur außerordentlich schwer bis unmöglich, sich als Angreifer Zugriff auf diese Systeme zu verschaffen, die FaceTime-Kamera wird dank des leistungsfähigen Signalprozessors im T2 auch leistungsfähiger. Beispielsweise funktionieren Gesichts- und Szenenerkennung wesentlich besser, um die korrekten Einstellungen für Belichtungszeit und Weißabgleich zu finden und die Bildqualität selbst zu steigern. Vereinfacht gesagt: Der T2 kontrolliert Augen, Ohren und Sprechorgan des iMac Pro.

SSDs - schneller und viel sicherer
Schon seit vielen Jahren gibt es SSDs im Mac- allerdings noch nie in der Art und Weise, wie es der iMac Pro mitbringt. Bekanntlich verfügt der iMac Pro nicht über eine SSD, sondern jeweils immer über zwei Module im Raid-Verbund. Der T2 übernimmt die Rolle des Controllers und hat somit volle Macht über gespeicherte Daten. Auch dabei handelt es sich um einen wichtigen Sicherheitsaspekt, denn die Verschlüsselung erfolgt in Echtzeit im T2, ohne dabei die CPU zu belasten. Wer einfach die SSD-Module klaut, kann damit nichts anfangen. Gleichzeitig erzielt Apple aber auch erheblich bessere Leistungsdaten als mit den normalerweise eingesetzten Speicher-Controllern.

Kommentare

OpDraht
OpDraht05.01.18 10:20
MTN
Anstatt in weiten Teilen das Intel-Referenzdesign zu übernehmen, konnte Apple sehr viel zielgerichteter arbeiten.
In welcher Art denn?
MTN
... um die korrekten Einstellungen für Belichtungszeit und Weißabgleich zu finden und die Bildqualität selbst zu steigern.
Hurra!
MTN
Wer einfach die SSD-Module klaut
"Einfach" nach Öffnen eines verklebten Gehäuses?
+1
jacksulze05.01.18 11:05
Da würd ich auch gleich den ganzen Rechner mitklauen;-)
Lohnt sich doppelt!!
+1
sonorman
sonorman05.01.18 11:09
jacksulze
Da würd ich auch gleich den ganzen Rechner mitklauen;-)
Lohnt sich doppelt!!
Deswegen soll man ja zusätzlich FileVault aktivieren. Dann ist die Verschlüsselung mit Deinem Passwort verknüpft.
+4
vadderabraham05.01.18 11:18
Wie sicher der T2 ist wird man ja sehen. die jüngstes Vergangenheit hat gezeigt das weder die Großen, noch die mittleren (nvidia Tegra),noch die keinen (Arm) hier volle Sicherheit bieten. Wie auch, ist alles von Menschenhirnen konstruiert und im Geunde doch wieder lizensiertes Design (zumindest in der Basis).
+3
subjore05.01.18 11:28
vadderabraham
Wie sicher der T2 ist wird man ja sehen. die jüngstes Vergangenheit hat gezeigt das weder die Großen, noch die mittleren (nvidia Tegra),noch die keinen (Arm) hier volle Sicherheit bieten. Wie auch, ist alles von Menschenhirnen konstruiert und im Geunde doch wieder lizensiertes Design (zumindest in der Basis).

Natürlich ist nichts komplett sicher. Nun ist es aber so, dass man zuerst sich in Mac OS herein hacken muss und danach noch Lücken in der implementation mit dem T2 Chip finden muss. Das bedeutet das ein Angriff deutlich länger und komplizierter ist.
+5
mr_jo05.01.18 11:30
Mein erster Gedanke war, das mit dem Einsatz von ARM Chips in neueren Macs (ich sehe den iMac Pro nur als Anfang in diesem Trend) schwere Zeiten für Hackintoshs anbrechen werden.
+5
bmonno05.01.18 12:02
Ich befürchte, es geht Apple weniger um mehr Sicherheit und einfacheres Design, sondern um mehr Kontrolle. Dann dürfen vielleicht nur noch (Apple-)zertifizierte externe Platten eingesetzt werden (doppelter Preis) oder original Apple-Platten (vierfacher Preis) eingesetzt werden ...
+2
someone05.01.18 12:30
mr_jo
Mein erster Gedanke war, das mit dem Einsatz von ARM Chips in neueren Macs (ich sehe den iMac Pro nur als Anfang in diesem Trend) schwere Zeiten für Hackintoshs anbrechen werden.
Gut moeglich, aber das duerfte nicht der Grund fuer den T2 sein sondern allenfalls ein Kollateralschaden...
+4
Marcel Bresink05.01.18 14:56
mr_jo
Mein erster Gedanke war, das mit dem Einsatz von ARM Chips in neueren Macs schwere Zeiten für Hackintoshs anbrechen werden.

