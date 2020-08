Apples zukünftige Macs mit ARM-Prozessoren ("Apple Silicon") führen nur noch signierten Code aus. macOS 11 Big Sur "erzwingt" auf diesen Macs, dass alle ausführbaren Dateien mit einer gültigen Signatur versehen sind – nur dann können sie gestartet werden, wie der Hersteller in seiner Entwicklerdokumentation festhält. Diese neue Vorgabe gelte nicht für ältere x86-Apps, die in der Übersetzungsschicht Rosetta 2 laufen und auch nicht für macOS 11 auf Macs mit Intel-Prozessoren.

Ad-hoc-Signatur soll reichen

Der Signatur-Zwang soll allerdings nicht verhindern, dass Nutzer und Entwickler "beliebigen Code auf ihren Macs" ausführen können, betont Apple. Das neue Verhalten ermögliche es dem Betriebssystem aber, "Modifikationen von Code besser zu erkennen" und die Vorgaben für die Code-Ausführung auf ARM-Macs vereinfachen, so der Konzern weiter.

Es gibt keine spezielle "Identitätsvoraussetzung" für die erforderliche Signatur, führt Apple weiter aus. Es sollte also kein Zertifikat des Herstellers vonnöten sein, das etwa zahlende Entwickler beziehen können (Developer ID), die ihre Mac-Software auch außerhalb des Mac App Store vertreiben wollen. Stattdessen reiche eine "simple lokale Ad-Hoc-Signatur".

Apples Entwicklungsumgebung Xcode und Kommandozeilen-Tools wie clang oder ld sollen das Signieren automatisch vornehmen, so dass etwa über die Paketverwaltung Homebrew installierte Software weiter laufen müsste – ohne erst eine manuell Signatur durch den Nutzer zu benötigen.

Erste ARM-Macs noch 2020

Wie sich die Signatur-Vorgabe in der Praxis auswirkt, bleibt vorerst offen. Erste ARM-Macs sollen bis zum Jahresende erscheinen. Für Entwickler bietet Apple bereits einen Mac mini mit hauseigenem A-Prozessor zum Schreiben angepasster Software an, das unterliegt allerdings einer strengen Verschwiegenheitsvereinbarung. Die meisten Mac-Apps werden schon jetzt nur noch signiert vertrieben. Unsignierte Software lässt sich auf Intel-Macs zwar nicht per Doppeklick, aber über einen Rechtsklick öffnen. Der Nutzer muss im Anschluss mehrere Warnhinweise bestätigen, damit die App gestartet wird.

