Apples Intel-Mac mit Trusted Platform Module?

TCG-konforme Trusted Platform Module (TPM) wurden von der Industrie für die Implementation von Sicherheits- und Kopierschutzfunktionen direkt in der Hardware entwickelt.

In Pocket speichern vorlesen Druckansicht 385 Kommentare lesen
Lesezeit: 5 Min.

Berichte und Fotos von US-Webseiten lassen vermuten, dass in den Apple-Entwicklersystemen mit Intel-Prozessoren ein Trusted Platform Module steckt. Anlässlich der WWDC hatte Apple gleichzeitig mit dem überraschenden Umstieg auf Intel-Prozessoren angekündigt, dass das Betriebssystem Mac OS nicht auf beliebigen x86-Systemen laufen werde, sondern nur auf Apple-Systemen. Nun stellt sich die -- unter Hardware-Spezialisten und Mac-Nutzern bereits heiß diskutierte -- Frage, wie Apple diese "Verdongelung" technisch bewerkstelligen will. Bereits vor zwei Wochen gab es Spekulationen, Apple könne dazu ein TCG-konformes Trusted Platform Module (TPM) verwenden; der Standard wurde von der Industrie für die Implementation von Sicherheits- und Kopierschutzfunktionen direkt in der Hardware entwickelt. Die ersten Spekulationen zu TPMs in Intel-Macs stützten sich auf eine Einschätzung von Gartner-Analysten, die das für möglich halten.

Nun sind auf den Mac-News-Webseiten AppleInsider und Think Secret erste Berichte zum Apple Platform Developmet Kit mit Fotos aufgetaucht. Darauf ist jeweils ein Pentium-4-Mainboard aus Intels eigener Produktion zu sehen, das in einem Power-Mac-G5-ähnlichen Gehäuse steckt. Den Fotos und den Beschreibungen nach zu urteilen handelt es sich um ein LGA775-Mainboard im MicroATX-Format mit dem grafikfähigen i915G-Chipsatz, das in exakt dieser Bauform nicht auf Intels Webseite zu finden ist, aber sehr große Ähnlichkeit mit dem D915GUX hat. Dieses Mainboard (hier ein 3,3 MByte großes Bild) ist auch in einer Konfigurationsvariante mit einem TCG-1.1-TPM von Infineon lieferbar, das auf dem großen Bild auch abgebildet ist und direkt neben dem Flash-Speicherchip für den BIOS-Code sitzt.

Auf diesem Bild von der AppleInsider-Webseite sieht man ungefähr denselben Ausschnitt des Mainboards im Apple-Entwicklersystem, das sich angeblich Apple Development Platform 2.1 (ADP2.1) nennt. Der BIOS-Flash-Speicherchip der Firma SST ist hier nicht fest eingelötet, sondern gesockelt -- das ist bei Entwicklersystemen nicht selten, so lässt sich der Firmware-Code leicht auswechseln. Direkt schräg über dem Flash-EEPROM ist ein 28-Pin-Chip zu erkennen, der sehr wahrscheinlich von Infineon stammt -- die grobe Bild-Auflösung lässt leider keine exakte Aussage zu. Aber auch weil der Chip an der gleichen Stelle sitzt wie das TPM des D915GUX ist es wahrscheinlich, dass es sich um ein TPM handelt, genauer um ein TCG-1.1b-TPM und nicht um das noch nicht in Großserie lieferbaren TCG-1.2-TPM.

Bei genauer Betrachtung eignet sich ein TPM allerdings nicht besonders gut zur Hardware-Verdongelung eines Betriebssystems. Nach den Richtlinien der TCG soll jedes TPM im Auslieferungszustand abgeschaltet sein, vor der ersten Benutzung soll sein Käufer es zunächst bewusst und eindeutig in Betrieb und "in Besitz" nehmen (Take ownership). Erst danach wären die kryptografischen Funktionen des Chips und der darin gespeicherte, eindeutige Schlüssel nutzbar. Intel-Mac-Käufer wären also gezwungen, das TPM selbst in Betrieb zu nehmen, bevor sie den Rechner nutzen könnten.

Es wäre auch denkbar, dass Apple eine Produktaktivierung plant, die das Betriebssystem an ein TPM-identifiziertes Mainboard bindet. Dann wiederum müsste sich Mac OS X prinzipiell auch auf anderen x86-Mainboards mit TPM nutzen lassen. Schließlich könnte Apple möglicherweise noch das TPM "zweckentfremden", sodass es wie eine fest eingebaute SmartCard nur einen spezifischen Schlüssel fälschungssicher speichert und bei laufendem Betriebssystem keine weiteren Funktionen erfüllt -- doch dafür wären auch preiswertere Lösungen denkbar.

Apple hat sich bisher nicht zur Technik der Verdongelung geäußert, sofern diese überhaupt vorhanden ist. Möglicherweise will Apple das TPM auch für andere   Zwecke (etwa die Unterstützung von Kopierschutzfunktionen und DRM-Mechanismen bei HDTV) nutzen und Entwicklern die Möglichkeit geben, sich frühzeitig mit der Technik vertraut zu machen.

Die Installation anderer x86-Betriebssysteme ist auf den ADP2.1-Computern offenbar möglich. Wenn der unbekannte Mainboard-Baustein tatsächlich ein aktiviertes TPM ist, sollte ihn Windows XP zumindest als "unbekanntes Gerät" finden -- ein ADP2.1-System zum Test steht der c't-Redaktion bisher nicht zur Verfügung. Wie ähnlich die endgültigen Intel-Macs den Entwicklersystemen überhaupt sein werden, ist ebenfalls unklar. Laut Intel soll aber der als heißer Mac-Prozessor-Kandidat gehandelte Doppelkern-Mobilprozessor Yonah als einer der ersten Intel-Chips die LaGrande-Technik (LT) zur Verschlüsselung und zum Zugriffschutz unterstützen.

Nach den Berichten der Mac-News-Seiten kommt im ADP2.1 ein Pentium 4 660 zum Einsatz, also ein Prozessor mit 3,6 GHz Taktfrequenz, 2 MByte L2-Cache und EM64T/x64-Unterstützung. Der i915G-Chipsatz enthält den Grafikkern GMA 900 (Graphics Media Accelerator); über eine ADD2-Karte im PEG-Slot lassen sich auch digitale Displays anschließen. Der Chipsatz unterstützt DDR2-Speicher, PCI Express und HD Audio, Intel verwendet auf dem D915GUX den sechskanaligen ALC860-Codec von Realtek. (ciw)