… was ein ziemlich falscher Gedanke war, denn der Chip macht ja sozusagen das "Gegenteil": Durch den Chip kann der Einsatz fremder Betriebssysteme und alter macOS-Versionen auf Original-Macs verhindert werden. Mit dem Betrieb von macOS auf nicht von Apple hergestellten Computern hat das überhaupt nichts zu tun.
+2
don.redhorse05.01.18 15:05
die Frage ist ja ob es eine Abfrage im BS gibt T2 da oder nicht da, wenn ja, kann man sie abschalten.
Zum einrichten eines Hackis muss man aktuell ja auch erstmal die Kext Prüfung abschalten (sobald alles läuft kann sie aber wieder ein), für APFS braucht es eine Kext etc. Spätestens wenn echte Systemfunktionen nur noch mit Interaktion mit dem T2 (bzw. Nachfolger) abläuft ist es vorbei. Aber wenn man sich jetzt, bzw. sobald die ersten Coffee Lake Macs am Markt sind kann es sinnvoll sein seinen SandyBridge Hacki nochmal gegen nen neuen zu tauschen.
+2
Marcel Bresink05.01.18 15:20
don.redhorse
die Frage ist ja ob es eine Abfrage im BS gibt T2 da oder nicht da,

Ja, selbstverständlich, da der T2 ja auch den SMC beinhaltet. Seit 12 Jahren wird der Chip abgefragt, um zu prüfen, ob es sich um einen echten Mac handelt. Der Chip liefert einen Code, ohne den Programme wie der Finder und das Dock nicht entschlüsselt werden können.

Deshalb braucht man ja einen Hack, um macOS auf einem fremden PC laufen zu lassen.

Dass Apple den Chip modernisiert hat, um weiter Kosten zu sparen, ändert am Schutz von macOS absolut nichts. Dass es sich hier um den ersten ARM-Chip im Mac handelt, ist übrigens falsch. Apple setzt bereits seit 2012 Prozessoren für den SMC im Mac ein, die auf ARM-Technik basieren.
+8
macfan3105.01.18 16:43
Und ich dachte im Mac-Pro 4.1 und 5.1 das sind auch Xeon. Meiner zum Beispiel ist ein Xeon 5675 3,06 Westemere. Aber wer achtet schon auf Details.
-3
Bitsurfer05.01.18 16:48
macfan31
Und ich dachte im Mac-Pro 4.1 und 5.1 das sind auch Xeon. Meiner zum Beispiel ist ein Xeon 5675 3,06 Westemere. Aber wer achtet schon auf Details.

Mein 3.1 hat auch dual Xeon. Normale Intels sind auch nicht Multiproz fähig.
Aber das ist auch kein iMac wie im Eingangstext erläutert.
+1
don.redhorse05.01.18 17:31
Bisher brauchte an einen Bootloader (Clover) und die FakeSMC Kext. Je ähnlicher das Board einem Mac ist, desto einfacher ist das ganze. Mal abwarten was da kommt.
ARM Designs sind ja in vielen Chips enthalten, in vielen Controllern etc.
0
Tzunami
Tzunami05.01.18 18:36
Juhu, jetzt ist der Bootvorgang sicher und nach dem booten werden dann, dank Spectre-Sicherheitslücke, deine persönliche Daten einfach über den eigenen Browser abgesaugt.

Was für ein geniales Konzept! Jetzt müssen nur noch Intel, ARM und AMD mitspielen, damit das ganze Sicherheitsgefasel auch Sinn macht.

Klar, im Moment sagen jetzt alle: Ein Ausnutzen ist schwer, aber eine Hardwarlücke läuft ja nicht weg und kann auch nicht wirklich gepatched werden.
-2
Hannes Gnad
Hannes Gnad06.01.18 12:33
Die Konsequenzen für den Service sind übrigens nicht zu unterschätzen: Der wichtigste Punkt ist, daß die dauerhafte Verschlüsselung, die der T2 mit den Datenträgern vornimmt, dafür sorgt, daß von ausgebauten SSDs KEINE Daten gelesen werden können. Man hat ein Backup, oder endgültig Pech gehabt.
+7
hakken
hakken06.01.18 12:59
Und das ist jawohl das Allerletzte.

Abgesehen davon das es z.Z. keine Hardware dafür gäbe.

Nachdem SSDs bei Apple inzwischen aber auch verlötet werden, wundert mich gar nichts mehr.
+1
don.redhorse06.01.18 15:58
wer kein Backup hat, hat keine Daten. Dateien die nur einmal existieren, existieren nicht. Kein Backup, kein Mitleid.

Also Backups kosten echt kein Geld mehr. Man muss ja nicht alles sichern, aber Dokumente und private Fotos sind IMHO zu wichtig als das man sie ohne Backup irgendwo hat.
Ich sage mal, damals, als man noch auf Band gesichert hat war es was anderes, ein vernünftiger Streamer hat Geld gekostet, die Bänder dazu waren zwar günstig, aber es hat schon einen guten Satz Kohle im vgl. zum Kaufpreis des Rechners gekostet. Aber seit Jahren kosten Platten nicht mehr viel und externe Medien sind schnell und einfach einzurichten. Seit TM ist es auch kein Problem mehr, eine brauchbare Lösung für jedermann.
Gebe ich meinen Rechner zur Rep würde ich entweder vorher die Platte ausbauen. geht nicht mehr, oder die Daten halt verschlüsseln. Ich finde es immer wieder lustig wenn man einen Lappi in die Hand gedrückt bekommt, gucke mal nach, passwd ist xyz. immer wieder der Hammer.
+2

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen