Lenovo ThinkPad Ryzen 6000-Laptops mit Microsoft Pluton verweigern standardmäßig die Ausführung von Linux

Auf der CES 2022 Anfang dieses Jahres gab AMD bekannt, dass seine Ryzen 6000 Rembrandt-Prozessoren die ersten in der Branche sind, die Microsoft Pluton unterstützen. Gleichzeitig kündigte Lenovo auch seine neuen Pluton-fähigen ThinkPad Z13- und Z16-Laptops an . Diese neuen ThinkPads werden mit einem benutzerdefinierten Ryzen™ 7 PRO 6860Z-Prozessor ausgestattet sein.

Microsoft Pluton ist ein Sicherheits-Coprozessor für Windows-PCs, den Redmond bereits 2020 erstmals eingeführt hat. Zusammen mit TPM wurde Pluton entwickelt, um die Sicherheit des Windows-Systems zu verbessern.

Heute hat Matthew Garrett, Information Security Architect bei Linux, etwas Interessantes über die neuen Lenovo ThinkPad-Laptops mit Pluton entdeckt. Garrett gelang es, ein ThinkPad Z13 in die Hände zu bekommen und stellte fest, dass das Gerät Linux nicht über USB booten konnte.

Aus der ersten Untersuchung wurde geschlossen, dass Pluton aufgrund von Secure Boot so konfiguriert ist, dass es nur Windows-Bootloader und -Treiber akzeptiert und sich weigert, etwas anderes als Windows auszuführen. Linux und seine Distributionen verwenden eine Microsoft UEFI-Zertifizierungsstelle (CA) eines Drittanbieters für den sicheren Start, und es sieht so aus, als würde Pluton so etwas ablehnen. Folgendes schreibt Matthew Garrett in seinem Blog :

Ich habe es endlich geschafft, ein Thinkpad Z13 in die Hände zu bekommen, um die funktionale Implementierung von Microsofts Pluton-Sicherheitscoprozessor zu studieren. Ein Versuch, Linux von einem USB-Laufwerk zu booten, schlug aus unbekannten Gründen sofort fehl, aber nach weiteren Untersuchungen wurde der Grund klar: Die Standard-Firmware vertraut Bootloadern oder Treibern, die mit einem Microsoft UEFI CA-Schlüssel eines Drittanbieters signiert sind, nicht. Dies bedeutet, dass mit der Standard-Firmwarekonfiguration nur Windows gestartet wird. Dies bedeutet auch, dass Sie nicht von externen Peripheriegeräten von Drittanbietern booten können, die über Thunderbolt angeschlossen sind.

Lenovo bestätigt in einem Dokument ( PDF ), dass ab 2022 Drittanbieter-Zertifikate standardmäßig deaktiviert sind, wie von Microsoft für Secure-Boot-PCs empfohlen. Er bemerkt:

Linux-Distributionen verwenden eine von Microsoft signierte ausführbare „Shim“-Datei, die dann nachfolgende Startschritte überprüfen kann, die mit dem Verteilungsschlüssel signiert wurden. Die von Microsoft signierte Dichtung wird mit einem „Microsoft UEFI Third Party Certificate“ signiert und dieses Zertifikat wird in der BIOS-Datenbank gespeichert. Ab 2022 verlangt Microsoft für Secure-Core-PCs, dass Drittanbieterzertifikate standardmäßig deaktiviert werden.

Es gibt jedoch auch eine positive Seite, da Benutzer, die Linux auf einem Lenovo-Laptop mit sicherem Booten ausführen möchten, dies tun können, indem sie die Option „Allow Microsoft 3rd Party UEFI CA“ im BIOS aktivieren. Hier sind die Schritte:

1. . Booten Sie in das BIOS-Setup-Menü. Starten Sie Ihren Computer neu und drücken Sie die Taste F1, wenn die Meldung „Um den normalen Start abzubrechen, drücken Sie die Eingabetaste“ erscheint.
2. Wählen Sie im BIOS-Menü die Option „Security“ und das Untermenü „Secure Boot“. Setzen Sie „Microsoft UEFI-Zertifizierungsstelle von Drittanbietern zulassen“ auf „Ein“.
3. Drücken Sie F10, um zu speichern und neu zu laden.

Interessant ist allerdings, dass Lenovo zuvor angegeben hat, dass Pluton in seinen 2022er ThinkPad-Modellen, zu denen hier auch die Z13-Variante gehört, standardmäßig deaktiviert wird. Wir fragen uns, ob diese Entscheidung etwas mit der oben erwähnten strengen Anforderung von Microsoft zu tun haben könnte, UEFI-Schlüssel von Drittanbietern abzulehnen.

Über: Phoronix