Apple: ARM-Macs führen nur noch signierten Code aus
Unsignierter Code hat auf Macs mit Apple-Prozessor ausgedient. Für Nutzer sei aber sichergestellt, dass sich weiter "beliebiger Code" ausführen lässt, so Apple.
(Bild: Apple)
Apples zukünftige Macs mit ARM-Prozessoren ("Apple Silicon") führen nur noch signierten Code aus. macOS 11 Big Sur "erzwingt" auf diesen Macs, dass alle ausführbaren Dateien mit einer gültigen Signatur versehen sind – nur dann können sie gestartet werden, wie der Hersteller in seiner Entwicklerdokumentation festhält. Diese neue Vorgabe gelte nicht für ältere x86-Apps, die in der Übersetzungsschicht Rosetta 2 laufen und auch nicht für macOS 11 auf Macs mit Intel-Prozessoren.
Ad-hoc-Signatur soll reichen
Der Signatur-Zwang soll allerdings nicht verhindern, dass Nutzer und Entwickler "beliebigen Code auf ihren Macs" ausführen können, betont Apple. Das neue Verhalten ermögliche es dem Betriebssystem aber, "Modifikationen von Code besser zu erkennen" und die Vorgaben für die Code-Ausführung auf ARM-Macs vereinfachen, so der Konzern weiter.
Es gibt keine spezielle "Identitätsvoraussetzung" für die erforderliche Signatur, führt Apple aus. Es sollte also kein Zertifikat des Herstellers vonnöten sein, das etwa zahlende Entwickler beziehen können (Developer ID), die ihre Mac-Software auch außerhalb des Mac App Store vertreiben wollen. Stattdessen reiche eine "simple lokale Ad-Hoc-Signatur".
Apples Entwicklungsumgebung Xcode und Kommandozeilen-Tools wie clang oder ld sollen das Signieren automatisch vornehmen, so dass etwa über die Paketverwaltung Homebrew installierte Software weiter laufen müsste, ohne erst eine manuelle Signatur durch den Nutzer zu benötigen.
Erste ARM-Macs noch 2020
Wie sich die Signatur-Vorgabe in der Praxis auswirkt, bleibt vorerst offen. Erste ARM-Macs sollen bis zum Jahresende erscheinen. Für Entwickler bietet Apple bereits einen Mac mini mit hauseigenem A-Prozessor zum Schreiben angepasster Software an, das unterliegt allerdings einer strengen Verschwiegenheitsvereinbarung. Die meisten Mac-Apps werden schon jetzt nur noch signiert vertrieben. Unsignierte Software lässt sich auf Intel-Macs zwar nicht per Doppeklick, aber über einen Rechtsklick öffnen. Der Nutzer muss im Anschluss mehrere Warnhinweise bestätigen, damit die App gestartet wird.
- Was der Wechsel auf ARM-CPUs für Apple und Anwender bedeutet lesen Sie in Mac & i Heft 4/2020.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(lbe)
