Update 6 oktober 2020: Volgens de Belgische beveiligingsonderzoeker Niels Hofmans van IronPeak is de T2-chip kwetsbaar voor een aanval met de checkm8 exploit. Deze wordt ook gebruikt voor het jailbreaken van iPhones. Hiermee kun je de versleuteling van de schijf en wachtwoorden van de firmware omzeilen. Er is echter fysieke toegang tot de Mac nodig, waardoor het directe gevaar niet zo groot is (tenzij je jouw MacBook vaak uit handen geeft aan hackers).
Beveiligingschips in de Mac
Zonder het te weten gebruiken veel mensen al jaren een Mac met ‘Apple Silicon’. Het gaat dan om de T1-chip, die in 2016 z’n debuut maakte en inmiddels is opgevolgd door de T2-chip. Deze beveiligingschip regelt allerlei zaken. Het bevat onder andere een Secure Enclave voor het beveiligd opslaan van je data en het stuurt ook de Touch ID-vingerscanner en de Touch Bar op de Mac aan. Zoals de naam al aangeeft is de T2-chip de opvolger van de T1-chip, die in de MacBook Pro van 2016 werd geïntroduceerd.
- T1 Security Chip (2016-2017)
- T2 Security Chip (2017-2020)
- T2-chip en Apple Silicon
- Kritiek op T2-chip
- Waarom een beveiligingschip?
Met de komst van de M1 Macs met Apple Silicon is er geen aparte T2-chip meer aanwezig. Deze functies zitten nu standaard geïntegreerd in de System on a Chip (SoC).
T1-chip in de Mac (2016-2017)
Aanwezig in:
- MacBook Pro met Touch Bar 2016
- MacBook Pro met Touch Bar 2017
De T1 was de eerste door Apple ontworpen processor in een Mac en het gaf Apple meer controle over de manier waarop de computers worden aangestuurd. De T1 draait op bridgeOS, een variant van watchOS.
De T1 stuurt de System Management Controller aan, die verantwoordelijk is voor essentiële Mac-functies zoals energiebeheer, aansturing voor ventilator, slaap- en waakfunctie en het beschermen van de camera en microfoon tegen ongeoorloofd gebruik.
De T1 regelt ook de aansturing van de Touch Bar, die in 2016 voor het eerst werd toegevoegd aan de MacBook Pro. Dit had een reden: het voorkwam dat de aanraakgevoelige bedieningsstrip als een extra display zou tellen. De Intel-processor heeft namelijk beperkingen hoeveel schermen kunnen worden aangesloten.
De T1-chip beschermt ook Touch ID en Apple Pay tegen misbruik. De privacygevoelige data hiervan wordt bewaard in de Secure Enclave, een beveiligde chip die je ook op de iPhone en iPad vindt. Apple kan hiermee belangrijke data afschermen voor derde partijen. Ontwikkelaars kunnen alleen te weten komen of bepaalde informatie overeenkomt, maar krijgen geen toegang tot de daadwerkelijke data.
T2-chip in de Mac (2017-2020)
Aanwezig in:
- iMac (Retina 5K, 27-inch, 2020)
- iMac Pro
- Mac Pro (2019)
- Mac Pro (Rack, 2019)
- Mac mini (2018)
- MacBook Air (Retina, 13-inch, 2020)
- MacBook Air (Retina, 13-inch, 2019)
- MacBook Air (Retina, 13-inch, 2018)
- MacBook Pro (13-inch, 2020, twee Thunderbolt 3 poorten)
- MacBook Pro (13-inch, 2020, vier Thunderbolt 3 poorten)
- MacBook Pro (16-inch, 2019)
- MacBook Pro (13-inch, 2019, twee Thunderbolt 3 poorten)
- MacBook Pro (15-inch, 2019)
- MacBook Pro (13-inch, 2019, vier Thunderbolt 3 poorten)
- MacBook Pro (15-inch, 2018)
- MacBook Pro (13-inch, 2018, vier Thunderbolt 3 poorten)
De T2-chip gaat nog een stap verder. Naast de hierboven genoemde functies zorgt T2 ook voor het versleutelen van de SSD, het audiobeheer en de signaalverwerking voor de FaceTime-camera. Het beschermt de computer bovendien tegen kwaadaardige aanvallen tijdens het opstartproces. De T2-chip draait op BridgeOS 2.0 en verscheen voor het eerst op de iMac Pro van 2017. Het is in feite een 64-bit ARMv8 chip en is een variant van de A10-processoren die je in iPhones vindt.
Het feit dat Apple dankzij de T2-chip meer controle heeft over de werking van de computer, blijkt bijvoorbeeld uit de audiokwaliteit. De iMac 2020 met T2 heeft dezelfde fysieke speakers als zijn voorganger, maar ze klinken beter. Apple is in staat om met in eigen huis ontwikkelde algoritmes de speakers beter af te stemmen. Ook verbetert de T2-chip de prestaties tijdens het encoderen van video. De chip verbetert ook de beelden van je FaceTime-camera.
Door bepaalde processen aan de T2 over te laten, is het niet alleen veiliger, maar hoeft de hoofdprocessor minder belast te worden.
T2 en Apple Silicon
Apple gaat vanaf 2020 de eerste Macs uitbrengen met Apple Silicon. Dit is een in eigen huis ontwikkelde processor op basis van de ARM-instructieset. Waarschijnlijk zal daarbij gebruik worden gemaakt van het chipdesign dat al in de iPhones en iPads worden gebruikt.
Mogelijk gaat de T2-chip als apart onderdeel verdwijnen als Apple overstapt op eigen processoren. De functionaliteit zal dan worden ondergebracht in een apart onderdeel van de Apple Silicon-processors. Voorheen was dit moeilijk omdat Intel verantwoordelijk was voor de hoofdprocessor in de Macs.
Naar verwachting gaat Apple net als bij de iPhones en iPads kiezen voor een combinatie van high-performance cores en energiezuinige cores. De processor hoeft dan alleen zwaar te worden belast voor functies die veel kracht nodig hebben. Tijdens WWDC 2020 werd een afbeelding getoond met eigenschappen van de Apple Silicon-processors en daar worden onder andere de Secure Enclave, een hoog-efficiënte audioprocessor en een cameraprocessor van hoge kwaliteit genoemd. Dit zijn functies die momenteel worden uitgevoerd door de T2 Security Chip.
Verder zou Apple gemakkelijk Face ID kunnen toevoegen op de Mac. Uit officiële patenten blijkt al dat Apple ermee bezig is, maar door het in de eigen chips te regelen kan de veiligheid beter worden gegarandeerd. Tenslotte zou Apple de mogelijkheden van de Touch Bar kunnen uitbreiden.
Kritiek op T2-chip
Er is ook kritiek geuit op de T2-chip, vooral vanuit de hoek van reparateurs. De T2-chip vormt daarbij een extra obstakel. De T2-chip accepteert namelijk niet zomaar dat allerlei componenten in de Mac worden verwisseld. Dit moet bijvoorbeeld voorkomen dat iemand de Touch ID-sensor vervangt door eentje waarmee je vingerafdrukdata kunt stelen.
Reparaties moeten daarom bij voorkeur worden gedaan door een officiële partij: door Apple zelf of een van de geautoriseerde Service Providers. Alleen zij beschikken over speciale diagnostische apparatuur om onderdelen van een Mac met T2-chip te vervangen. Ook het upgraden van bijvoorbeeld je SSD moet door een Apple-partner worden gedaan.
Gelukkig breidt Apple de mogelijkheden voor onafhankelijke Mac-reaparateurs steeds verder uit. Ze krijgen toegang tot tools en trainingsprogramma’s en krijgen de mogelijkheid om officiële onderdelen te kopen.
Waarom een beveiligingschip?
Er zaten op de Mac al allerlei opties om je te beschermen, zoals het versleutelen van je data en je complete harddisk met File Vault en het instellen van een sterk wachtwoord. De nieuwste MacBooks beschikken over een Touch ID-sensor om te kunnen inloggen met je vinger. Dit biedt extra beveiliging, maar stelt ook extra eisen. Je wilt niet dat er misbruik van kan worden gemaakt.
Apple voerde in de MacBook Pro van 2016 voor het eerst de T1-chip in, gelijktijdig met de eerste modellen met Touch Bar. Het is uiteraard niet de belangrijkste chip in de MacBook. Vrijwel alle functies worden aangestuurd door de Intel Core-processor (nu) en Apple Silicon (in de toekomst). De T1- en T2-chip regelen alleen enkele extra functies die vooral met beveiliging te maken. hebben. Hoewel Apple het niet officieel heeft bevestigd, is de T1-chip afgeleid van de chip die in de Apple Watch zit. Er zou dan ook een variant van watchOS op draaien. Dit is een slimme zet. Op deze manier kan Apple hergebruik maken van de ervaringen die ze hebben opgedaan met watchOS en de S-serie chips in de Apple Watch.
De T1-chip had geen vaste opslagruimte en startte op van een 25MB ramdisk. Het was daardoor beperkt qua mogelijkheden en je kon er geen volledige apps op draaien, zoals bij watchOS mogelijk is. De T1 (codenaam ‘Bridge’) lijkt waarschijnlijk sterk op de S1, de chip waarop de Apple Watch draait. De T-chips draaien echter op bridgeOS.
T1 en T2-chip en Secure Enclave
Apple’s A-serie chips in de iPhones en iPads beschikken over een private key, als onderdeel van de Secure Enclave. Deze sleutel is niet te achterhalen en wordt gebruikt voor diverse beveiligingsfuncties zoals het versleutelen van iMessage-berichten. In de T1- en T2-chips is ook zo’n private key opgeslagen, die voor soortgelijke beveiligingsfuncties wordt gebruikt. Dankzij de Secure Enclave kunnen aanvallers niet de vingerafdruk-informatie uit je toestel halen.
Dit is veiliger dan de oplossing die tot nu toe bij MacBooks werd gehanteerd, namelijk het opslaan van private keys in delen van het geheugen, dat bereikbaar is voor software. In het verleden was dit nodig omdat Apple afhankelijk was van chips van derden. Omdat Apple de T-serie zelf maakt kan dit een veiliger alternatief bieden.
Je zult vooral met de Secure Enclave te maken krijgen als je de Touch ID-sensor in de nieuwe MacBooks gebruikt voor het ontgrendelen van je computer en het doen van aankopen met Apple Pay. De Touch ID-sensor bevindt zich rechts van de Touch Bar (MacBook Pro) of rechtsboven in het toetsenbord (MacBook Air).
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Touch ID
Lees alles over Touch ID, de vingerafdrukscanner van de iPhone, iPad en Mac. Hiermee kun je je toestel ontgrendelen, apps ontgrendelen, Apple Pay gebruiken en andere activiteiten goedkeuren. Op veel iPhones is Touch ID vervangen door Face ID, maar de vingerafdrukscanner is nog steeds belangrijk als een manier om veilig in te loggen. Je vindt de Touch ID-sensor nu nog op de iPhone SE, alle iPads (behalve de iPad Pro) en op de Mac, zowel op MacBooks als op desktop-Macs in combinatie met het Magic Keyboard met Touch ID-sensor.